數據保安指在整個生命周期內管理及保護敏感數碼資料,結合管治、多層式技術及執行管控,以及在不同環境持續提供風險知情流程。
目錄
現代運算中的數據保安
在分散式運算世界中,企業營運涵蓋駐場系統、多重雲環境及以服務形式提供。因此,數據保安必須針對各種環境保護敏感資料。風險知情的組織認識到,保護數據不僅關乎防火牆,更關乎統一的政策、監督及可衡量的管控。
美國國家標準與技術研究所(NIST)將資訊生命週期定義為創建、處理、使用、儲存和處置階段,並已成為現代數據安全策略的模型(NIST,2016 年)。相同的研究顯示,了解數據流動方式及管控措施的應用,是有效防護的基礎。
政府估計,惡意網絡活動在一年內的經濟影響介乎 570 億至 1090 億美元,凸顯企業領導人將數據安全視為企業風險的重要性,而不僅僅是資訊科技問題(White House,2018 年)。
數據保安政策、標準及最佳做法
健全的數據保安始於政策:清晰界定資料類型、分類計劃及生命周期責任。NIST SP 800-64 及其他以生命週期為導向的框架等標準,闡明了機構應如何將資產保護與有效運作之間取得平衡(NIST,2008 年)。
由此基礎,機構建構多層式管控:靜態及傳輸時的加密及金鑰管理、每個平台的身份識別及存取管理、記錄及審核活動記錄,以及針對 SaaS 及雲端環境的出入監控。
最佳實務守則規定政策與企業的風險策略一致,適用於混合基礎架構(駐場、混合、雲端)及持續更新。跨平台的標準化提供法規協調、運作彈性、與及自動化和量度成效的基礎。
在雲端實施數據保安最佳實務守則
雲端應用及服務模式改變了數據保安的計算。數據可能位於多個地區,在 SaaS 應用程式之間移動,並可透過流動或遙距裝置存取,從而增加規模及曝光率。企業通常在混合基礎架構中擁有許多數據副本及壁壘,令管治及管控更複雜。
現代框架強調對數據的生命週期控制,要求所有儲存及服務平台統一發掘、分類、存取管控及監控。NIST Research Data Framework(RDaF)2.0 版概述了六個生命週期階段,並支援在整個企業及混合環境中管理數據的策略(NIST,2024 年)。
整合數據外洩防護、政策監控、傳輸與靜態加密,以及跨運算平台的身份導向存取,讓企業即使工作負載不斷轉變,也能重新掌握數據。關鍵在於將數據視為受保護資產,而非只保護環境。
數據防護與傳統周邊防護
Aspect
數據防護
傳統周邊保護
防護範圍
適用於在靜止狀態、傳輸中和跨系統及平台使用中的數據。
專注於保護網絡周邊(例如防火牆、路由器)。
方法
適用於在靜止狀態、傳輸中和跨系統及平台使用中的數據。
廣泛、基於地點,並依賴阻截未經授權存取。
合規及管治
符合資料保護法規(如 GDPR、HIPAA)。
可能無法完全滿足數據特定的合規要求。
技術例子
加密、代碼化、數據外洩防護、零信任、身份識別及存取管理。
防火牆、VPN、入侵偵測/防護系統、隔離區。
數據保安與僅合規的方法
合規框架非常重要,它設定防護、推動審計證據及支援法規一致性的最低門檻。但僅僅合規是不足夠的。僅合規的思維方式可留下營運上的落差、技術盲點及適應能力不足。
數據安全必須嵌入策略中,而不僅僅是一個認證選項。當機構將數據安全管控配對業務風險時、衡量結果,並動態更新政策/流程/技術時,就能實現高效及保護。隨著時間推移,政策會演變成最佳實務,系統會變得可衡量和負責任。
Aspect
數據防護
僅合規的方法
主要目標
保護數據免遭入侵及未經授權存取
符合法規要求並避免懲處
專注點
降低風險及主動防護
文檔記錄及審計準備
主要活動
加密、存取管控、威脅監控、補丁
政策、程序、報告、認證
結果
強大的網絡攻擊抵禦能力
法律合規但有潛在的保安漏洞
風險
降低違規風險
如果合規被視為最終目標,風險就會較高
數據保安管治及持續改善
管治須確保政策、管控及系統與業務策略、技術變更及威脅演變保持一致。NIST SP 800-37(風險管理框架)透過準備、評估、監控及持續改進來領導機構(NIST,2019 年)。
關鍵指標提供可視性:數據分類的百分比、加密覆蓋、關鍵輪換合規性、平均恢復時間、偵測異常存取或洩漏的時間。管理層和董事會如何了解風險及進展。
透過將數據安全擁有權納入企業風險管理,機構不會將數據安全定位為成本,而是策略推動因素。跨平台的統一監督、一致的政策執行及可衡量的結果,可建立信任及持續性。
為何數據保安對現今的企業很重要
數據是現代業務的命脈,客戶記錄、知識產權、分析、雲端工作負載及 SaaS 服務都在推動機構價值增長。然而,數據也是勒索程式、供應鏈攻擊及雲端配置錯誤等現代敵人的目標。被忽略的分散數據、不受支援的基礎設施或老舊管控會令機構風險曝露。
企業以整體方式連繫政策、基建、存取、管控、分析及管治以確保數據安全,減低風險、推動創新及建立彈性。它們履行監管義務並建立持份者信任。他們亦將數據轉化為策略性資產而非責任。
我可以在哪裡獲得數據保安協助?
數據格局不僅需要合規檢查清單,還需要主動、風險知情的方法來保護每個環境的敏感資料。Trend Vision One™ 透過人工智能驅動的企業網絡保安平台提供這項功能,旨在保護在任何地方的數據。
Trend Vision One 透過整合雲端、用戶端、電郵及網絡層面的視野,集中數據防護、私隱保護及合規報告。其原生人工智能引擎 Trend Cybertron™ 分析全球遙測數據,以識別新興風險,並在曝露前建議採取預防措施。了解 Trend Vision One 如何提升您今天的數據保安狀態。
產品管理副總裁 Scott Sargeant 是一名經驗豐富的技術領導廠商,擁有 25 年以上的經驗,一直在網絡資訊保安和資訊科技領域提供企業級解決方案。
常見問題
如何儲存數據?
數據存在於實體驅動器、雲端伺服器或網絡系統,並整理於數據庫中以作檢索及分析。
所有數據是否永久儲存?
否。道德儲存會遵循保留限制的要求,因此數據會在不再需要或法律要求時被刪除或匿名化。
數據保安的基本知識是甚麼?
透過存取管控、加密及監控保護資料,防止未經授權使用、遺失或損毀。
簡單來說,甚麼是數據防護?
使用技術、政策及負責任的人為行動,確保數碼數據安全,避免盜竊、損壞或誤用。
數據保安的五大成份是甚麼?
保密性、完整性、可用性、驗證及問責性;確保數據準確、可存取及可信賴。
數據保安的三大原則是甚麼?
保密性、完整性及可用性——即 CIA 三重奏——是每個安全系統的基礎。
數據保安的例子有哪些?
加密、數據遮罩、威脅偵測及風險管理均能保護敏感的數碼資產。
歐盟通用資料保護法規代表甚麼?
歐盟通用資料保護法規是歐盟的私隱法律,讓個別人士能夠控制機構如何收集和使用資料。
歐盟通用資料保護法規的七項要求是甚麼?
它們包括合法性、公平性及透明度;目的是限制數據最小化、準確性、儲存限制、完整性及保密性,與及問責制。
甚麼是四大數據威脅?
惡意程式、網絡釣魚、憑證濫用及裝置實體遺失會損害機密性及系統可靠性。