什麽是資料安全性?

資料安全性的定義

資料安全性是指用於保護資料免受未經批准的存取,並保持資料庫機密性、完整性和可用性的保護措施。資料安全最佳措施包括資料加密、金鑰管理、資料隱匿、資料子集設定及資料遮罩,以及授權的使用者存取控制與稽核與監控。

資料安全性最佳實務

資料安全性最佳實務應充分運用內部部署和雲端,以降低資料外洩風險,並協助達成法規遵循。特定建議可能會各不相同,但通常會呼叫已封存的分層資料安全策略來套用防禦深度的方法。不同的控制項可減輕不同的威脅媒介。不同的解決方案區域包括評估、偵測及監控資料庫活動和威脅的能力。

資料安全性的重要性

資料是任何組織最重要的資產之一。因此,保護資料不受任何和所有未授權的存取是非常重要的。資料外洩、稽核失敗,以及法規要求未遵循時可能導致聲譽受損、品牌權益損失、智慧財產損失及罰則不合規。根據歐盟一般資料保護法規 (GDPR) ,資料外洩事件可能會導致組織全球年度營收最高達 4% 的罰款,通常會導致嚴重的財務損失。敏感資料包括個人識別資訊、財務資訊、健康資訊和知識產權。資料必須受到保護,以避免資料外洩,並協助達成規範。

資料安全性和 GDPR

資料遮罩、資料子集化以及資料修訂都是可減少應用程式中機密資料暴露的技術。這些技術在解決與歐盟 GDPR 等法規相關的擬匿名化和擬匿名化要求方面扮演關鍵角色。歐盟 GDPR 以建立且廣泛接受的隱私權原則為基礎,例如目的限制、合法性、透明度、完整性和機密性。它可強化現有的隱私權與安全性需求,包括通知與同意的需求、技術與操作安全性措施,以及跨境資料流程機制。為了適應新的數位、全球性及資料導向經濟,GDPR 也正式制定新的隱私原則,例如問責性與資料最小化。

根據一般資料保護法規 (GDPR),資料外洩事件可導致公司全球年度週轉率最高達 4% 或 200,000,000 歐元的罰款,以較高者為準。在歐盟蒐集及處理資料的公司,將需要考慮和管理其資料處理做法,包括下列需求:

  • 資料安全性。公司必須執行適當的安全等級,包括技術和組織安全控制、防止資料遺失、資訊外洩,或其他未授權的資料處理作業。GDPR 鼓勵公司將加密、事件管理以及網路和系統完整性、可用性和抗逆力需求納入他們的安全性計畫中。
  • 個人延伸的權限。人員擁有更大的控制權,而最終更大的擁有權 - 自己的資料。此外,他們也具備多組資料保護權限,包括資料可攜性的權利和忘記的權利。
  • 資料外洩通知。許多公司在發現有資料一直受到資料外洩後,必須通知監管單位及 / 或受影響人士,而毋須延遲。
  • 安全性稽核。公司將預期會記錄和維護其安全措施的記錄、稽核其安全方案的成效,以及在適用的情況下採取更正措施。

資料庫安全性有哪些挑戰?

資料庫安全性挑戰

資料庫是重要機密資訊的儲存區域,這使他們成為資料盜竊的主要目標。資料駭客通常可以分為兩個群組:外界和內部人。外部人員包括任何尋求商業破壞或經濟利益的孤獨駭客和網路犯罪分子,或尋求實施欺詐以在國家或全球範圍內製造破壞的犯罪集團和民族國家支援的組織。內部人員可能包括現任或前任員工、好奇心強的人以及客戶或合作夥伴,他們利用自己的信任地位竊取資料,或者犯錯導致意外的安全事件。外部及內部人均對個人資料、財務資料、商業機密及受規範資料的安全性造成風險。

駭客入侵資料庫

當嘗試從資料庫竊取資料時,網路罪犯有多種方法:

  • 洩漏或引導授權管理員或應用程式的證明資料。這通常是透過電子郵件式的網路釣魚、其他形式的社群工程,或是使用惡意軟體來找出憑證並最終找出資料。
  • 使用 SQL 注入技術 (例如 SQL 注入或略過應用程式層安全性) 將 SQL 程式碼內嵌至似乎不明確的一般使用者提供輸入,以解開應用程式中的弱點。
  • 利用弱點應用程式提升程式實際執行權限。
  • 存取磁碟上未加密的資料庫檔案。
  • 將未修正的系統或設定錯誤的資料庫上傳至略過存取控制。
  • 正在偷走包含資料庫備份的存檔磁帶與媒體。
  • 從非生產環境 (例如 DevTest) 偷取資料,資料在生產環境中可能不受到保護。
  • 透過不小心洩漏機密資料 (超出應用程式或使用者應該能夠存取的機密資料) 檢視機密資料。
  • 人為錯誤、事故、密碼共用、組態錯誤以及其他不負責的使用者行為,這會持續成為近 90% 安全漏洞 的原因。

資料庫安全性最佳實務

資料庫安全性最佳實務

結構化資料庫安全性策略應包含的控制項,以減少各種威脅媒介。最佳方式是安全控制的內建架構,可輕鬆部署到適當的安全層次。以下是一些保護資料庫時常用的控制項:

  • 評估控制項有助於評估資料庫的安全狀況,同時也應提供識別組態變更的功能。組織可以設定基準,然後識別差異。評估控制也可協助組織識別系統中的機密資料,包括資料類型及其所在位置。評估控制尋找以回答下列問題:
    • 資料庫系統是否正確設定?
    • 是否會定期套用修補程式?
    • 如何管理使用者權限?
    • 資料庫系統中有哪些機密資料?有多少?駐留在哪?
  • 偵測控制可監控使用者和應用程式對資料的存取、識別異常行為、偵測及封鎖威脅,以及稽核資料庫活動來提供規範報告。
  • 預防性控制根據預定的使用案例,透過加密、隱匿、遮罩及子集化資料的方式封鎖未授權的資料存取。預防控制的結束目標是停止未經授權的存取資料。
  • 資料特定控制可強制執行資料庫內的應用程式層次存取政策,在多個應用程式、報告工具及資料庫從屬端提供一致的授權模型。
  • 使用者特定控制可強制執行適當的使用者認證和授權政策,確保只有經過認證和授權的使用者才能存取資料。

資料安全性解決方案

透過專為加密、金鑰管理、資料遮罩、特殊權限使用者存取控制、活動監控和稽核所設計的資料庫安全性解決方案,降低資料外洩的風險並簡化合規性。

  • 資料保護:降低資料外洩風險,並且不遵守解決方案,以滿足廣泛的使用案例,例如加密、金鑰管理、隱匿以及遮罩。了解資料安全。
  • 資料存取控制:保護資料庫系統的基本步驟,正驗證正在存取資料庫 (認證) 的使用者身分識別,以及控制他們可執行的作業 (授權)。增強的認證與授權控制可協助保護資料免於遭受攻擊者。此外,強制執行職責區分有助於防止授權使用者濫用其系統權限存取機密資料,亦有助於避免資料庫意外或惡意變更。
  • 稽核與監控:應該記錄所有資料庫活動以供稽核之用 - 這包括透過網路發生的活動,以及略過任何網路監控功能的資料庫內觸發的活動 (通常透過直接登入)。即使網路經過加密,稽核也應該能夠運作。資料庫必須提供完善且全面性的稽核,包括資料的相關資訊、提出要求的從屬端、作業詳細資訊,以及 SQL 敘述句本身。
  • 保護雲端資料庫:雲端資料庫部署可降低成本、釋出員工以取得更重要的工作,以及支援更靈活且回應迅速的 IT 組織。但這些好處可能伴隨著額外的風險,包括擴充的網路週邊裝置,擴大的威脅面與不可知的管理群組,以及共用的基礎架構。不過,透過採用適當的資料庫安全最佳實務,雲端提供優於大多數內部部署環境的安全性,同時降低成本並提升靈活性。
資料安全性解決方案影片