美国联邦贸易委员会(FTC)已经成立超过百年时间了。自成立以来,该机构就一直负责保护消费者。正如人们预料的那样,随着互联网越来越商业化,该机构承担的责任也发生了巨大的改变。
在互联网时代,该机构拥有了调查职能。PLC知识产权部门的律师Jennifer Woods提到:“联邦贸易委员会法第五节给予了FTC权利来调查那些“商业活动中的不公平和欺诈行为”,FTC也已经越来越多地将这些权利用在隐私及数据安全内容上,并开始调查各种各样的“不公平”或“欺骗性”行为。”
通过这些调查,FTC成员在如何在不断变化的数字环境中保护消费者上形成了一些有趣的见解及独特的视角。为了分享这些知识,FTC发表了从安全开始,业务指南:FTC案例中得到的经验教训(PDF)。
该指南的介绍解释说,这些“经验教训”是来自FTC调查的50个执法行动案例的结果。该指南介绍说:“这些解决方案及案例细节仅仅适用于这些公司。但这些案例中涉及的失误可以帮助企业改善其做法。”
1:从安全开始
这听起来很简单,但并非所有的企业都意识到安全应该是首要考虑的东西。指南建议:“将安全当作企业每个部门(人力,销售,财务,信息技术等等)决策的考虑因素。”
例如,没有特别的原因就收集和保存信息不再是一个稳健的经营策略。这份指南举了RockYou的案例为例子。该公司出于某种原因收集了用户的电子邮件地址以及密码。
2:控制敏感数据的访问权限
如果企业有正当的理由有保留敏感数据,指南建议企业采取一些合理措施来保证数据的安全。如果员工工作中不涉及机密信息,那么企业也没必要让这些员工访问这些数据。管理访问权限的设置也是如此。
FTC用Twitter的案例来说明了这一点。FTC指控该公司将Twitter系统(包含会员账户)的管理控制权授予了几乎每名员工。指控称,这种类型的访问会增加数据泄露的风险。
3:要求使用密码及身份认证
如果企业存储了敏感信息,那么企业需要部署一个强大的身份认证策略及密码验证以确保仅有授权用户才能连接数据。负责人应该坚持使用复杂,独一无二的密码,确保密码安全存储并防范暴力攻击。
还是Twitter的案例,FTC调查发现Twitter允许员工使用常见的词汇作为管理密码。调查还发现,很多不同的账户可以使用相同的密码访问。FTC称:“宽松的做法让Twitter系统很容易被那些使用密码猜测工具的黑客侵入,或被窃取员工设备的人用同样的密码登录。”
4:加密存储敏感数据并在传输过程中进行保护
对于那些存储敏感数据是业务需要的企业。该指南提供了一些建议。
存储及传输过程中,使用强大的加密算法来保证机密数据安全
专家们以及开发出适用于您的业务的加密标准—-使用它
适当的安装和配置很有必要
该指南也给出了加密措施应用不恰当的案例。Fandango及Credit Karma在移动应用中使用SSL加密。没有部署其他安全补偿措施的话,SSL证书验证可以被关闭。指南解释说:“这使得应用程序容易受到中间人攻击,这会让黑客给对这些应用传输的敏感数据进行解密。”
5:分段网络并监控进出网络的人员
通过防火墙将敏感数据隔离在一个受限接入的网络段,这也是企业需要思考的一些问题。
该指南还强调入侵检测系统(IDS)的需求,指南举了一个CardSystems的案例。没有使用IDS,该公司无法发觉黑客侵入公司网络,收集敏感数据并每四天将数据发送到远程位置。
6:保护网络远程访问
很多著名的数据泄露事件都是从远程访问开始的。回顾这些案例,研究人员发现,企业应重点关注两个因素:确保终端安全及限制远程访问的可用性。
该指南谈到对Dave & Buster的调查时称:“FTC指控该公司未能限制第三方访问其网络。通过利用第三方公司系统的安全漏洞,入侵者多次连接网络并截获私人信息。”
7:开发新产品时,应用完善的安全实践
这条经验教训是针对软件开发者的。通过系列调查案例,该指南明确指出了企业需要做的东西:
培训工程师代码安全相关知识
遵循针对安全性的平台指南
核实隐私及安全功能是否有用
测试已知的软件漏洞
最后一条似乎是显而易见的,但事实并非如此。FTC调查发现了十几个企业没有测试软件产品漏洞的案例,包括流行的SQL注入攻击。
8:确保服务提供商采取了合理的安全措施
谈到服务提供商时经常充满着很多假定条件。指南写到:“采取合理的步骤选择那些采用合理安全措施的服务提供商并监控它们有无满足企业要求。”
FTC在Upromise的案例上直接说到了这一点。Upromise雇佣了一个服务提供商开发浏览器工具栏。该软件理应在发送数据之前删除敏感数据。但实际上该服务提供商并没有这么做。指南并没有说敏感数据泄漏引起了什么问题。但如果引起了问题,Upromise就必须负起责任。
9:建立流程以保证安全,防止泄漏
流程看起来似乎并不重要,但如果有任何法律问题的话,有无适当的流程会对法庭审判产生大影响。FTC指南作者还建议:“确保软件及网络的安全并非一个一劳永逸的交易。这需要企业建立一个不断更新的流程并时刻保持警惕。”
10:确保纸,物理介质以及设备的安全
企业往往会专注数字安全而忘掉老式的纸质产品的安全。根据FTC的控诉:Rite Aid及CVS Caremark将敏感个人信息(如处方)丢到垃圾箱里。
来源:企业网D1Net
更多阅读: