保護消費者數據的10條安全建議

美國聯(lián)邦貿易委員會(huì )(FTC)已經(jīng)成立超過(guò)百年時(shí)間了。自成立以來(lái)，該機構就一直負責保護消費者。正如人們預料的那樣，隨著(zhù)互聯(lián)網(wǎng)越來(lái)越商業(yè)化，該機構承擔的責任也發(fā)生了巨大的改變。

在互聯(lián)網(wǎng)時(shí)代，該機構擁有了調查職能。PLC知識產(chǎn)權部門(mén)的律師Jennifer Woods提到：“聯(lián)邦貿易委員會(huì )法第五節給予了FTC權利來(lái)調查那些“商業(yè)活動(dòng)中的不公平和欺詐行為”，FTC也已經(jīng)越來(lái)越多地將這些權利用在隱私及數據安全內容上，并開(kāi)始調查各種各樣的“不公平”或“欺騙性”行為?！?/span>

通過(guò)這些調查，FTC成員在如何在不斷變化的數字環(huán)境中保護消費者上形成了一些有趣的見(jiàn)解及獨特的視角。為了分享這些知識，FTC發(fā)表了從安全開(kāi)始，業(yè)務(wù)指南：FTC案例中得到的經(jīng)驗教訓(PDF)。

該指南的介紹解釋說(shuō)，這些“經(jīng)驗教訓”是來(lái)自FTC調查的50個(gè)執法行動(dòng)案例的結果。該指南介紹說(shuō)：“這些解決方案及案例細節僅僅適用于這些公司。但這些案例中涉及的失誤可以幫助企業(yè)改善其做法?！?/span>

十大經(jīng)驗教訓

1：從安全開(kāi)始

這聽(tīng)起來(lái)很簡(jiǎn)單，但并非所有的企業(yè)都意識到安全應該是首要考慮的東西。指南建議：“將安全當作企業(yè)每個(gè)部門(mén)(人力，銷(xiāo)售，財務(wù)，信息技術(shù)等等)決策的考慮因素?！?/span>

例如，沒(méi)有特別的原因就收集和保存信息不再是一個(gè)穩健的經(jīng)營(yíng)策略。這份指南舉了RockYou的案例為例子。該公司出于某種原因收集了用戶(hù)的電子郵件地址以及密碼。

2：控制敏感數據的訪(fǎng)問(wèn)權限

如果企業(yè)有正當的理由有保留敏感數據，指南建議企業(yè)采取一些合理措施來(lái)保證數據的安全。如果員工工作中不涉及機密信息，那么企業(yè)也沒(méi)必要讓這些員工訪(fǎng)問(wèn)這些數據。管理訪(fǎng)問(wèn)權限的設置也是如此。

FTC用Twitter的案例來(lái)說(shuō)明了這一點(diǎn)。FTC指控該公司將Twitter系統(包含會(huì )員賬戶(hù))的管理控制權授予了幾乎每名員工。指控稱(chēng)，這種類(lèi)型的訪(fǎng)問(wèn)會(huì )增加數據泄露的風(fēng)險。

3：要求使用密碼及身份認證

如果企業(yè)存儲了敏感信息，那么企業(yè)需要部署一個(gè)強大的身份認證策略及密碼驗證以確保僅有授權用戶(hù)才能連接數據。負責人應該堅持使用復雜，獨一無(wú)二的密碼，確保密碼安全存儲并防范暴力攻擊。

還是Twitter的案例，FTC調查發(fā)現Twitter允許員工使用常見(jiàn)的詞匯作為管理密碼。調查還發(fā)現，很多不同的賬戶(hù)可以使用相同的密碼訪(fǎng)問(wèn)。FTC稱(chēng)：“寬松的做法讓Twitter系統很容易被那些使用密碼猜測工具的黑客侵入，或被竊取員工設備的人用同樣的密碼登錄?！?/span>

4：加密存儲敏感數據并在傳輸過(guò)程中進(jìn)行保護

對于那些存儲敏感數據是業(yè)務(wù)需要的企業(yè)。該指南提供了一些建議。

存儲及傳輸過(guò)程中，使用強大的加密算法來(lái)保證機密數據安全

專(zhuān)家們以及開(kāi)發(fā)出適用于您的業(yè)務(wù)的加密標準—-使用它

適當的安裝和配置很有必要

該指南也給出了加密措施應用不恰當的案例。Fandango及Credit Karma在移動(dòng)應用中使用SSL加密。沒(méi)有部署其他安全補償措施的話(huà)，SSL證書(shū)驗證可以被關(guān)閉。指南解釋說(shuō)：“這使得應用程序容易受到中間人攻擊，這會(huì )讓黑客給對這些應用傳輸的敏感數據進(jìn)行解密?！?/span>

5：分段網(wǎng)絡(luò )并監控進(jìn)出網(wǎng)絡(luò )的人員

通過(guò)防火墻將敏感數據隔離在一個(gè)受限接入的網(wǎng)絡(luò )段，這也是企業(yè)需要思考的一些問(wèn)題。

該指南還強調入侵檢測系統(IDS)的需求，指南舉了一個(gè)CardSystems的案例。沒(méi)有使用IDS，該公司無(wú)法發(fā)覺(jué)黑客侵入公司網(wǎng)絡(luò )，收集敏感數據并每四天將數據發(fā)送到遠程位置。

6：保護網(wǎng)絡(luò )遠程訪(fǎng)問(wèn)

很多著(zhù)名的數據泄露事件都是從遠程訪(fǎng)問(wèn)開(kāi)始的?；仡欉@些案例，研究人員發(fā)現，企業(yè)應重點(diǎn)關(guān)注兩個(gè)因素：確保終端安全及限制遠程訪(fǎng)問(wèn)的可用性。

該指南談到對Dave & Buster的調查時(shí)稱(chēng)：“FTC指控該公司未能限制第三方訪(fǎng)問(wèn)其網(wǎng)絡(luò )。通過(guò)利用第三方公司系統的安全漏洞，入侵者多次連接網(wǎng)絡(luò )并截獲私人信息?！?/span>

7：開(kāi)發(fā)新產(chǎn)品時(shí)，應用完善的安全實(shí)踐

這條經(jīng)驗教訓是針對軟件開(kāi)發(fā)者的。通過(guò)系列調查案例，該指南明確指出了企業(yè)需要做的東西：

培訓工程師代碼安全相關(guān)知識

遵循針對安全性的平臺指南

核實(shí)隱私及安全功能是否有用

測試已知的軟件漏洞

最后一條似乎是顯而易見(jiàn)的，但事實(shí)并非如此。FTC調查發(fā)現了十幾個(gè)企業(yè)沒(méi)有測試軟件產(chǎn)品漏洞的案例，包括流行的SQL注入攻擊。

8：確保服務(wù)提供商采取了合理的安全措施

談到服務(wù)提供商時(shí)經(jīng)常充滿(mǎn)著(zhù)很多假定條件。指南寫(xiě)到：“采取合理的步驟選擇那些采用合理安全措施的服務(wù)提供商并監控它們有無(wú)滿(mǎn)足企業(yè)要求?！?/span>

FTC在Upromise的案例上直接說(shuō)到了這一點(diǎn)。Upromise雇傭了一個(gè)服務(wù)提供商開(kāi)發(fā)瀏覽器工具欄。該軟件理應在發(fā)送數據之前刪除敏感數據。但實(shí)際上該服務(wù)提供商并沒(méi)有這么做。指南并沒(méi)有說(shuō)敏感數據泄漏引起了什么問(wèn)題。但如果引起了問(wèn)題，Upromise就必須負起責任。

9：建立流程以保證安全，防止泄漏

流程看起來(lái)似乎并不重要，但如果有任何法律問(wèn)題的話(huà)，有無(wú)適當的流程會(huì )對法庭審判產(chǎn)生大影響。FTC指南作者還建議：“確保軟件及網(wǎng)絡(luò )的安全并非一個(gè)一勞永逸的交易。這需要企業(yè)建立一個(gè)不斷更新的流程并時(shí)刻保持警惕?！?/span>

10：確保紙，物理介質(zhì)以及設備的安全

企業(yè)往往會(huì )專(zhuān)注數字安全而忘掉老式的紙質(zhì)產(chǎn)品的安全。根據FTC的控訴：Rite Aid及CVS Caremark將敏感個(gè)人信息(如處方)丟到垃圾箱里。