增强静态数据的安全性

静态数据是数字数据的三种状态之一，它是指任何静止并包含在永久存储设备（如硬盘驱动器和磁带）或信息库（如异地备份、数据库、档案等）中的数字信息。

静态数据是指被动存储在数据库、文件服务器、端点、可移动存储设备和脱机备份中的所有数据，与其他数据分类相比，静态数据处于非活动状态，通常被管理员视为目标较少，因此通常使用不适当的控制来保护它。然而敏感数据静态信息，如存储在不安全位置的 PII、ePHI 和信用卡信息，是网络安全弱点的主要来源，也是恶意实体窃取数据的磁铁。

数据状态的分类

静态数据是数据状态的三种分类之一，其他分类是动态数据和使用中数据，使用中的数据是组织及其利益相关者当前正在访问、修改或处理的数据。动态数据是离开公司外围供外部利益相关者使用或由远程工作的员工取出的数据。这三种数据状态的分类在规划和实施数据泄漏防护（DLP）策略时非常有用。

静态数据与动态数据

每种数据状态都需要采用不同的安全和控制方法，可以从数据使用、传输、易受攻击和安全控制等方面查看差异点。

	静态数据	动态数据
用法	用户当前未访问、修改或处理的静态数据	正在共享的数据
传输	仅按需或从不	持续或频繁共享
易受攻击	高：用于云存储备份 低：用于脱机备份	始终高：通过互联网传递的未加密数据，用于传输数据的不安全可移动存储设备
有效的安全控制	具有高度物理安全控制的离线备份	对通过互联网传输的数据进行加密，限制 USB 设备和文件复制活动，以使用数据泄漏防护解决方案控制传输的数据

对静态数据的威胁

通过利用各种漏洞利用策略，攻击者最终可以追踪到机密数据，如果能够直接访问静态数据的系统容易受到攻击，存储数据的网络受到污染，或者对包含数据的各种设备的控制被劫持，则静态数据的完整性将受到威胁。

• 黑客试图访问数据的云备份
• 脱机备份的物理安全控制不力
• 由于无意的物理存储损坏而导致的数据丢失
• 用户获得未经授权的访问
• 粗心的员工在远程工作情况下暴露存储在组织设备中的数据

静态数据安全在组织内的重要性

组织通常使用传统的外围屏障来保护其静态数据，例如防火墙、密码保护、防病毒软件和磁盘加密，虽然这些数据安全措施可以防止更明显的入侵，但恶意攻击者通常通过更谨慎的利用技术渗透到网络中，例如通过网络钓鱼诈骗欺骗员工，或通过渗透外围设备进行企业间谍活动。

因此在传统安全框架之外优化网络保护至关重要，业界建议采用零信任模型方法来确保静态数据的安全性，这要求所有尝试访问静态数据的设备和用户都保持被阻止状态，直到他们提供可用于验证其权限的凭据，从而将其归类为受信任的凭据。

静态数据保护的优势

• 防止可能导致数据泄露的内部攻击。
• 避免通过设备进行数据泄露的谨慎尝试。
• 确保只有受信任的用户才能访问静态数据。
• 通过分配特定的文件访问权限来满足用户和组织的要求。
• 通过对高度敏感的信息采取额外的安全措施来实现法规遵从性。
• 通过广泛的审计，更好地了解静态网络数据。

保护静态数据的策略

• 构建受信任设备列表
• 为静态数据分配精细的文件访问策略
• 查看一致的报告和审计

构建受信任设备列表

轻松构建受信任设备和相应用户的列表，以确保只有经过验证的、有凭据的组织成员才能访问特定数据，这些成员已将其使用目的对 IT 管理员透明。

通过根据计算机的功能创建计算机组，并确定每个组的辅助使用哪些外围设备，加倍控制计算机端口。

仅允许加密设备访问静态数据。此附加安全规则可确保数据在传输和处理时仍受到保护，不会受到未经授权的查看者的侵害。

为静态数据分配精细的文件访问策略

强制实施不同级别的权限，例如只读权限、允许在计算机内创建文件、允许通过设备传输文件或完全阻止设备执行任何与文件相关的操作。由于传输大多数静态数据可能会增加无意中泄露数据的风险，因此建议对需要访问某些静态数据的大多数员工实施只读文件访问。

在实现基于角色的访问控制时，还应考虑用户的角色及其任务，高级员工可以获得更好的权限，但如果他们是第三方用户，则可以将其限制为临时访问。

查看一致的报告和审计

为了持续监控网络中包含的信息量，重要的是要通过考虑哪些部门和员工通常请求访问、信息的存储位置、敏感性和机密性的分类以及遵守哪些合规性和隐私法规来识别信息类型。利用具有细致报告功能的软件，IT 管理员可以深入了解静态数据的所有特征，这有助于构建适合组织标准和用户要求的策略。确保您可以配置设置，以便在尝试查看静态数据时始终如一地接收报告和审核。

如何保护静态数据

DataSecurity Plus是一个统一的数据可见性和安全平台，可对文件服务器、数据库或端点生成的事件进行精细监控、分析和报告。借助DataSecurity Plus的数据泄漏防护功能，可以：

• 监控端点中访问和共享的敏感文件，以快速检测恶意活动。
• 跟踪文件复制事件以识别可疑的用户活动，并设置预定义的响应以阻止未经授权的复制操作。
• 筛选出站电子邮件中的分类附件并阻止它们，以防止业务关键型数据离开组织。
• 限制或阻止 USB 存储设备，以避免组织数据泄露或在组织外部共享。
• 仅允许员工使用组织批准的可移动存储设备。
• 审核打印机活动，以分析尝试在打印中重现信息的用户。