Какие средства защиты информации от несанкционированного воздействия доступны в Windows

Обновлено: 28.06.2024

Вы контролируете свои данные. Когда вы помещаете свои данные в облачное хранилище OneDrive, вы остаетесь владельцем данных. Дополнительные сведения о праве собственности на ваши данные см. в статье Конфиденциальность Office 365 по замыслу.

Посмотрите этот учебный курс, чтобы узнать о функциях OneDrive, которые можно использовать для защиты ваших файлов, фотографий и данных: Защита, защита и восстановление OneDrive

Как вы можете защитить свои данные

Вот что вы можете сделать, чтобы защитить свои файлы в OneDrive:

Добавьте информацию о безопасности в свою учетную запись Microsoft. Вы можете добавить такую ​​информацию, как номер телефона, дополнительный адрес электронной почты, секретный вопрос и ответ. Таким образом, если вы когда-нибудь забудете свой пароль или ваша учетная запись будет взломана, мы сможем использовать вашу информацию для безопасности, чтобы подтвердить вашу личность и помочь вам вернуться в свою учетную запись. Перейдите на страницу сведений о безопасности.

Используйте двухфакторную проверку подлинности. Это помогает защитить вашу учетную запись, требуя от вас ввода дополнительного кода безопасности всякий раз, когда вы входите в систему на ненадежном устройстве. Второй фактор можно сделать с помощью телефонного звонка, текстового сообщения или приложения. Дополнительные сведения о двухэтапной проверке см. в статье Как использовать двухэтапную проверку с вашей учетной записью Microsoft.

Включите шифрование на своих мобильных устройствах. Если у вас есть мобильное приложение OneDrive, мы рекомендуем включить шифрование на устройствах iOS или Android. Это помогает защитить ваши файлы OneDrive, если ваше мобильное устройство потеряно, украдено или кто-то получит к нему доступ.

Подпишитесь на Microsoft 365. Подписка на Microsoft 365 дает вам расширенную защиту от вирусов и киберпреступлений, а также способы восстановления ваших файлов после вредоносных атак.

Как OneDrive защищает ваши данные

Инженеры Microsoft администрируют OneDrive с помощью консоли Windows PowerShell, для которой требуется двухфакторная аутентификация. Мы выполняем повседневные задачи, запуская рабочие процессы, чтобы мы могли быстро реагировать на новые ситуации. Ни один инженер не имеет постоянного доступа к сервису. Когда инженерам нужен доступ, они должны запросить его. Приемлемость проверяется, и если доступ инженера одобрен, это только в течение ограниченного времени.

Кроме того, OneDrive и Office 365 активно инвестируют в системы, процессы и персонал, чтобы снизить вероятность утечки персональных данных и быстро обнаружить и смягчить последствия утечки, если она все же произойдет. Вот некоторые из наших инвестиций в это пространство:

Системы управления доступом. OneDrive и Office 365 поддерживают политику «нулевого постоянного доступа», что означает, что инженеры не имеют доступа к службе, если он не предоставлен явным образом в ответ на конкретный инцидент, требующий повышения уровня доступа. Всякий раз, когда доступ предоставляется, он выполняется по принципу наименьших привилегий: разрешение, предоставленное для определенного запроса, позволяет выполнять только минимальный набор действий, необходимых для обслуживания этого запроса. Для этого OneDrive и Office 365 поддерживают строгое разделение между «ролями повышения прав», при этом каждая роль позволяет выполнять только определенные заранее определенные действия. Роль «Доступ к данным клиента» отличается от других ролей, которые чаще используются для администрирования службы, и подвергается наиболее тщательной проверке перед утверждением. В совокупности эти инвестиции в контроль доступа значительно снижают вероятность того, что инженер OneDrive или Office 365 неправомерно получит доступ к данным клиентов.

Системы мониторинга безопасности и автоматизация. OneDrive и Office 365 поддерживают надежные системы мониторинга безопасности в режиме реального времени. Помимо прочего, эти системы выдают предупреждения о попытках незаконного доступа к данным клиентов или о попытках незаконной передачи данных за пределы нашего сервиса. Что касается пунктов об управлении доступом, упомянутых выше, наши системы мониторинга безопасности ведут подробные записи о сделанных запросах на повышение прав и о действиях, предпринятых для данного запроса на повышение прав. OneDrive и Office 365 также поддерживают инвестиции в автоматическое разрешение, которые автоматически действуют для смягчения угроз в ответ на обнаруженные нами проблемы, и специальные группы для реагирования на предупреждения, которые не могут быть устранены автоматически. Чтобы проверить наши системы мониторинга безопасности, OneDrive и Office 365 регулярно проводят учения красной команды, в ходе которых внутренняя группа тестирования на проникновение моделирует поведение злоумышленника в реальной среде. Эти упражнения приводят к регулярному совершенствованию наших возможностей мониторинга безопасности и реагирования.

Персонал и процессы. В дополнение к автоматизации, описанной выше, OneDrive и Office 365 поддерживают процессы и группы, ответственные как за информирование более широкой организации о процессах управления конфиденциальностью и инцидентами, так и за выполнение этих процессов во время нарушения. Например, поддерживается подробная стандартная операционная процедура (СОП) по нарушению конфиденциальности, которая предоставляется командам по всей организации.В этой СОП подробно описаны роли и обязанности как отдельных групп в OneDrive и Office 365, так и централизованных групп реагирования на инциденты безопасности. Они охватывают как то, что командам необходимо сделать для улучшения собственного состояния безопасности (проведение проверок безопасности, интеграция с центральными системами мониторинга безопасности и другие передовые методы), так и то, что командам необходимо будет сделать в случае фактического нарушения (быстрая эскалация до уровня безопасности). реагирования на инциденты, поддерживать и предоставлять конкретные источники данных, которые будут использоваться для ускорения процесса реагирования). Команды также регулярно проходят обучение по классификации данных и правильным процедурам обработки и хранения личных данных.

Главный вывод заключается в том, что OneDrive и Office 365, как для потребительских, так и для бизнес-планов, вкладывают значительные средства в снижение вероятности и последствий утечки персональных данных, затрагивающих наших клиентов. Если утечка персональных данных все же произойдет, мы обязуемся оперативно уведомить наших клиентов, как только такая утечка будет подтверждена.

Защищено при транспортировке и хранении

Защищено при транспортировке

Защищено при хранении

Физическая защита: доступ к центрам обработки данных может получить только ограниченное число основных сотрудников. Их личности проверяются с помощью нескольких факторов аутентификации, включая смарт-карты и биометрические данные. На территории есть сотрудники службы безопасности, датчики движения и видеонаблюдение. Оповещения об обнаружении вторжений отслеживают аномальную активность.

Защита сети: сети и удостоверения изолированы от корпоративной сети Microsoft. Брандмауэры ограничивают трафик в среду из неавторизованных мест.

Безопасность приложений. Инженеры, создающие функции, следуют жизненному циклу разработки безопасности. Автоматизированный и ручной анализ помогает выявить возможные уязвимости. Центр Microsoft Security Response Center помогает сортировать входящие отчеты об уязвимостях и оценивать меры по их устранению. Благодаря условиям Microsoft Cloud Bug Bounty люди по всему миру могут зарабатывать деньги, сообщая об уязвимостях.

Защита контента: каждый файл в состоянии покоя шифруется уникальным ключом AES256. Эти уникальные ключи зашифрованы набором главных ключей, которые хранятся в Azure Key Vault.

Высокая доступность, возможность восстановления

Наши центры обработки данных геораспределены в пределах региона и отказоустойчивы. Данные зеркалируются как минимум в два разных региона Azure, которые находятся на расстоянии не менее нескольких сотен километров друг от друга, что позволяет нам смягчить последствия стихийного бедствия или потери в регионе.

Постоянно проверяется

Мы постоянно контролируем наши центры обработки данных, чтобы поддерживать их работоспособность и безопасность. Это начинается с инвентаря. Агент инвентаризации выполняет захват состояния каждой машины.

После инвентаризации мы можем отслеживать и исправлять состояние машин. Непрерывное развертывание гарантирует, что каждая машина получает исправления, обновленные антивирусные сигнатуры и сохраненную заведомо исправную конфигурацию. Логика развертывания гарантирует, что мы исправим или заменим только определенный процент компьютеров за раз.

«Красная команда» Microsoft 365 в Microsoft состоит из специалистов по взлому. Они ищут любую возможность получить несанкционированный доступ. «Синяя команда» состоит из оборонных инженеров, которые сосредоточены на предотвращении, обнаружении и восстановлении. Они создают технологии обнаружения вторжений и реагирования на них. Чтобы не отставать от специалистов по безопасности Microsoft, см. Security Office 365 (блог).

Дополнительные функции безопасности OneDrive

Как облачное хранилище OneDrive имеет много других функций безопасности. К ним относятся:

Сканирование вирусов при загрузке на наличие известных угроз. Механизм защиты от вредоносных программ Защитника Windows сканирует документы во время загрузки на наличие содержимого, соответствующего антивирусной сигнатуре (обновляется ежечасно).

Отслеживание подозрительных действий. Чтобы предотвратить несанкционированный доступ к вашей учетной записи, OneDrive отслеживает и блокирует подозрительные попытки входа. Кроме того, мы отправим вам уведомление по электронной почте, если обнаружим необычную активность, например попытку входа с нового устройства или из другого места.

Обнаружение и восстановление программ-вымогателей. Как подписчик Microsoft 365 вы будете получать оповещения, если OneDrive обнаружит программу-шантажист или вредоносную атаку. Вы сможете легко восстановить свои файлы на момент времени до того, как они были затронуты, до 30 дней после атаки. Вы также можете полностью восстановить OneDrive в течение 30 дней после злоумышленной атаки или других типов потери данных, таких как повреждение файла или случайное удаление и редактирование.

Журнал версий для всех типов файлов. В случае нежелательных изменений или случайного удаления вы можете восстановить удаленные файлы из корзины OneDrive или восстановить предыдущую версию файла в OneDrive.

Защищенные паролем и истекающие сроки действия ссылок для общего доступа. Будучи подписчиком Microsoft 365, вы можете повысить безопасность своих общих файлов, запрашивая пароль для доступа к ним или устанавливая дату истечения срока действия для ссылки для общего доступа.

Уведомление о массовом удалении и восстановлении файлов. Если вы случайно или намеренно удалите большое количество файлов из облачной резервной копии OneDrive, мы предупредим вас и предоставим инструкции по восстановлению этих файлов.

Личное хранилище

Сканирование непосредственно в личное хранилище. Вы можете использовать мобильное приложение OneDrive, чтобы делать снимки или снимать видео непосредственно в личное хранилище, сохраняя их в менее безопасных областях вашего устройства, например в фотопленке. 2 Вы также можете сканировать важные проездные документы, документы, удостоверяющие личность, транспортное средство, дом и страховые документы прямо в личное хранилище. И у вас будет доступ к этим фотографиям и документам, где бы вы ни находились, с любого устройства.

Шифрование BitLocker. На ПК с Windows 10 OneDrive синхронизирует файлы Personal Vault с зашифрованной с помощью BitLocker областью локального жесткого диска.

Автоматическая блокировка. Personal Vault автоматически повторно блокируется на вашем ПК, устройстве или в сети после короткого периода бездействия. После блокировки любые файлы, которые вы использовали, также будут заблокированы, и для доступа к ним потребуется повторная аутентификация. 3

Вместе эти меры помогают защитить ваши заблокированные файлы Personal Vault, даже если ваш ПК или мобильное устройство с Windows 10 будет утерян, украден или кто-то получит к нему доступ.

1 Для проверки лица и отпечатков пальцев требуется специальное оборудование, включая устройство с поддержкой Windows Hello, сканер отпечатков пальцев, ИК-датчик с подсветкой или другие биометрические датчики и совместимые устройства.
2 Для работы приложения OneDrive на Android и iOS требуется Android 6.0 или более поздней версии или iOS 12.0 или более поздней версии.
3 Интервал автоматической блокировки зависит от устройства и может быть установлен пользователем.

Нужна дополнительная помощь?

Обратиться в службу поддержки значок

Обратитесь в службу поддержки
Чтобы получить помощь по учетной записи Microsoft и подпискам, посетите страницу Справка по учетным записям и выставлению счетов.

Для получения технической поддержки перейдите в раздел «Связаться со службой поддержки Майкрософт», введите свою проблему и выберите «Получить помощь». Если вам по-прежнему нужна помощь, выберите «Связаться со службой поддержки», чтобы получить лучший вариант поддержки.

ИЭУ

      • Состояние образованияДайджест статистики образованияПрогнозы статистики образованияТематические исследования
      • Национальная программа оценки образовательного прогресса (NAEP) для международной оценки компетенций взрослых (PIAAC)
      • Программа международной деятельности (IAP)
      • Продольное исследование раннего детства (ECLS)Национальное обследование образования домохозяйств (NHES)
      • Common Core of Data (CCD)Secondary Longitudinal Studies ProgramEducation Demographic and Geographic Estimates (EDGE)National Teacher and Principal Survey (NTPS)подробнее.
      • Программа библиотечной статистики
      • Бакалавриат и выше (B&B)Статистика профессионального/технического образования (CTES)Интегрированная система данных о высшем образовании (IPEDS)Национальное исследование помощи учащимся послесреднего образования (NPSAS)подробнее.
      • Общие стандарты данных в сфере образования (CEDS)Национальный форум по статистике образованияГосударственная программа грантов для систем продольных данных — (SLDS)подробнее.
      • Программа статистических стандартов Национального кооператива послесреднего образования (NPEC) для дистанционного обучения.
        • EDATDelta Cost ProjectIPEDS Data CenterКак подать заявку на лицензию с ограниченным использованием
        • Таблицы ASC-EDЛаборатория данныхЭлементарная вторичная информационная системаInternational Data ExplorerIPEDS Data CenterNAEP Data Explorer
        • Панель управления ACSCollege NavigatorЧастные школыГосударственные школьные округаГосударственные школыПоиск школ и колледжей
        • Профили штатов NAEP (nationsreportcard.gov)Поиск коллег по финансам округа государственных школЦентр статистики финансов образованияЦентр данных IPEDS
        • Инструмент вопросов NAEPИнструмент вопросов NAAL
        • Панель управления ACS-EDКарты ACS-EDКарта колледжаПоиск по регионуMapEdSAFEMapSchool and District Navigator
        • Инвентаризация библиографических данных
        • ОценкиРаннее детствоНачальное и среднее образованиеБиблиотекаПослешкольное образование и дополнительные ресурсы
        • Блог NCESЧто нового в NCESКонференции/обучениеНовостиFlashВозможности финансированияПресс-релизыStatChat
        • Поиск по публикациям и продуктамГодовые отчетыЛицензии на данные с ограниченным использованием
          Последние публикацииПо предметному указателю A-ZПо областям исследований и программДанные Продукты за последние 6 месяцев
        • О NCESCommissionerСвязаться с NCESStaffHelp

        Как указано в этом документе, одним из самых ценных активов организации является ее информация. Местные, государственные и федеральные законы требуют, чтобы определенные типы информации (например, личные записи учащихся) были защищены от несанкционированного раскрытия (см. Приложение B для фактического бюллетеня FERPA).Этот аспект информационной безопасности часто называют защитой конфиденциальности. Хотя конфиденциальность иногда предписывается законом, здравый смысл и передовая практика подсказывают, что даже неконфиденциальная информация в системе должна быть защищена не только от несанкционированного раскрытия, но и от несанкционированного изменения и недопустимого влияния на ее доступность.

        В. Разве нет программного обеспечения, которое может защитить мою информацию?
        A. Да, различные программные продукты могут помочь вашей организации в ее усилиях по обеспечению безопасности информации и системы, но только тщательные, хорошо продуманные и целенаправленные усилия по разработке и внедрению всеобъемлющего плана обеспечения безопасности окажутся эффективными в долгосрочной перспективе.< /p>

        В. Разве не имеет смысла просто зашифровать всю информацию?
        A. Не обязательно. Шифрование и дешифрование занимают много времени. Если информация является конфиденциальной, то дополнительное время на шифрование и расшифровку имеет смысл. Но если файлы не являются конфиденциальными, зачем замедлять скорость обработки из-за ненужного шага? И хотя шифрование является хорошей практикой для конфиденциальной информации или информации, которая передается по незащищенным линиям, следует отметить, что само по себе оно не является полной стратегией безопасности. Шифрование информации защищает файлы от нарушения конфиденциальности, но риски несанкционированного или случайного изменения (включая уничтожение) и/или отказа в использовании остаются реальными.



        Руководство по разработке политики безопасности можно найти в главе 3.
        Вопросы политики

        Возможно, больше, чем любой другой аспект системной безопасности, защита информации требует определенных процедурных и поведенческих действий. Информационная безопасность требует правильного создания, маркировки, хранения и резервного копирования файлов данных. Если принять во внимание количество файлов, которые использует каждый сотрудник, эти задачи явно представляют собой значительную задачу. Разработчики политики могут положительно повлиять на эту работу, проведя точную оценку рисков (включая правильное определение конфиденциальной информации, хранящейся в системе). Они также должны оказывать организационную поддержку менеджеру по безопасности, поскольку он или она внедряет и контролирует правила безопасности. Менеджер по безопасности должен иметь полномочия и бюджет, необходимые для надлежащего обучения персонала и последующего обеспечения соблюдения процедур информационной безопасности на всех уровнях организационной иерархии.

        Последний пункт, на который следует обратить внимание лицам, определяющим политику, — хранение и удаление информации. Вся информация имеет конечный жизненный цикл, и лица, определяющие политику, должны обеспечить наличие механизмов, обеспечивающих надлежащее удаление информации, которая больше не используется.

        Как более подробно обсуждалось в главе 2, угроза — это любое действие. , действующее лицо или событие, которое увеличивает риск.

        Информационные угрозы (примеры)

        <УЛ>
      • Природные явления (например, удары молнии, старение и загрязнение среды)
      • Преднамеренные действия по уничтожению (например, взлом и вирусы)
      • Непреднамеренные деструктивные действия (например, случайная загрузка компьютерных вирусов, программные ошибки и неразумное использование магнитных материалов в офисе)


      Контрмера — это шаг, спланированный и предпринятый в противовес другому действию или потенциальному действию.

      Следующие контрмеры направлены на решение проблем информационной безопасности, которые могут повлиять на ваши сайты. Эти стратегии рекомендуются, когда оценка рисков выявляет или подтверждает необходимость противодействия потенциальным нарушениям информационной безопасности вашей системы.

      Контрмеры бывают разных размеров, форм и уровней сложности. В этом документе предпринята попытка описать ряд стратегий, потенциально применимых к жизни в образовательных организациях. Чтобы сохранить этот фокус, здесь не включены те контрмеры, которые маловероятно будут применяться в образовательных организациях. Например, если после оценки рисков ваша группа безопасности решит, что вашей организации требуются высококлассные контрмеры, такие как сканеры сетчатки глаза или анализаторы голоса, вам нужно будет обратиться к другим справочным материалам по безопасности и, возможно, нанять надежного технического консультанта.

        То, что они должны знать: пароль или ключ шифрования; это наименее затратная мера, но и наименее безопасная.

        Создавайте резервные копии не только информации, но и программ, которые вы используете для доступа к информации: Создавайте резервные копии утилит операционной системы, чтобы вы сохранили к ним доступ, даже если ваш жесткий диск выйдет из строя. Также храните текущие копии важного прикладного программного обеспечения и документации так же надежно, как если бы они были конфиденциальными данными.Предостережение. Некоторые поставщики проприетарного программного обеспечения могут ограничивать законное право организации на создание копий программ, но большинство из них допускают ответственные процедуры резервного копирования. Обратитесь к поставщику программного обеспечения.

        Применяйте рекомендуемые принципы хранения, приведенные в этом документе, как к исходным, так и к резервным файлам: Резервные файлы требуют того же уровня безопасности, что и основные файлы (например, если исходный файл является конфиденциальным, то и его резервная копия).

      Это действительно происходит!

      У Марши, как у секретаря директора Брауна, не было времени на все трудности, с которыми она сталкивалась при работе с компьютером. На самом деле проблемы были не с компьютером, а с ее самыми важными файлами (и это было еще хуже). ). Устав от необходимости перепечатывать столько потерянных файлов, она наконец позвонила продавцу, который продал школе все оборудование. Продавец сразу же появился в ее офисе и попросил описать проблему.

      "Ну, — объяснила Марша, — я храню копии всех своих важных файлов на 3 1/2-дюймовом диске, но когда я иду использовать их, кажется, что файлы исчезают. Я знаю, что я Я копирую их правильно, поэтому просто не могу понять. Я не знаю, то ли это программное обеспечение для обработки текстов, то ли что-то еще, но я устал терять все свои важные файлы."

      Продавец спросил, возможно ли, что Marsha использует некачественный диск. «Я думала об этом, — ответила она, как бы готовясь к вопросу, — но это случилось с тремя разными дисками. Просто должно быть что-то другое». Маша потянулась за диском, который был прикреплен к металлическому шкафу рядом с ее столом цветным магнитом. "Ты попробуй."

      «Это очень привлекательный магнит», — сказал продавец, когда Марша вручила диск. "Вы всегда используете его, чтобы поддерживать свои диски?"

      "Да, это был сувенир с последней конференции доктора Брауна. Я просто думаю, что это красиво. Спасибо, что заметили."

      Удалять информацию своевременно и тщательно:

      Это действительно происходит!

      Трент не мог поверить своим глазам. Перед ним на мониторе в компьютерном классе средней школы отображались оценки каждого ученика на второкурсниках г-на Руссо по английскому языку:

      Все, что Трент сделал, это нажал кнопку "Восстановить" в текстовом редакторе, чтобы исправить допущенную им ошибку при сохранении, и внезапно оказался наготове жесткий диск, полный файлов мистера Руссо. К счастью для мистера Руссо, его второкурсников и школы, Трент понял, что что-то не так. Он спросил начальника лаборатории, мисс Джексон, откуда взялись компьютеры.

      "Большинство из них были переработаны", — призналась она. "Учителя и администраторы получили в этом году обновления, поэтому их старые машины нашли хорошее применение в лабораториях. Они по-прежнему должны быть достаточно мощными, чтобы справляться с вашим текстовым процессором. Почему?"

      Динамическое маскирование данных

      Динамическое маскирование данных (DDM) ограничивает раскрытие конфиденциальных данных, маскируя их для непривилегированных пользователей. Его можно использовать для значительного упрощения разработки и написания кода безопасности в вашем приложении.

      Динамическое маскирование данных помогает предотвратить несанкционированный доступ к конфиденциальным данным, позволяя клиентам указать, какой объем конфиденциальных данных раскрывать, с минимальным воздействием на прикладной уровень. DDM можно настроить для определенных полей базы данных, чтобы скрыть конфиденциальные данные в наборах результатов запросов. При использовании DDM данные в базе данных не изменяются. DDM легко использовать с существующими приложениями, поскольку в результатах запроса применяются правила маскирования. Многие приложения могут маскировать конфиденциальные данные без изменения существующих запросов.

      • Центральная политика маскирования данных действует непосредственно на конфиденциальные поля в базе данных.
      • Назначьте привилегированных пользователей или роли, которые имеют доступ к конфиденциальным данным.
      • DDM поддерживает функции полного и частичного маскирования, а также случайную маску для числовых данных.
      • Простые команды Transact-SQL определяют маски и управляют ими.

      Целью динамического маскирования данных является ограничение раскрытия конфиденциальных данных и предотвращение их просмотра пользователями, у которых не должно быть доступа к данным. Динамическое маскирование данных не направлено на то, чтобы помешать пользователям базы данных напрямую подключаться к базе данных и выполнять исчерпывающие запросы, раскрывающие части конфиденциальных данных. Динамическое маскирование данных дополняет другие функции безопасности SQL Server (аудит, шифрование, безопасность на уровне строк. ), и настоятельно рекомендуется использовать его в сочетании с ними, чтобы лучше защитить конфиденциальные данные в базе данных.

      Динамическое маскирование данных доступно в SQL Server 2016 (13.x) и базе данных SQL Azure и настраивается с помощью команд Transact-SQL. Дополнительные сведения о настройке динамического маскирования данных с помощью портала Azure см. в статье Начало работы с динамическим маскированием данных базы данных SQL (портал Azure).

      Определение динамической маски данных

      Правило маскирования может быть определено для столбца в таблице, чтобы скрыть данные в этом столбце. Доступны четыре типа масок.

      Для строковых типов данных используйте XXXX или меньше X, если размер поля меньше 4 символов (char, nchar, varchar, nvarchar, text, ntext).

      Для числовых типов данных используйте нулевое значение (bigint, bit, decimal, int, money, numeric, smallint, smallmoney, tinyint, float, real).

      Для типов данных даты и времени используйте 01.01.1900 00:00:00.0000000 (date, datetime2, datetime, datetimeoffset, smalldatetime, time).

      Пример изменения синтаксиса: ALTER COLUMN [номер телефона] ADD MASKED WITH (FUNCTION = 'partial(1,"XXXXXXX",0)')

      Разрешения

      Для создания таблицы с динамической маской данных не требуется никаких специальных разрешений, только стандартные разрешения CREATE TABLE и ALTER для схемы.

      Для добавления, замены или удаления маски столбца требуется разрешение ALTER ANY MASK и разрешение ALTER для таблицы. Уместно предоставить ALTER ANY MASK сотруднику службы безопасности.

      Пользователи с разрешением SELECT для таблицы могут просматривать данные таблицы. Столбцы, определенные как маскированные, будут отображать маскированные данные. Предоставьте пользователю разрешение UNMASK, чтобы он мог извлекать немаскированные данные из столбцов, для которых определено маскирование.

      Разрешение CONTROL для базы данных включает разрешение ALTER ANY MASK и UNMASK.

      Разрешение UNMASK не влияет на видимость метаданных: предоставление UNMASK само по себе не приведет к раскрытию каких-либо метаданных. UNMASK всегда должен сопровождаться разрешением SELECT, чтобы иметь какой-либо эффект. Пример: предоставление UNMASK для области базы данных и предоставление SELECT для отдельной таблицы приведет к тому, что пользователь сможет видеть только метаданные отдельной таблицы, из которой он может выбирать, а не какие-либо другие. См. также Конфигурация видимости метаданных.

      Рекомендации и распространенные варианты использования

      Создание маски для столбца не препятствует обновлению этого столбца. Таким образом, хотя пользователи получают маскированные данные при запросе маскированного столбца, те же пользователи могут обновлять данные, если у них есть разрешения на запись. Для ограничения разрешений на обновление по-прежнему следует использовать надлежащую политику управления доступом.

      Использование SELECT INTO или INSERT INTO для копирования данных из маскированного столбца в другую таблицу приводит к маскированию данных в целевой таблице.

      Динамическое маскирование данных применяется при выполнении импорта и экспорта SQL Server. База данных, содержащая маскированные столбцы, приведет к созданию экспортированного файла данных с маскированными данными (при условии, что он экспортируется пользователем без прав UNMASK), а импортированная база данных будет содержать статически маскированные данные.

      Запрос маскированных столбцов

      Используйте представление sys.masked_columns для запроса столбцов таблицы, к которым применена функция маскирования. Это представление наследуется от представления sys.columns. Он возвращает все столбцы в представлении sys.columns, а также столбцы is_masked и masking_function, указывая, маскируется ли столбец, и если да, то какая функция маскирования определена. В этом представлении отображаются только те столбцы, к которым применена функция маскирования.

      Ограничения и запреты

      Правило маскирования нельзя определить для следующих типов столбцов:

      Зашифрованные столбцы (всегда зашифрованные)

      COLUMN_SET или разреженный столбец, являющийся частью набора столбцов.

      Маска не может быть настроена для вычисляемого столбца, но если вычисляемый столбец зависит от столбца с MASK, вычисляемый столбец будет возвращать замаскированные данные.

      Столбец с маскировкой данных не может быть ключом для ПОЛНОТЕКСТОВОГО индекса.

      Столбец во внешней таблице PolyBase.

      Для пользователей без разрешения UNMASK устаревшие операторы READTEXT, UPDATETEXT и WRITETEXT не работают должным образом в столбце, настроенном для динамического маскирования данных.

      Добавление динамической маски данных реализовано как изменение схемы в базовой таблице и поэтому не может быть выполнено для столбца с зависимостями. Чтобы обойти это ограничение, вы можете сначала удалить зависимость, затем добавить динамическую маску данных, а затем заново создать зависимость. Например, если зависимость связана с индексом, зависящим от этого столбца, вы можете удалить индекс, затем добавить маску, а затем заново создать зависимый индекс.

      Всякий раз, когда вы проецируете выражение, ссылающееся на столбец, для которого определена функция маскирования данных, выражение также будет маскироваться. Независимо от функции (по умолчанию, электронная почта, случайная, пользовательская строка), используемой для маскирования столбца, на который указывает ссылка, результирующее выражение всегда будет маскироваться функцией по умолчанию.

      Запросы между базами данных, охватывающие две разные базы данных Azure SQL или базы данных, размещенные на разных экземплярах SQL Server, и включающие любые операции сравнения или объединения в MASKED-столбцах, не дадут правильных результатов, поскольку результаты, возвращаемые с удаленного сервера, уже находятся в MASKED-форме. и не подходит для каких-либо операций сравнения или объединения локально.

      Примечание по безопасности. Обход маскировки с помощью методов логического вывода или грубой силы

      Динамическое маскирование данных предназначено для упрощения разработки приложений за счет ограничения раскрытия данных в наборе предопределенных запросов, используемых приложением. Хотя динамическое маскирование данных также может быть полезно для предотвращения случайного раскрытия конфиденциальных данных при прямом доступе к рабочей базе данных, важно отметить, что непривилегированные пользователи с разрешениями на специальные запросы могут применять методы для получения доступа к фактическим данным. Если есть необходимость предоставить такой специальный доступ, следует использовать аудит для отслеживания всей активности базы данных и смягчения этого сценария.

      В качестве примера рассмотрим субъект базы данных, который имеет достаточные привилегии для выполнения специальных запросов к базе данных и пытается «угадать» базовые данные и, в конечном итоге, вывести фактические значения. Предположим, у нас есть маска, определенная в столбце [Сотрудник].[Зарплата], и этот пользователь напрямую подключается к базе данных и начинает угадывать значения, в конечном итоге делая вывод о значении [Зарплата] набора Сотрудников:

      Id Имя Зарплата
      62543 Джейн Доу 0
      91245 Джон Смит 0

      Это демонстрирует, что динамическое маскирование данных не следует использовать в качестве изолированной меры для полной защиты конфиденциальных данных от пользователей, выполняющих специальные запросы к базе данных. Это подходит для предотвращения случайного раскрытия конфиденциальных данных, но не защищает от злонамеренных намерений сделать вывод о базовых данных.

      Важно правильно управлять разрешениями для базы данных и всегда следовать принципу минимально необходимых разрешений. Кроме того, не забудьте включить аудит для отслеживания всех действий, происходящих в базе данных.

      Примеры

      Создание динамической маски данных

      В следующем примере создается таблица с тремя различными типами динамических масок данных. В примере заполняется таблица и выбирается отображение результата.

      Создается новый пользователь, которому предоставляется разрешение SELECT для схемы, в которой находится таблица. Запросы, выполняемые как маскированные данные представления MaskingTestUser.

      Результат демонстрирует маски путем изменения данных из

      где число в DiscountCode является случайным для каждого результата запроса.

      Добавление или редактирование маски существующего столбца

      Используйте оператор ALTER TABLE, чтобы добавить маску к существующему столбцу в таблице или изменить маску для этого столбца.
      В следующем примере функция маскирования добавляется в столбец LastName:

      В следующем примере функция маскирования изменяется в столбце LastName:

      Предоставление разрешений на просмотр немаскированных данных

      Предоставление разрешения UNMASK позволяет MaskingTestUser видеть данные без маски.

      Удаление динамической маски данных

      Следующий оператор удаляет маску для столбца LastName, созданного в предыдущем примере:

      Мужчина работает за настольным компьютером

      Безопасность данных — это практика защиты цифровой информации от несанкционированного доступа, повреждения или кражи на протяжении всего ее жизненного цикла. Эта концепция охватывает все аспекты информационной безопасности, от физической безопасности оборудования и устройств хранения до административного контроля и контроля доступа, а также логической безопасности программных приложений. Он также включает организационные политики и процедуры.

      При правильном применении надежные стратегии защиты данных защитят информационные активы организации от действий киберпреступников, а также от внутренних угроз и человеческих ошибок, которые сегодня остаются одной из основных причин утечек данных. Безопасность данных включает в себя развертывание инструментов и технологий, которые улучшают видимость организации в отношении того, где находятся ее критически важные данные и как они используются. В идеале эти инструменты должны быть способны применять такие средства защиты, как шифрование, маскирование данных и редактирование конфиденциальных файлов, а также автоматизировать отчетность для упрощения проверок и соблюдения нормативных требований.


      Бизнес-задачи
      Цифровая трансформация коренным образом меняет все аспекты работы и конкуренции современных компаний.Огромный объем данных, которые предприятия создают, обрабатывают и хранят, растет, что приводит к увеличению потребности в управлении данными. Кроме того, вычислительные среды стали более сложными, чем раньше, и обычно охватывают общедоступное облако, корпоративный центр обработки данных и многочисленные периферийные устройства, начиная от датчиков Интернета вещей (IoT) и заканчивая роботами и удаленными серверами. Эта сложность создает расширенную поверхность атаки, которую сложнее отслеживать и защищать.
      В то же время растет осознание потребителями важности конфиденциальности данных. В связи с растущим общественным спросом на инициативы по защите данных недавно было принято несколько новых правил конфиденциальности, в том числе Европейский общий регламент по защите данных (GDPR) и Калифорнийский закон о защите прав потребителей (CCPA). Эти правила дополняют давние положения о безопасности данных, такие как Закон о переносимости и подотчетности медицинского страхования (HIPAA), защищающий электронные медицинские записи, и Закон Сарбейнса-Оксли (SOX), защищающий акционеров публичных компаний от бухгалтерских ошибок и финансового мошенничества. Поскольку максимальные штрафы исчисляются миллионами долларов, у каждого предприятия есть сильный финансовый стимул для обеспечения соблюдения требований.

      Ценность данных для бизнеса никогда не была выше, чем сегодня. Потеря коммерческой тайны или интеллектуальной собственности (ИС) может повлиять на будущие инновации и прибыльность. Таким образом, надежность становится все более важной для потребителей: 75 % опрошенных сообщают, что не будут покупать товары у компаний, которым не доверяют в вопросах защиты своих данных.

      Типы защиты данных

      Шифрование
      Используя алгоритм преобразования обычных текстовых символов в нечитаемый формат, ключи шифрования шифруют данные, чтобы их могли прочитать только авторизованные пользователи. Решения для шифрования файлов и баз данных служат последней линией защиты конфиденциальных томов, скрывая их содержимое с помощью шифрования или токенизации. Большинство решений также включают функции управления электронными ключами.

      Стирание данных
      Более безопасное, чем стандартное стирание данных, стирание данных использует программное обеспечение для полной перезаписи данных на любом устройстве хранения. Он проверяет, что данные невозможно восстановить.

      Маскирование данных
      Маскирование данных позволяет организациям создавать приложения или обучать людей с использованием реальных данных. При необходимости он маскирует личную информацию (PII), чтобы разработка могла происходить в средах, соответствующих требованиям.

      Отказоустойчивость данных

      Отказоустойчивость определяется тем, насколько хорошо организация выдерживает любые сбои или восстанавливается после них — от проблем с оборудованием до перебоев в подаче электроэнергии и других событий, влияющих на доступность данных (PDF, 256 КБ). Скорость восстановления имеет решающее значение для минимизации последствий.

      Возможности и решения для обеспечения безопасности данных

      Инструменты и технологии для обеспечения безопасности данных должны решать растущие проблемы, связанные с защитой современных сложных, распределенных, гибридных и/или мультиоблачных вычислительных сред. К ним относятся понимание того, где находятся данные, отслеживание того, кто имеет к ним доступ, а также блокирование действий с высоким риском и потенциально опасных перемещений файлов. Комплексные решения для защиты данных, которые позволяют предприятиям применять централизованный подход к мониторингу и применению политик, могут упростить задачу.

      Инструменты обнаружения и классификации данных.
      Конфиденциальная информация может находиться в репозиториях структурированных и неструктурированных данных, включая базы данных, хранилища данных, платформы больших данных и облачные среды. Решения для обнаружения и классификации данных автоматизируют процесс выявления конфиденциальной информации, а также оценки и устранения уязвимостей.

      Мониторинг данных и файловой активности.
      Инструменты мониторинга файловой активности анализируют шаблоны использования данных, позволяя специалистам по безопасности видеть, кто получает доступ к данным, обнаруживать аномалии и выявлять риски. Динамическая блокировка и оповещение также могут быть реализованы для аномальных моделей активности.

      Инструменты оценки уязвимостей и анализа рисков.
      Эти решения упрощают процесс обнаружения и устранения уязвимостей, таких как устаревшее программное обеспечение, неправильные настройки или слабые пароли, а также могут выявлять источники данных с наибольшим риском раскрытия.

      Автоматизированная отчетность о соответствии
      Комплексные решения для защиты данных с возможностями автоматической отчетности могут стать централизованным хранилищем журналов аудита соответствия для всего предприятия.

      Стратегии безопасности данных

      Комплексная стратегия защиты данных включает людей, процессы и технологии. Создание надлежащих средств контроля и политик — это вопрос организационной культуры в такой же степени, как и развертывание правильного набора инструментов. Это означает, что информационная безопасность должна стать приоритетом во всех областях предприятия.

      Физическая безопасность серверов и пользовательских устройств.
      Независимо от того, хранятся ли ваши данные локально, в корпоративном центре обработки данных или в общедоступном облаке, вам необходимо убедиться, что объекты защищены от злоумышленников и имеют адекватную приняты меры пожаротушения и климат-контроль. Поставщик облачных услуг возьмет на себя ответственность за эти защитные меры от вашего имени.

      Управление доступом и контроль
      Принцип «доступа с минимальными правами доступа» должен соблюдаться во всей вашей ИТ-среде. Это означает предоставление доступа к базе данных, сети и административной учетной записи как можно меньшему количеству людей и только тем, кому это абсолютно необходимо для выполнения своей работы.

      Подробнее об управлении доступом

      Безопасность приложений и исправление
      Все программное обеспечение должно быть обновлено до последней версии как можно скорее после выпуска исправлений или новых версий.

      Резервные копии
      Поддержание работоспособных, тщательно протестированных резервных копий всех важных данных является основным компонентом любой надежной стратегии защиты данных. Кроме того, на все резервные копии должны распространяться те же физические и логические средства контроля безопасности, которые регулируют доступ к первичным базам данных и основным системам.

      Обучение сотрудников
      Обучение сотрудников важности передовых методов обеспечения безопасности и гигиены паролей, а также обучение их распознаванию атак с использованием методов социальной инженерии превращает их в «человеческий брандмауэр», который может играть решающую роль в защите ваших данных.

      Мониторинг и контроль безопасности сети и конечных точек
      Внедрение комплексного набора инструментов и платформ для управления угрозами, обнаружения и реагирования на них в локальной среде и облачных платформах может снизить риски и снизить вероятность взлома.< /p>

      Тенденции безопасности данных

      ИИ
      ИИ расширяет возможности системы защиты данных, поскольку он может обрабатывать большие объемы данных. Когнитивные вычисления, подмножество ИИ, выполняют те же задачи, что и другие системы ИИ, но делают это путем имитации мыслительных процессов человека. В сфере безопасности данных это позволяет быстро принимать решения в случае крайней необходимости.

      Безопасность мультиоблачной среды
      По мере расширения возможностей облачной среды понятие безопасности данных расширяется. Теперь организациям нужны более сложные решения, поскольку они ищут защиту не только для данных, но и для приложений и собственных бизнес-процессов, которые выполняются в общедоступных и частных облаках.

      Quantum
      Революционная технология, квантовая обещает экспоненциально изменить многие традиционные технологии. Алгоритмы шифрования станут многограннее, сложнее и безопаснее.

      Как взаимодействуют безопасность данных и другие аспекты безопасности

      Достижение безопасности данных корпоративного уровня.
      Ключом к применению эффективной стратегии защиты данных является применение подхода, основанного на оценке рисков, для защиты данных в масштабах всего предприятия. В начале процесса разработки стратегии, принимая во внимание бизнес-цели и нормативные требования, заинтересованные стороны должны определить один или два источника данных, содержащих наиболее конфиденциальную информацию, и начать с них. После создания четких и жестких политик для защиты этих ограниченных источников они могут распространить эти передовые методы на остальные цифровые активы предприятия в порядке приоритетности. Реализованные возможности автоматизированного мониторинга и защиты данных могут значительно упростить масштабирование передовых практик.

      Безопасность данных и облако
      Для защиты облачных инфраструктур требуется подход, отличный от традиционной модели размещения средств защиты по периметру сети. Для этого требуются комплексные средства обнаружения и классификации облачных данных, а также постоянный мониторинг активности и управление рисками. Инструменты облачного мониторинга могут располагаться между решением «база данных как услуга» (DBaaS) облачного провайдера и отслеживать передаваемые данные или перенаправлять трафик на существующую платформу безопасности. Это позволяет единообразно применять политики независимо от того, где находятся данные.

      Безопасность данных и BYOD
      Использование персональных компьютеров, планшетов и мобильных устройств в корпоративных вычислительных средах растет, несмотря на вполне обоснованные опасения лидеров по безопасности относительно рисков, которые может представлять эта практика. Один из способов повысить безопасность использования собственных устройств (BYOD) — потребовать от сотрудников, использующих личные устройства, установить программное обеспечение безопасности для доступа к корпоративным сетям, тем самым улучшив централизованный контроль и прозрачность доступа к данным и их перемещения. Другая стратегия заключается в том, чтобы создать в масштабах всего предприятия мышление, ориентированное на безопасность, поощряя сотрудников использовать надежные пароли, многофакторную аутентификацию, регулярные обновления программного обеспечения и резервные копии устройств, а также шифрование данных, обучая их ценности этих действий.

      Читайте также: