佛系随性笔记，记录最好的自己！

个人水平比较有限，每篇都尽量以白话+图文的方式去说明。

文章架构

1、什么是数据安全?

2、数据安全的好处？

3、数据安全的主要威胁？

4、怎么保护数据？（10个小Plan）

5、小结论

01

—

什么是数据安全？

数据安全就像是保护你家里的贵重物品。从你获得这些物品（数据）开始，一直到你不再需要并安全处理掉它们，整个过程都需要保护。这包括：

不让别人偷看（保护数据隐私）；
确保东西不被损坏或改变（维护数据完整性）；
需要时能随时找到和使用（确保数据可用性）；

这整个保护过程就是数据安全，确保你的数据在每个环节都受到妥善保护。

数据生命周期-图1

有效的数据保护措施，包括实施实时监控，并对任何可疑事件迅速做出反应，并能够抵御欺诈活动。

为什么数据安全如此重要，以至于当局和监管机构不断制定新的数据安全指南和要求？

02

—

数据安全的好处？

数据安全性的好处：

数据安全性好处-图2

1.保护信息，安心无忧：数据安全措施保护信息免受内外威胁，让您专注于业务战略，无需担忧数据泄露。

2.增强声誉，赢得信任：可靠的安全措施不仅提升企业形象，还能增强客户信任，促进长期合作关系。

3.遵守法规，避免罚款：遵循数据安全要求，可避免因不合规导致的巨额罚款，确保企业运营合法合规。

4.减少诉讼，节约成本：预防优于补救，投入数据安全可显著减少事件处理成本，降低潜在法律风险。

5.保障连续性，减少损失：强大的数据安全实践有助于业务连续性，降低中断风险，从而减少收入损失。

这五点充分说明了数据安全对于企业运营的重要性，是企业稳健发展的基石。

03

—

数据安全的主要威胁？

哪些数据需要保护？

为了了解哪些数据面临风险，下图列举了一些，最常被盗的数据类型：

最常被盗的数据类型-图3

企业数据面临的主要威胁

没有任何系统（厂商）能够 100% 地避免配置错误、内部威胁和网络攻击。企业的敏感数据可能会丢失、损坏或被不法之徒获取。下图是企业的数据或系统可能面临的主要威胁：

主要威胁-图4

在上文中，主要重点关注内部人为威胁，因为即使是外部网络攻击也常常是由员工的行为引起的，根据Verizon《2024 年数据泄露调查报告》，68% 的数据泄露都涉及人为因素。往年的2023年更高，高达74%。

https://www.verizon.com/business/resources/reports/dbir/（2024数据泄露报告查看链接）

数据泄露栗子-图5

为了了解数据，是如何被泄露的，我给大家列举下，内部人员造成的数据泄露的几个栗子：

详情点击--内部威胁-导致的真实数据泄露的例子

影响关系-图6

上述所有的内部威胁，都有可能危及企业的敏感数据，并扰乱企业的业务运营：如果及时注意到数据安全威胁并做出响应，就可以有效地减轻其后果。

04

—

怎么保护数据？

如何保护您企业中的数据？

为了回答这个问题，我们来看看保护数据的主要方法。根据Gartner 的说法，保护数据的四种主要方法是：

Gartner方法-图7

1. 加密：应用密钥加密算法，防止未经授权的一方读取或更改数据；

2. 屏蔽（脱敏）：通过使用随机字符替换敏感信息来隐藏或匿名化数据。还可以用代表性标记替换数据；

3. 数据擦除：清理不再使用或活动的数据存储库；

4. 数据弹性存储：对关键数据进行完整备份、差异备份和增量备份。将数据存储在不同位置，有助于恢复并抵御不同的安全威胁。

现在，该说下数据安全背后的基本原则了。核心原则就是控制保密性（Confdentiality）、完整性（Integrity）和可用性（Availability），构成了CIA 三角，对于数据保护至关重要：

CIA-图8

保密性：数据受到保护，防止未经授权的访问。；
完整性：数据可靠且正确，敏感信息受到保护以免被非法更改；
可用性：所有合法用户都可以轻松访问数据；

为了遵守这三项原则，企业需要制定数据安全控制的制度，预防、检测和响应。

控制制度-图9

下面描述的 10 个数据安全和隐私最佳实践，涵盖了控制、数据安全标准、法律和法规的主要合规性要求。

虽然不同的企业、地区和行业可能需要不同的数据保护实践，但这十项适合大多数企业的最佳实践，可以先用用看，再按照自己的意愿去增加删除子项。

10个方法-图10

现在，详细说下这些数据安全和隐私最佳实践。

（一）定义你的敏感数据

数据定义-图11

在实施安全措施之前，先检查数据：首先，评估数据的敏感度，数据敏感度分为三个级别（按自己的想法和客户要求来，你要分四五级也是可以的）：

低敏感度数据：可以被公众查看或使用，例如网站上发布的一般信息；
中等敏感度数据：可在组织内部共享，但不能向公众公开。如果发生数据泄露，不会造成灾难性后果；
高敏感度数据：只限内部人员共享。一旦被泄露或破坏，可能会对组织造成灾难性影响；

确保数据的可见性也至关重要，这样才能更好地了解哪些信息最需要保护。

（二）制定安全制度

第二项任务是企业所有网络安全机制、活动和控制，形成工作策略。通过实施数据安全策略，让组织的人力和技术资源有效地支持您的数据安全工作：创建数据安全策略的6项任务

安全策略-图12

为了确保企业敏感数据的安全，我们需要定下一些规矩，让员工、合作伙伴和第三方都知道怎么正确处理信息。下面是关键点：

1.先找风险，再补漏洞：先仔细检查所有可能出问题的地方，找出最大的风险，然后集中精力解决这些问题；

2.定期检查数据库：就像给电脑做体检，我们要定期检查数据库，看看一切是否正常，有没有异常操作，这样能及时发现问题，设置好防护措施；

3.及时打补丁，记好笔记：发现系统漏洞就要赶紧修补，而且每次修补都要做好记录，知道谁做了什么，什么时候做的；

4.员工离职要“断网”：当员工离开公司时，要确保他们不能再接触到公司的任何信息，包括撤销所有访问权限，就像彻底“断网”一样；

这样一套规章制度流程，能帮助我们更好地保护企业的重要数据，让信息更加安全。

此外，考虑任命一名数据安全责任人（DPO），其职责如下：

控制对数据安全要求的遵守情况；
提供数据保护措施建议；
处理员工、供应商和客户之间的安全相关投诉；
处理安全故障。

（三）制定事件响应计划

《事件响应计划》（这个后续再详细写下）列出了处理网络安全事件并及时减轻其后果的行动。设置事件响应要求的标准、法律和法规。不要忘记：

定义安全事件、其变化及其对组织造成的后果的严重性；
选择负责处理事件的人员；
进行安全审计，根据以前的事件改进计划，并列出您的组织可能面临的事件的详细清单；
制定沟通计划，并列出发生事故时应通知的有关当局名单；

此外，创建数据恢复计划，确保可以在潜在事件发生后快速恢复数据和系统。

简单来说，就像是准备一个灭火预案，确保一旦数据“着火”，能迅速扑灭。这里有个简单的六步计划：

1.组队：找来IT、法务、公关等不同部门的人，组成应急小分队；

2.定规矩：知道什么情况要启动计划，谁负责做什么；

3.快行动：一发现情况不对，马上按计划行事，先隔离问题，不让“火”蔓延；

4.查原因：深入调查是怎么“着火”的，损失有多大；

5.修系统、补漏洞：修复被“烧”坏的地方，加固防火墙，防止再“着火”；

6.沟通和总结：内部说清楚，必要时告诉客户和监管，然后总结经验，改进计划。

通过这六步，企业能更好地应对数据安全的“火灾”，减少损失。

（四）确保数据存储安全

安全存储三要素-图13

确保数据安全存储是数据保护的第一步，这里有三个关键点：

1.保护物理存储：就像保护家里的宝贝一样，用防水防火的盒子装重要数据，还要上锁，防止别人轻易拿到；

2.用技术加固：用备份、加密、屏蔽和确认擦除等方法，就像给数据穿上盔甲，即使硬盘丢了，数据也打不开；

3.管好移动存储：用专门的工具管理U盘等移动设备，确保上面的数据安全，还能监控有没有人对敏感数据做手脚；

这样，从实物到技术，再到移动设备，全方位保护数据，不让它们轻易受到威胁。

（五）限制对关键资产的访问

限制访问三要素-图14

为了确保数据访问既方便又安全，这里有三个重点任务：

1.物理安全要到位：用锁、监控和警报保护数据服务器，像守卫宝藏一样，同时让移动设备安全地连接到服务器，就像建了一座安全桥；

2.身份管理要严格：用指纹、面部识别或多种验证方式确保只有对的人能进入数据“城堡”，密码要定期换，保证安全；

3.权限管理要精准：实行“最少特权”原则，就像发钥匙，只给真正需要的人，且使用时间有限，防止内部风险；远程工作时，也要确保从任何地方访问数据都安全；

这样，无论是谁想访问数据，都得过五关斩六将，确保数据安全无虞（新学的一个词，没有问题，一切顺利的意思）。

（六）持续监控用户活动

监控用户三要素-图15

想象一下，你是个数据安全的侦探。用"用户活动监控"工具，就像是有了一双24小时不眨眼的眼睛：

1.盯紧敏感信息：监视所有能看重要数据的员工，就像在银行金库周围装满摄像头；

2.异常活动警报：一有不对劲的举动，比如深夜访问或奇怪的操作，就会立刻收到警报，就像触发了警报器；

有了这双“眼睛”，你能及时发现并阻止数据泄露，就像是提前预知了窃贼的计划，大大降低了损失的风险。

（七）管理第三方相关风险

监控 IT 基础设施内第三方用户的行为至关重要。第三方可能包括合作伙伴、分包商、供应商、供应商以及任何其他有权访问您关键系统的外部用户。即使您信任第三方，他们的系统也有可能容易受到黑客攻击和供应链攻击。

管理第三方用户在你的IT系统里活动，就像监管家里的客人：

1.了解客人：清楚第三方（比如合作伙伴、供应商）是谁，他们能碰哪些“玩具”（数据），定好规矩；

2.签协议：和客人签约定，确保他们保护好“家里”的东西，就像签租房合同要爱护房子一样；

3.定期检查：定期看看客人是否按约定行事，保持家里的安全标准，就像房东定期检查房屋；

4.共同提升：和供应商一起努力，提升大家的安全意识和技术，就像和邻居一起加固小区的围墙；

这样，即使你信任他们，也能确保他们不会无意中让“小偷”（黑客）有机可乘。

（八）特别关注特权用户

请记住，特权用户拥有访问和更改组织敏感数据的高级权限。特权账户和会话管理功能，可用于完全控制，对特权账户的访问以及监控、记录和审计特权账户的会话。

特权用户关注-图16

想象一下，特权用户就像是你家里的钥匙保管人，他们可以打开所有的锁，进入任何房间。为了确保安全，你需要一个系统来管理这些钥匙和谁可以使用它们：

1.检查钥匙：定期检查这些特权账户，确保只有真正需要的人才能使用；

2.监控使用情况：像安装监控摄像头一样，记录谁在什么时候使用了这些账户，这样如果有什么不对劲，你可以马上发现；

3.审计和报告：定期检查这些账户的使用记录，就像查看监控录像，确保没有不当行为；

通过这些措施，你可以大大减少因为特权账户被滥用而导致的安全问题，就像确保钥匙不会被不该用的人拿走一样。

（九）对所有员工进行数据安全风险教育

重要是教育员工。如何安全地处理公司的资产，以及如何识别恶意软件和社会工程攻击。

安全培训5要素-图17

想象你的公司是个大城堡，员工是守卫，他们的任务是保护城堡的宝藏（公司资产）：

1.警戒敌人：教员工识别坏人（恶意软件）和骗子（社会工程攻击），就像教守卫识别盗贼的伪装。

2.数据处理课：教会他们如何正确保管和使用城堡的金库钥匙（处理公司数据），保证宝藏安全。

3.防骗小贴士：培训他们识别网络钓鱼等诈骗，就像教他们分辨真信使和假传令。

4.每个角落的安全：确保每个地方都安全，比如电脑、手机，就像每个城门都有重兵把守。

5.收集意见：定期问问守卫们，看他们觉得哪些地方需要改进，就像收集意见箱里的建议。

通过这些训练，员工们就像装备了“安全大脑”，能更好地保护城堡免受威胁，减少数据泄露的风险，同时，他们也能更明白自己在保护城堡中的重要角色，就像每个守卫都成了不可替代的英雄（很多公司都会定期执行内部钓鱼，演练，哈哈哈）。

（十）部署专用数据安全软件

考虑部署专门的数据保护解决方案来控制敏感数据的安全性。在实施安全软件时，优先考虑具有以下功能的解决方案（根据使用场景自行增删，可以是全家桶，也可以单一场景）：

安全软件功能-图18

此外，还需要一个总集平台，可以查看各种类型的设备和端点。部署太多不同的工具和解决方案并不总是有效的，因为它会减慢 IT 和安全管理流程，增加费用并使维护复杂化。

想象我们的平台就像你公司数据城堡的超级安保系统：

1.特权管理卫士：控制谁可以进入金库，管理钥匙（密码）和监视每个守卫（员工）进出金库的情况；

2.身份双保险：确保每个进入城堡的人都经过双重检查（双因素验证），就像门卫确认访客的证件和预约一样；

3.24小时监控眼：全天候监控城堡内的一切活动，任何可疑举动都能立即捕捉；

4.即时警报系统：一旦发现威胁，立即拉响警报，就像城堡的警钟，确保迅速响应；

5.事后调查组：即使有事件发生，我们也能回溯调查，查看记录，找出问题所在，就像事后调查的侦探；

有了这些功能，我们的平台就像是你城堡的守护神，能有效防御内部威胁，保护公司数据的安全，即使在调查期间，也能提供所有必要的细节，确保一切都在掌控之中。

05

—

结论

数据安全就像是给你的宝藏（数据）上锁，确保在制作、存放、使用和传递过程（数据生命周期）中不被坏人偷走。但有时候，家里的帮手（内部人员）可能不小心或故意犯错，比如乱放钥匙（泄露信息），这就给宝藏安全带来了风险。

为了保护好宝藏，你可以参考一些高手的防盗秘籍（上述的10个）。上述的方法可以根据实际的使用场景，跟数据安全厂商咨询，获取最适合的方案、工具，毕竟请了个专业保镖，不仅能增强宝藏的安全，还能防住那些想趁虚而入的坏人，同时，这也能满足行业里的各种安全要求，让你的宝藏更安全。（别问我有哪些厂商干这些，不想说，怕得罪，至于榜单评比什么的，国内的机构我现在不看了，含金量不够，还有写的一些文章都是所想及所写，没有整理成文档，都在脑子里）。

深圳

注释：如有失误，望批评指正！

后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。

后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融、0731”有相关资料可供下载！

数据安全最佳实践之10个保护数据的Plan-π