企业如何针对客户数据进行有效保护

　　ZDNET至顶网安全频道 9月13日 编译：最近发生的一些黑客攻击事件表明，针对客户数据的威胁越来越严重，并且形式十分严峻。索尼和艾司隆公司数据库遭受到大规模攻击的例子可以说明，即便是拥有足够资金来选择有效安全技术的巨型公司，也不一定能够获得绝对的安全保障。显然，仅仅依靠防病毒软件、防火墙和其它类型安全技术来进行防范是远远不够的。因此，企业需要对数据存储方式和位置、访问人员类型以及防止数据被其它网络犯罪分子，以及受到电子邮件钓鱼攻击后被操纵客户所导致的邮件盗窃和分享问题等在内的各种现实情况进行全面评估。

　　1. 限制用户的访问权限

　　在数据领域，现在的公司大多采用的是开放式文化。但是，该策略不应该适用于所有类型的数据，尤其是在个人可标识信息或者PII的部分。事实表明，大部分公司在对客户数据库的人员访问状况进行了分析和评估后，就会发现，并非所有获得授权的用户都存在访问某些类型数据的需要。因此，这时我们就应该对访问权限进行调整，将权限分配给那些真正具有需求的员工。

　　2. 确保网络和安全软件万无一失

　　对于客户数据来说，可以采取类似财务数据的保护模式。公司可以选择采用公开标准，象类似于支付卡行业安全标准委员会提供的技术就是不错的选择。公司应该在数据库层次上对所有客户信息进行加密处理，以防止出现未获得授权的用户进入账户的情况。同时，应该采用记号化技术，因为它属于更高等级的安全技术。通常情况下，该技术被应用在包括信用卡数据在内的电子商务交易过程中;通过利用独特的可识别标记化符号来代替敏感数据，就可以将个人可标识信息移除出数据流。

　　还有一种选择就是部署反钓鱼软件，这样就可以在恶意电子邮件到达信箱之前就将其清除。该软件是利用电子邮件认证和欺诈活动监测等方式来实现发出警告的功能。上面所说的，仅仅属于客户数据安全保护中需要应用到的几个例子。对于企业来讲，选择第三方安全审计来对系统和安全流程进行评估，可以了解到公司内部安全的实际状况，获得合理化建议，并取得年度认证。

　　3. 系统受到全面安全保护后，才能访问客户数据

　　除了公司本身以外，合作企业、软件公司和电子邮件服务提供商应该拥有类似效果的访问控制措施。举例来说，如果正在利用自动化解决方案对开展的市场营销活动进行控制和跟踪时，就应该对供应商的IP地址进行限制，确保只有位于防火墙内的用户才可以访问到客户数据和电子邮件地址。如果使用中出现了使用外部地址获得密码的用户，并试图访问客户数据库的情况，就应被马上阻止。如果合作伙伴商店需要获得客户数据，就一定要了解他们保护这些信息以及处理访问控制的实际能力。

　　4. 向法律部门获得帮助

　　当发生违约事件后，公司可能需要向客户支付数千甚至数百万的诉讼以及其它相关费用。因此，为了防范财务数据泄露，公司应该采取哪些类型的保护措施。同样，为了防止客户数据出现泄露、丢失或者被盗的情况，公司又应该提供何种的安全手段。这些问题也同样适用于公司的营销合作伙伴。如果在他们的系统中出现了事故，公司都需要承担哪些责任，这中间可能包括律师费用和其它方面的经济处罚措施。所以，有必要让法律部门为网站、客户资料以及供应商合同起草相应的法律文件。

　　5. 对员工进行培训

　　对于一个企业来说，制定安全策略并向员工提供客户数据处理方面的定期培训是势在必行的措施。考虑增加内部安全措施可以降低黑客利用社会化攻击入侵的可能性。这些问题都属于企业事前要考虑到的部分。举例来说，当出现访问数据的员工账户密码丢失的情况就属于这个范畴。在很多案例中，如果该密码被窃取，就意味着包括电子邮件密码在内的很多其它相关密码也会被破解掉，单独的电子邮件验证连接也不再能够提供足够的安全性。为了减少出现这种情况下带来的风险，就应该考虑要求员工在访问数据之前进行两个步骤的验证过程。首先，员工在新位置登录应用的时候，必须通过手机发送确认代码，并且回答安全问题后，才能获得登录权力。目前，很多金融机构所采用的标准都与此过程类似。