信息时代让数十亿人的信息处于网络盗窃的威胁之中。数百万的用户使用社交网站(如Facebook、Myspace和Twitter等),人们自愿地使用这些网站,并将各种个人信息贴在上面给大家看。突然间,我们有机会查看从未联系过的陌生人的资料,这既有其优势,更是有很多劣势,一旦这些信息落入不法分子的手中,就能够被用来窃取用户的其他重要信息,例如信用卡账户等。
我们(企业或个人用户)总是假设我们的信息只能被那些特定对象看到,并因此自欺欺人地认为我们的信息仍然是安全且隐秘的。但是我们应该扪心自问,真的是这样吗?将我们的信息放在公开的网站,仍然能够确保个人信息的隐私性吗?很多人仍然愿意相信这是真的。有几种方法可以帮助我们保护这些信息的安全性:使用高强度独特的密码、密码保护无线网络、激活远程锁定功能、关闭设备的GPS功能,并确保社交网站的安全设置都设置正确。
这说明人们愿意将他们的隐私和数据置于风险之中,然而认为自己能够控制这些信息,但是在很多情况下,你会发现,出于种种原因,这些信息已经不在你控制之中,那么,我们该如何避免这样的情况呢?
每个人都有保护个人信息的权利,每次你打开银行账户;加入一个社交网站或者预定机票,都需要输入重要个人信息。这些信息(你的姓名、地址、银行信息)都应该受到保护并确保其隐私性。然而,如果这些信息落入坏人之手会发生什么情况呢?安全技术正在迅速发展,而与此同时,不怀好意的网络罪犯也在不断加强自己的技术。从各种研究调查表明,很多用户密码可以很容易地被猜出来。
双因素身份验证(2FA)
在这种情况下,只有双因素身份验证能够提供更好的安全保护。使用密码(单因素身份验证)保护你的信息安全已经不再是可行的办法,使用密码作为唯一的安全保护方法已经成为过去时,双因素身份验证才是更好的选择。
双因素身份验证意味着使用两种独立的验证方法来确认一个实体。这并不是一个新概念,以前也曾被使用过。双因素身份验证的例子包括银行客户使用ATM机,第一个身份验证因素是用户插入ATM机的银行卡,第二个身份验证因素是个人密码,只有当这两个因素都存在时,才能进行身份验证。这种情况说明了基础双隐私身份验证方式,即第一个因素是物理因素(你拥有的东西),第二个因素是密码(你知道的东西)。
你有三种方式来验证一个人的身份,这是基于:
你有什么(实质性的东西);
你知道什么(例如密码或PIN);
生物识别。
从这里来看,最安全和最实用的双因素身份验证方式是使用“你有什么”和“你知道什么”作为两个标准,因为生物识别技术有其缺点和复杂度(成本、错误识别和错误拒绝等)。双因素身份验证本质上就比单因素身份验证更加安全,即使密码被破解了,用户仍然受到保护,因为还需要出示硬件令牌(不断变化的PIN号码)或者第二身份验证因素。
双因素身份验证及其发展方向
基础双因素身份验证正在迅速发展。你不再需要随身携带令牌,现在可以利用你的手机或者身份证来进行验证。双因素身份验证的最新趋势包括通过手机验证,手机变得越来越普及,可以更方便更有效地进行验证。双因素身份验证市场正在快速向前房展,出列令牌、短信和软件验证外,自适应双因素身份验证方式也开始出现。双因素身份验证既可以作为服务来提供,也可以为云环境中的特定应用程序来使用,开发人员都热衷于将双因素身份验证技术直接建在不同应用程序本身中,将身份验证整合到系统中。
双因素身份验证已经从最开始的硬件令牌发展到现在的各种设备。这种技术的使用将继续增长,因为人们逐渐开始意识到保护个人信息和企业数据的重要性和紧迫性。
当考虑在你的企业使用双因素身份验证时,应该仔细考虑所有的因素。没有任何企业或用户是相同的,因此身份验证应该满足具体用户的要求,例如:
普通用户可能更加适合使用每六十秒生成一个新密码的物理令牌;
偶尔使用的用户需要临时访问数据,最好通过手机短信进行身份验证。
保护企业数据安全和隐私的步骤
数据盗窃正在逐渐增加,企业开始意识到必须防止非公开信息的内部泄露。企业应该采取措施来保护非公开信息的隐秘性。以下这些步骤可以帮助防止数据泄露:
1、识别并优先保护易受攻击的信息,例如机密信息
保护这些信息的第一步应该是,按照价值程度和机密程度将这些信息分类,应该受到保护的信息类型包括:
• 结构化信息(社会安全号码、账号、个人身份证号码、信用卡号码)
• 非结构化信息(联系方式、财务信息和客户信函)
2、进行风险评估并分析信息流
为了保护信息安全,你需要了解这些信息在企业的流动性。你需要确定信息流,然后检查可能出现潜在泄露的位置。这可以通过分析几个问题来了解:
• 谁具有访问信息的权利
• 数据是如何创建、修改、加工或者分发的?
• 数据在网络中的移动情况
• 是否符合政策要求
通过检查信息的流动情况,你就能够确定存在潜在泄露的位置,然后在这些位置加强预防措施。
3、保持政策的更新,确保对访问、使用情况和数据分配执行了严格的政策
不同的信息应该使用不同的政策来管理。不应该对所有公司数据执行通用的政策,分类数据或信息都应该有独特的政策来管理,例如客户数据、员工记录和知识产权信息不能采用相同的政策,每种信息都应该有自己独特的政策来管理,因为这些数据本质上不相同。这也是上一步骤信息分类的重要性。
部署好政策后,应该对其进行监控和执行,否则根本没有用。
4、身份验证
确定谁能够访问数据和通过身份验证。
使用强大的双因素身份验证,这可能涉及各种各样的产品和应用程序。通过这种方式,你就能够控制哪些人能够访问数据,而哪些人不能访问数据。
5、通过监控、执行和审查来控制对数据的访问权限
为了保护机密信息和公司资产的安全性,必须确保对政策的控制和执行力度。应当在企业内数据流的路径中建立控制点,这样可以在任何时间来验证合规性,并能够阻止未经授权流量。部署好政策后,不能就把政策丢在脑后了,应该定期进行审查,并在必要时进行修改,以确保系统始终处于最佳状况。另外,外部审计也是很有用的。
6、加密数据
确保数据在网络的所有点都进行了加密,包括传输中的数据以及存储在数据库中的数据
你的安全规划应该包括
• 访问、计划和设计
• 身份验证(强大的双因素身份验证)
• 访问控制(监控、审计和日志记录)
• 加密(端到端)
结语
无论是保护个人信息,还是保护公司数据,都是一个漫长的旅程,而不是一次性解决的问题。你需要采取系统的方法来识别重要数据,并部署不同的措施来帮助保护数据。采用各种措施保护数据和资产,包括在各个点进行数据加密,例如流动中的数据以及存储在数据库中的数据,还有双因素身份验证。还应该采取预防措施来控制数据访问和数据的分布。黑客并不是唯一的威胁,防火墙能够阻止黑客进入网络内部,然而,这项技术却忽视了内部威胁。企业应该结合多种安全措施来保护数据安全,这比采取任何单独措施都更加有效。
