数据加密：避免数据灾难的3个方法

　　在互联网时代，数据安全一直都是值得重点的关注的问题。多数企业更关注的是网络安全，保护和加强周边环境，但忽视了内部威胁。其实数据往往最容易受到内部威胁，而且一旦造成数据泄露，就会遭遇损失惨重。

　　为了避免数据灾难，企业应该采取以下步骤。

　　步骤1：在使用数据的地方实施高级加密

　　全球发生的一些最大的数据泄露事件通常是内部人员采取的行为所导致的，而涉及内部参与人员的数据安全事件的数量在不断增加，Verizon公司预测，四分之一的违规行为是内部人员泄露所为。

　　加密并不是数据库中的新功能，但如今的加密措施必须以更具战略性和系统性的方式实施，以保护数据免受网络犯罪分子和内部人员的威胁。企业要依靠一个加密系统进行加密，其不仅要禁止外来者进入，而且还要确保系统管理员或其他内部人员在系统中的安全操作。此外，高级加密系统至关重要。

　　具体来说，可以支持频繁的密钥轮换。或者换句话说，系统组件或数据子集的部分数据泄露不会导致整个组织的数据泄露。最重要的是，在使用数据的地方需要进行加密，并且必须全程加密，直到数据进入数据集或数据库进行解密，而企业的系统管理员或网络工程师在此期间无法访问。通过自动和快速的细粒度密钥轮换和基于角色的访问控制，高级加密有助于提供安全管理员与任何系统、网络或数据库管理员之间的职责分离——这将大大减少数据的曝光量。

　　步骤2：使用编辑来避免共享敏感数据

　　企业需要平衡数据保护和分享能力。编辑是抑制敏感数据泄露的过程，例如个人身份信息(PII)。这对于有效数据的安全性至关重要，因为企业希望能够在导入、导出或复制数据进出数据库时删除或屏蔽信息。

　　步骤3：在单个文档级别实现元素级安全性

　　许多数据库很容易受到攻击，因为它们没有采用细粒度的安全控制。显然，锁定所有数据不是一个很好的选择。企业的内部员工不仅需要访问，而且企业还必须为合作伙伴、承包商、顾问、审计员，以及其他关键成员共享数据。

　　组织需要进行适当的安全控制，以确保正确的数据可以与组织内部和外部的人员共享。编辑数据是必备要素，但企业也需要能够在单个文档级别实施基于角色的访问控制。例如，允许管理员查看人员的社会安全号码，但对内部操作人员访问和使用隐私信息进行一些限制。

　　但是，组织不应该止步于此。元素级安全性可以进一步提高数据安全性，使管理人员可以将额外的细粒度控制应用于文档的各个部分。这可以保护敏感信息，无论出现在文档结构中的哪个位置，也不管其架构如何。

　　综上，企业除了要增强数据库级别的安全性，以加强数据安全；也应该该采用以上策略来保护数据免受内部威胁。