· 提供可靠、准确的高性能服务

· 有利的竞争定位

· 企业信誉

· 客户信任

不同情况下的“最佳实践”可能大相径庭，即使是象密码等特定类型的控制措施。本文中的“最佳”一词并不是其字面意思。它更象是“良好”、“常用”、“谨慎”、“行业标准”或“公认”等概念的组合。

请注意，诸如 IS027001、COSO、COBIT和ITIL等框架提供了范围广泛的控制目标，但并未提供具体的信息保护控制措施。虽然并不存在能够让您的企业照本宣科地用于实施最佳实践的钦定框架，但有各种数据保护控制措施已被普遍接受为合理、基本和良好的实践。归根结底，您的企业管理团队、纪检人员和行业标准才是决定什么样的最佳实践才是适用于企业的真正权威。

每个企业都拥有敏感数据：商业秘密、知识产权、关键业务信息、业务合作伙伴信息或客户信息。必须根据公司政策、法规要求和行业标准保护所有此类数据。本章节将讨论保护此类数据的几项要素。

任何收集、使用和存储敏感信息的企业均应制订信息分类政策和标准。该分类政策和标准应按企业的需求包含少数几个分类等级。大多数企业至少设有公共、仅供内部使用和机密等三个类别。

许多企业都有长期沿用的数据分类指导方针。然而，随着不断增多的新法规与行业标准的发展，仅仅存在公司政策已是不够。部分企业付出了大量的时间和精力，通过部署不同的控制措施和工具以尽量减少违规风险，将他们的数据保护政策实体化为信息技术（IT ）基础设施。在过去几年中涌现的数据泄漏检测、预防和保护技术现已获得 IT 机构的广泛采用。

应由数据治理、风险管理、合规性和业务要求来决定每项数据类别的数量及定义，以及针对数据标识、存储、分配、披露、保留和销毁的要求。显然，监管与行业规则和标准将在定义过程中扮演重要角色。其他数据同样需要保护，其中包括商业秘密、研究成果、配方、申请专利之前的发现以及各种形式的客户与员工信息。

数据保护的另一个重要方面是了解数据在企业运营中的使用方式，以及数据的存放形式（如硬拷贝、电子文档、数据库内存储）。此外，在生产、生产支持、开发、质量保证（QA）或第三方等不同类型的操作环境中，保护要求也各异。

必须明确规定对敏感或机密数据的保护要求，并在相应的监管与行业规则和标准或业务政策内反映出具体的要求。必须将特定的数据元素标记为敏感数据，且绝不应按真实形态用于开发、质保或其他非生产环境中。数据分类政策应清楚确认数据屏蔽要求。

最后，企业必须实施审计流程，定期提供独立评审以确保对最佳实践的遵行。

企业必须为所有隐私、敏感和机密数据的分类建立全套政策和规程，从而为企业的关键数据资产提供充分保护。此外，企业还应实施以下步骤：

1. 定期为员工、承包商和第三方服务提供商提供培训，提高其数据分类意识

2. 将保护规程融入日常业务流程中，并在可行情况下尽可能实现流程自动化

3. 定期进行独立审计并将结果上报高管

敏感数据以两种形式出现：结构化和非结构化。结构化敏感数据存在于业务应用程序、数据库、企业资源规划（ERP）系统、存储设备、第三方服务提供商、备份介质及企业外部存储设施内。非结构化敏感数据则散布于企业的整个基础设施中，包括台式机、手提电脑、各种可移动硬盘及其他端点上。

企业必须定义、实施和执行其数据分类政策，并为保护结构化和非结构化敏感数据提供规程和标准。对于非结构化数据，企业可使用端点安全工具来控制便携式设备和介质的使用，通过内容分析工具来检测是否存在敏感数据，并通过加密工具来防止对这些设备的无授权访问。对于结构化数据，企业则可使用加密和数据屏蔽软件。

数据泄漏是故意或无意中向不可信的第三方透露或遗失数据。业务合作伙伴、客户和员工相信持有与他们相关的数据的企业将会采取合理措施来保护其敏感数据的机密性和完整性，而这些企业必须预见并防止敏感数据遭到有意或无意的误用、泄漏或盗窃。

可用的技术从简单地封锁设备、路径、端口、其他形式的存取访问以及对设备、介质和接连的大规模加密，到更加复杂或有选择性的封锁。现有技术能够实时监测内容以确定所选信息、状况、人员、权限和操作，从而对数据进行封锁、隔离、加密、登录、报警或净化。存在两种方法：扫描静态数据和分析动态数据。这些技术可被部署在基础设施的多个部分，但更常见于端点设备和外部网关。端点设备通常包括可移动数字存储装置、硬件设备及多种形式的网络连接，这些接连提供对众多内部网络资源的访问，在某些情况下能够规避内部管理的网络网关而延伸到企业之外。上述设备经常成为数据泄漏的渠道。

预防数据泄漏的部分主要驱动因素来自于监管法规，例如金融服务现代化法案（BLBA ）、医疗保险流通与责任法案（HIPAA）以及 37个州立反泄漏法，或来自于行业要求，如支付卡行业数据安全标准（PCI‑DSS），此外还来自于 NERC网络安全标准（CIP）、DHS 、NIST 等国家安全机构，以及企业政策。

预防数据泄漏

在整个基础设施内部署和集成技术与流程，以检测及/或防止企业的敏感数据外泄。这些步骤将需要物理和逻辑上的控制与技术、变更常规的业务和运营流程，并对访问敏感信息的人员实行持续监控和评估。

敏感数据和数据脱敏

需要对“真实数据”以及我们所称的“非翔实但真实的数据”或“被屏蔽数据”有一个通用的定义，这一点十分重要。

譬如，在 SAP ERP中，由数据元素定义数据特征，其中包括类型、长度以及“名字”、“姓氏”或“城市”等业务术语。

实际表格中包含的数据可能属实（如真正的社会保险号码），也可能非属实（如符合用于该特定数据元素之数据定义的随机数字组合）。“客户”或“订单”等数据元素时常通过关键字段的使用而彼此关联。在与众多数据元素有所关联的情况下，保护单个数据元素变得复杂起来。在单独情况下，某些数据元素可能并不包含敏感数据，但一旦与其它数据元素发生联系，即全部成为敏感数据。因此，数据屏蔽软件必须快速达到高度精密的程度才能确保为所有敏感数据提供保护（屏蔽），同时依然维持数据的语境价值和参考完整性。

有时，企业会自行开发数据屏蔽工具，但这些工具的效率参差不齐。不过，由于来自法规要求和罚款风险的紧迫压力、对商誉的不利影响以及刑事定罪的可能性，企业已纷纷转向第三方数据屏蔽技术，这些技术根据不断演进的标准和法规而定期更新换代。

数据脱敏最佳实践

在开发、质保、沙箱系统、培训、生产支持以及生产等生产和非生产环境中采用久经验证的商业解决方案来屏蔽敏感数据。选择一个在其解决方案中包括以下方面的供应商：

· 可支持多种数据库和应用程序

· 久经验证的成功记录

· 数据发现功能

· 即开即用的数据屏蔽原数据，以加快项目完成时间

· 转换逻辑直白易懂

· 可扩展的高性能数据屏蔽服务器

· 数据屏蔽规则易于使用且可重复利用

· 内置责任分离功能

· 审计与验证功能

让数据屏蔽成为您的标准数据提供流程的一部分，从而在非生产环境中杜绝敏感数据的存在。

绝不向第三方或离岸团队提供未经屏蔽的敏感数据。

绝不允许开发人员或其他无授权人员在未动态屏蔽敏感数据的情况下访问生产数据。

根据您的企业开展业务所在的国家，针对敏感数据保护的要求可能各有不同。几乎每个国家都设有数据隐私法，因此您务必应对每项相关法律及其支持要求执行一次全面审查。您将会发现，至少就其实质或用意而言，此类法规存在着大量共同之处。本白皮书将着重讨论北美地区的部分最常用法规。

法规行业要求

虽然每项法规各有独特之处，但遵守其中一项有助于您遵守另一项法规（或将违规风险降至最低）。一般来说，数据安全技术可广泛适用于这些法规要求以及多种行业。某一行业开发的最佳实践很可能对其他行业也有所帮助。

长期以来，许多金融服务公司一直对数据安全问题严阵以待。监管机构所要求采取的大部分控制措施仅仅被视为用于赢取客户信任的良好商业惯例。而最新颁布的法规也不过添加了几条新概念。许多公司将发现他们在合规性方面已是轻车熟路。

由于应由非直接涉及控制措施的设施或操作的各方来执行此类测试和监测，将名为“IT风险管理”或“IT 数据治理”的新型业务职能作为新的最佳实践的情况显著增长。金融服务行业首当其冲，但其他行业也在纷起效仿。

多项法规与行业标准针对第三方服务提供商制订了特殊要求。这些服务提供商包括 IT外包商、第三方软件供应商以及履行特定业务流程环节的提供商（如为公司发送促销邮件而必须获得客户姓名和地址的商家）。

仅仅因为所涉及的信息转由他人负责经手并不意味着您的企业可以无事一身轻，不需要承担保护敏感信息的责任。

法规与行业标准要么暗示、要么明言企业必须根据实际变化进行调整。您的企业必须时刻跟进在业务风险资料、业务流程、员工培训、所有类型的威胁、技术、软件错误以及源源不断的软件应用程序补丁中发生的变更情况。

一般合规性最佳实践

数据隐私最为重要的方面之一是使用风险管理方法。如果您的企业处理健康、财务或其他个人信息，那么您应以风险规避作为风险模式，因此您对于这些要求的阐释应趋向于采用更高的控制标准。

隐私属于保密的子范畴，而就这些法规与行业标准的实质而言，您必须通过采用最新的行业安全技术产品和解决方案，保护其免遭无授权访问。

某些最佳实践技术在主机和网络网关处挤出内容、加密或屏蔽静态数据、对敏感数据存储实施网络细分，并在基础设施和应用程序层面记录针对敏感数据的所有访问尝试。必须在所有环境中加密静态数据，并在非生产环境中对其进行屏蔽。在数据存储环境中使用防篡改技术是新的最佳实践方法之一。

便携式设备加密现已成为一项行业标准最佳实践，不对包含敏感信息的便携式设备加密可被监管机构、法院和公众视为玩忽职守。

对您的安全基础设施和 IT控制环境执行实时和频繁的测试。至少应每年一次通过实际切换到各自的站点，对灾难恢复和业务连续性计划进行测试。某些企业按季度对其灾难恢复计划进行测试。

只要风险假设决策由正确的人员做出，并且只要这些人员获得了足够的信息，那么任何风险都是假设存在的。

风险可导致增加业务经营成本的潜在后果。控制措施亦不例外，同样可能添加显而易见的成本（如新流程、IT设备或软件许可证），并且还可能带来质量成本（如对客户或员工造成不便，或导致处理开销）。只有在控制成本少于所规避的危害成本的情况下，才是合理的成本。

无论您付出多少，也不可能实现完美控制，这是另一项平衡术。严格的控制往往代价更高，而且几乎总是对流程和人员产生更多侵扰。最小权限和“须知”原则是广为人们接受的最佳实践，但并非始终易于实施。假如您将用户完成工作所需的权限限制在最低程度，您就能够尽量做到将该用户访问您的环境时的相关风险降至最低。有些公司认为，应给予所有员工以任何方式服务客户的能力。这一业务选择或多或少地让权限限制成为了空谈。人们要么维护、要么破坏安全性，再多的技术也无法补救不良的做法和行为。

每一项控制措施归根结底都依赖于某种可能出错的人为流程：来建立、配置、管理和使用该控制措施。

在开发过程中保护数据安全

必须对由应用程序和数据库处理及/或存放在应用程序和数据库中的数据提供保护。因此，必须保护应用程序和数据库的安全。对于应用程序和数据库安全来说，基础设施安全是必要的，却不足以保证万无一失。应用程序和数据库本身应对总体安全模式有所助益，并与动态数据屏蔽软件相辅相成。

在非生产环境中，在应用层安全不适用的情况下，应用程序和数据库更为开放。有些人可能认为，对托管应用程序的基础设施实行严密保护就足够了，但真实情况远非如此。应用程序处于IT食物链的顶端：它们是业务生命线的核心，并且是通往消费者、业务客户和业务合作伙伴的渠道。控制措施始于IT部门，但在开发和质保环境中，由于用户的工作职能性质，采取严格的控制措施是不切实际的做法。开发人员、测试人员和培训人员为履行其职责，将要求访问全企业内多种不同类型的数据。

Informatica采用的数据脱敏方法基于终端用户的网络权限实时进行，与现有的ActiveDirectory、DAP 和IdentityAccess Management软件配合无间，确保每名用户的个人网络登录均会针对该用户有权访问的信息类型，触发响应的数据脱敏规则。这一验证流程能够随着终端用户数量的增长，轻松地扩展至额外的数据库中，所造成的延时仅为0.15毫秒，几乎不对网络资源产生任何可觉察的影响。

Informatica DDM 使用多种数据脱敏、加密和封锁方法，这些方法可根据组织的安全需求单独或共同应用：

· 数据替换——以虚构数据代替真值

· 截断、加密、隐藏或使之无效——以“无效”或 ***** 代替真值

· 随机化——以随机数据代替真值

· 偏移——通过随机移位改变数字数据

· 字符子链屏蔽——为特定数据创建定制屏蔽

· 限制返回行数——仅提供可用回应的一小部分子集

· 基于其他参考信息进行屏蔽——根据预定义规则仅改变部分回应内容（例如屏蔽VIP 客户姓名，但显示其他客户）

此外，InformaticaDDM还具备针对终端用户等级的访问进行监控、登录、报告和创建审计跟踪的功能。该功能可简化遵守数据隐私法规和内部报告需求的流程，同时显著降低数据侵害风险。

在今日竞争激烈的市场中，数据安全和快捷性能缺一不可。凭籍动态数据屏蔽，组织将能够快速升级扩展，为敏感和隐私信息提供实时保护，而不必迫使IT部门对应用程序和数据库进行昂贵且耗时的变更，从而避免影响生产效率，更重要的是，不会干扰员工履行其职责的能力。