數(shù)據(jù)安全
1. 介紹
數(shù)據(jù)安全包括規(guī)劃、開發(fā)和執(zhí)行安全政策和程序独泞,以提供適當(dāng)?shù)恼J(rèn)證、授權(quán)苔埋、訪問和審計數(shù)據(jù)和信息資產(chǎn)懦砂。
- 利益相關(guān)方:應(yīng)識別利益相關(guān)方隱私和保密需求,包括客戶组橄、病人荞膘、學(xué)生、公民玉工、供應(yīng)商或商業(yè)伙伴等羽资;組織中每個人必須對利益相關(guān)方數(shù)據(jù)負(fù)有責(zé)任的委托人。
- 政府法規(guī):政府法規(guī)制定的出發(fā)點是保護(hù)利益相關(guān)方的利益遵班,政府法規(guī)目標(biāo)各有不同屠升,有些規(guī)定限制信息訪問,有些則確保公開狭郑、透明和問責(zé)的腹暖。
- 特定業(yè)務(wù)關(guān)注點:每個組織的專有數(shù)據(jù)都需要保護(hù),這些數(shù)據(jù)運(yùn)用得當(dāng)翰萨,組織會獲得競爭優(yōu)勢脏答;若數(shù)據(jù)竊取或破壞,則組織就會失去競爭優(yōu)勢。
- 合法訪問需求:組織在保護(hù)數(shù)據(jù)安全額同時殖告,還須啟用合同訪問阿蝶;業(yè)務(wù)流程要求不同角色的人能訪問、使用和維護(hù)不同的數(shù)據(jù)黄绩。
- 合同義務(wù):合同和保密協(xié)議對數(shù)據(jù)安全要求影響羡洁。
2. 業(yè)務(wù)驅(qū)動因素
降低風(fēng)險
- 識別敏感數(shù)據(jù)資產(chǎn)并分類分級
- 在企業(yè)中查找敏感數(shù)據(jù)
- 確定保護(hù)每項資產(chǎn)的方法
- 識別信息與業(yè)務(wù)流程如何交互
業(yè)務(wù)增長
電子商務(wù)的爆炸式增長改變了商品和服務(wù)的提供方式,電子商務(wù)推動利潤和業(yè)務(wù)增長宝与。產(chǎn)品和服務(wù)質(zhì)量與信息安全有著相當(dāng)直接的關(guān)系:強(qiáng)大的信息安全能夠推動交易進(jìn)行并建立客戶信心焚廊。
安全性作為資產(chǎn)
管理敏感數(shù)據(jù)的一種方法是通過元數(shù)據(jù)∠敖伲可以在數(shù)據(jù)元素和數(shù)據(jù)集層面捕捉安全分類和監(jiān)管敏感性∨匚粒現(xiàn)有的技術(shù)可以對數(shù)據(jù)進(jìn)行標(biāo)記,使元數(shù)據(jù)在整個企業(yè)中流動時與信息一起移動诽里。開發(fā)一個數(shù)據(jù)特征的主存儲庫意味著企業(yè)的所有部門都能準(zhǔn)確地知道敏感信息需要何種級別的保護(hù)燎悍。
3. 目標(biāo)和原則
目標(biāo)
- 允許適當(dāng)?shù)脑L問和防止不適當(dāng)?shù)脑L問企業(yè)數(shù)據(jù)資產(chǎn)
- 促進(jìn)遵守有關(guān)隱私、保護(hù)和保密的法規(guī)和政策
- 確保滿足利益攸關(guān)方對隱私和保密的要求
原則
- 協(xié)同合作:數(shù)據(jù)安全是一項需要協(xié)同的工作清焕,涉及IT安全管理員茎毁、數(shù)據(jù)管理專員/數(shù)據(jù)治理、內(nèi)部和外部審計團(tuán)隊以及法律部門
- 企業(yè)統(tǒng)籌:運(yùn)用數(shù)據(jù)安全標(biāo)準(zhǔn)和策略時墓懂,必須保證組織的一致性
- 主動管理:數(shù)據(jù)安全管理的成功取決于主動性和動態(tài)性焰宣、所有利益相關(guān)方的關(guān)注、管理變更以及克服組織或文化瓶頸捕仔。
- 明確責(zé)任:明確界定角色和職責(zé)匕积,包括跨組織和角色的數(shù)據(jù)“監(jiān)管鏈”
- 元數(shù)據(jù)驅(qū)動:數(shù)據(jù)安全分類分級是數(shù)據(jù)定義的重要組成部分
- 減少接觸以降低風(fēng)險:最大限度地減少敏感/機(jī)密數(shù)據(jù)的擴(kuò)散,尤其是在非生產(chǎn)環(huán)境中
4. 基本概念
脆弱性(Vulnerability)
漏洞是指系統(tǒng)中的弱點或缺陷榜跌,使其能夠被成功地攻擊和入侵的系統(tǒng) - 基本上是組織防御系統(tǒng)的一個漏洞闪唆。有些漏洞被稱為 "漏洞利用"。在許多情況下钓葫,非生產(chǎn)環(huán)境比生產(chǎn)環(huán)境更容易受到威脅悄蕾。因此,將生產(chǎn)數(shù)據(jù)擋在非生產(chǎn)環(huán)境之外至關(guān)重要础浮。
威脅 (Threat)
威脅是指可能對一個組織采取的潛在攻擊行動帆调。威脅可以是內(nèi)部威脅,也可以是外部威脅豆同。威脅的例子包括向組織發(fā)送受病毒感染的電子郵件附件贷帮、使網(wǎng)絡(luò)服務(wù)器不堪重負(fù)并導(dǎo)致無法執(zhí)行業(yè)務(wù)交易的進(jìn)程(也稱為拒絕服務(wù)攻擊),以及利用已知的漏洞诱告。
風(fēng)險 (Risk)
- 威脅發(fā)生的概率及其可能的頻率
- 每次威脅時間可能造成的損害類型和規(guī)模撵枢,包括聲譽(yù)損害
- 損害對收入或業(yè)務(wù)運(yùn)營的影響
- 發(fā)生損害后的修復(fù)成本
- 預(yù)防威脅的成本民晒,包括漏洞修復(fù)手段
- 攻擊者可能的目標(biāo)或意圖
風(fēng)險分類
- 關(guān)鍵風(fēng)險數(shù)據(jù):個人信息
- 高風(fēng)險數(shù)據(jù):為公司提供競爭優(yōu)勢,具有潛在的直接財務(wù)價值锄禽,往往被主動尋求未經(jīng)授權(quán)使用
- 中等風(fēng)險數(shù)據(jù):對幾乎沒有實際價值的公司非公開信息潜必,未經(jīng)授權(quán)使用可能會對公司產(chǎn)生負(fù)面印象。
數(shù)據(jù)安全組織
根據(jù)企業(yè)規(guī)模的不同沃但,整體信息安全職能可能由一個專門的信息安全小組(通常在信息技術(shù)(IT)領(lǐng)域內(nèi))負(fù)責(zé)磁滚。規(guī)模較大的企業(yè)通常有一個首席信息安全官(CISO),他向首席信息官或首席執(zhí)行官報告宵晚。在沒有專門的信息安全人員的企業(yè)中垂攘,數(shù)據(jù)安全責(zé)任將由數(shù)據(jù)經(jīng)理負(fù)責(zé)。在任何情況下淤刃,數(shù)據(jù)經(jīng)理都需要參與到數(shù)據(jù)安全工作中來晒他。
安全過程
- 訪問(Access):使具有授權(quán)的個人能夠及時訪問系統(tǒng)
- 審計(Audit):審查安全操作和用戶活動,以確保符合法規(guī)和遵守公司制度和標(biāo)準(zhǔn)逸贾。信息安全專業(yè)人員會定期查看日志和文檔陨仅,以驗證是否符合安全法規(guī)、策略和標(biāo)準(zhǔn)铝侵,定期發(fā)布審核結(jié)果灼伤。
- 驗證(Authentication):驗證用戶的訪問權(quán)限,在身份驗證過程中咪鲜,所有傳送過程均經(jīng)過加密狐赡,以防止身份驗證信息被盜。
- 授權(quán)(Authorization):授予個人訪問與其角色相適應(yīng)的特定數(shù)據(jù)視圖的權(quán)限疟丙。
- 權(quán)限(Entitlement):權(quán)限是由單個訪問授權(quán)決策向用戶公開的所有數(shù)據(jù)元素的總和颖侄。
監(jiān)控
系統(tǒng)應(yīng)包括檢測意外事件的監(jiān)視控制,包含機(jī)密信息的系統(tǒng)通常實施主動隆敢、實時的監(jiān)控发皿,以提醒安全管理員注意可疑活動或不當(dāng)訪問崔慧。被動監(jiān)控是通過系統(tǒng)定期捕獲系統(tǒng)快照拂蝎,并將趨勢與其他標(biāo)準(zhǔn)進(jìn)行比較,跟蹤隨時發(fā)生的變化惶室。主動監(jiān)控是一種檢測機(jī)制温自,被動監(jiān)控是一種評價機(jī)制。
數(shù)據(jù)完整性
在安全方面皇钞,數(shù)據(jù)的完整性是指完整的狀態(tài)--受保護(hù)悼泌,不被不當(dāng)更改、刪除或添加夹界。
加密
- 哈希:哈希將任意長度數(shù)據(jù)轉(zhuǎn)換為固定長度數(shù)據(jù)表示馆里,即使知道所使用的確切算法和應(yīng)用順序,也無法解密出原始數(shù)據(jù),常見哈希算法有MD5鸠踪、SHA
- 對稱加密:對稱機(jī)密使用一個密鑰來加解密數(shù)據(jù)丙者,發(fā)送方和接收方必須具有讀取原始數(shù)據(jù)的密鑰,可諸葛字符機(jī)密數(shù)據(jù)营密、也可對數(shù)據(jù)塊加密
- 非對稱機(jī)密:在非對稱加密中械媒,發(fā)送方和接收方使用不同的密鑰,發(fā)送方使用公開提供的公鑰進(jìn)行加密评汰,接收方使用私鑰解密顯示原始數(shù)據(jù)纷捞。
混淆或脫敏
數(shù)據(jù)可以通過模糊化(使之模糊或不清晰)或遮蔽,即刪除被去、洗牌或以其他方式改變數(shù)據(jù)的外觀主儡,而不失去數(shù)據(jù)的意義或數(shù)據(jù)與其他數(shù)據(jù)集的關(guān)系
網(wǎng)絡(luò)安全術(shù)語
- 后門:指計算機(jī)系統(tǒng)或應(yīng)用程序的忽略隱藏入口,它允許未經(jīng)授權(quán)用戶繞過密碼等限制獲取訪問權(quán)限编振。后門通常是開發(fā)人員處于維護(hù)系統(tǒng)的目的而創(chuàng)建的缀辩,其他的包括由商業(yè)軟件包創(chuàng)建者設(shè)置的后門。
- 機(jī)器人或僵尸:是已被惡意黑客使用的特洛伊木馬踪央、病毒臀玄、網(wǎng)絡(luò)釣魚或下載受感染文件接管的工作站,遠(yuǎn)程控制機(jī)器人用來執(zhí)行惡意任務(wù)畅蹂。
- Cookie:網(wǎng)站在計算機(jī)硬盤上安裝的小型數(shù)據(jù)文件健无,用于識別老用戶并分析其偏好,Cookie用于互聯(lián)網(wǎng)電子商務(wù)液斜。由于Cookie有時會被間諜軟件利用累贤,從而引發(fā)隱私問題,所以Cookie的使用也有爭議
- 防火墻:是過濾網(wǎng)絡(luò)流量的軟件或硬件少漆,用于保護(hù)單個計算機(jī)或整個網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問和免遭企業(yè)對系統(tǒng)的攻擊臼膏。防火墻可能會對傳入和傳出的通信信息進(jìn)行掃描,以尋找受限或受監(jiān)管的信息示损,并防止未經(jīng)許可通過渗磅。某些防火墻還限制對特定外部網(wǎng)站的訪問。
- 周界:指組織環(huán)境與外部系統(tǒng)之間的邊界检访。通常將防火墻部署在所有內(nèi)部和外部環(huán)境之間始鱼。
- DMZ: 非軍事區(qū)檢測,是組織邊緣或外圍區(qū)域脆贵,在DMZ和組織之間設(shè)有防火墻医清。DMZ環(huán)境與Internet互聯(lián)網(wǎng)之間始終設(shè)有防火墻。DMZ環(huán)境用于傳遞或臨時存儲在組織之間移動的數(shù)據(jù)卖氨。
- 超級用戶賬戶:具有系統(tǒng)管理員或超級用戶訪問權(quán)限的賬戶会烙,僅在緊急情況下使用负懦。這些賬戶的憑據(jù)保存要求具有高度安全性,只有在緊急情況下才能通過適當(dāng)?shù)奈募蚺鷾?zhǔn)發(fā)布柏腻,并在短時間內(nèi)到期密似。
- 鍵盤記錄器:一種攻擊軟件,對鍵盤上鍵入的所有擊鍵進(jìn)行記錄葫盼,然后發(fā)送到互聯(lián)網(wǎng)上的其他地方残腌。它將會捕獲每個密碼、備忘錄贫导、公式抛猫、文檔和Web地址。通常孩灯,瘦感染的網(wǎng)站或惡意軟件下載建安裝鍵盤記錄器闺金。某些類型的文檔下載也允許安裝文件記錄器。
- 滲透測試: 在滲透測試中峰档,來自組織本身或外部安全公司聘任的“白帽”黑客視圖從外部侵入系統(tǒng)败匹,正如惡意黑客一樣,視圖識別系統(tǒng)漏洞讥巡。同構(gòu)滲透測試發(fā)現(xiàn)的漏洞應(yīng)該在應(yīng)用程序正式發(fā)布前予以解決掀亩。作為持續(xù)軟件漏洞消除的證據(jù),可關(guān)注來自軟件廠商源源不斷的安全補(bǔ)丁欢顷,這些補(bǔ)丁許多是“白帽”黑客代表供應(yīng)商執(zhí)行檢測行為的結(jié)果槽棍。
- 虛擬專用網(wǎng)絡(luò)(VPN): VPN使用安全的互聯(lián)網(wǎng)創(chuàng)建進(jìn)入組織環(huán)境的安全路徑或“隧道”。隧道是高度機(jī)密的抬驴,VPN允許用戶和內(nèi)部網(wǎng)絡(luò)之間通信炼七,通過使用多重身份驗證元素連接到組織環(huán)境外圍的防火墻。
數(shù)據(jù)安全類型
數(shù)據(jù)安全制約因素
系統(tǒng)安全風(fēng)險
確定風(fēng)險的第一步是確定敏感數(shù)據(jù)存儲在哪里布持,以及需要對這些數(shù)據(jù)進(jìn)行何種保護(hù)豌拙。還需要確定系統(tǒng)中的固有風(fēng)險。系統(tǒng)安全風(fēng)險包括可能危及網(wǎng)絡(luò)或數(shù)據(jù)庫的元素题暖。這些威脅使合法員工可以有意或無意地濫用信息按傅,并使惡意黑客得以成功。
- 濫用特權(quán)
- 濫用合法特權(quán)
- 未經(jīng)允許的特權(quán)升級
- 服務(wù)賬戶或共享賬戶濫用
- 平臺入侵攻擊
- 注入漏洞
- 默認(rèn)密碼
- 備份數(shù)據(jù)濫用
黑客行為/黑客
網(wǎng)絡(luò)釣魚/社工威脅
惡意軟件
- 廣告軟件
- 間諜軟件
- 特洛伊木馬
- 病毒
- 蠕蟲
- 惡意軟件來源
5. 活動
識別數(shù)據(jù)安全需求
- 業(yè)務(wù)需求
組織的業(yè)務(wù)需求芙委、使命逞敷、戰(zhàn)略和規(guī)模以及所屬行業(yè)狂秦,決定了所需數(shù)據(jù)安全的嚴(yán)格程度灌侣。通過分析業(yè)務(wù)規(guī)則和流程,確定安全接觸點裂问。 - 監(jiān)管需求
創(chuàng)建一份完整的清單侧啼,其中包含所有數(shù)據(jù)相關(guān)法規(guī)以及受每項法規(guī)影響的數(shù)據(jù)主題域牛柒,在為法規(guī)遵從而制定的相關(guān)安全策略和實施的控制措施之間建立鏈接關(guān)系。
制定數(shù)據(jù)安全制度
- 企業(yè)安全制度:員工訪問設(shè)施和其他資產(chǎn)的全局策略痊乾、電子郵件標(biāo)準(zhǔn)和策略皮壁、基于職位或職務(wù)的安全訪問級別以及安全漏洞報告策略。
- IT安全制度:目錄結(jié)構(gòu)標(biāo)準(zhǔn)哪审、密碼策略和身份管理框架
- 數(shù)據(jù)安全制度:單個應(yīng)用程序蛾魄、數(shù)據(jù)庫角色、用戶組和信息敏感性的類別
定義數(shù)據(jù)安全細(xì)則
- 定義數(shù)據(jù)保密等級
-
定義安全角色
角色安全定義
評估當(dāng)前安全風(fēng)險
- 存儲或傳送的數(shù)據(jù)敏感性
- 保護(hù)數(shù)據(jù)的需求
- 現(xiàn)有的安全保護(hù)措施
實施控制和規(guī)程
組織必須實施適當(dāng)?shù)目刂埔詽M足安全策略要求湿滓,控制和規(guī)程應(yīng)涵蓋:
- 用戶如何獲取和終止對系統(tǒng)或應(yīng)用程序的訪問權(quán)限滴须;
- 如何為用戶分配角色并從角色中去除
- 如何監(jiān)控權(quán)限級別
- 如何處理和監(jiān)控訪問變更請求
- 如何根據(jù)機(jī)密性和適用法規(guī)對數(shù)據(jù)進(jìn)行分類
- 檢測到數(shù)據(jù)泄露后如何處理
分配密級
根據(jù)組織的分類方案,數(shù)據(jù)管理專員負(fù)責(zé)評估和確定適當(dāng)?shù)臄?shù)據(jù)密級叽奥,文件和報告的分類應(yīng)基于文件中發(fā)現(xiàn)的任何信息的高等密級扔水,在每個頁面或每個屏幕的頁眉或頁腳中標(biāo)記分類。文件作者和信息產(chǎn)品設(shè)計人員負(fù)責(zé)評估朝氓、正確分類和標(biāo)記每個文檔以及每個數(shù)據(jù)庫的適當(dāng)密級魔市。
分配監(jiān)管類別
組織應(yīng)創(chuàng)建或采用能確保滿足法規(guī)遵循從要求的分類方案,需要有與這些類別相關(guān)的數(shù)據(jù)保護(hù)文檔要求赵哲,因為其中定義了可實施的行為待德。
管理和維護(hù)數(shù)據(jù)安全
管理安全制度遵行性
6. 工具
殺毒軟件/安全軟件
HTTPS
身份管理技術(shù)
入侵偵測和入侵防御軟件
防火墻(防御)
元數(shù)據(jù)跟蹤
數(shù)據(jù)脫敏/加密
7. 方法
應(yīng)用CRUD矩陣
即時安全補(bǔ)丁部署
元數(shù)據(jù)中的數(shù)據(jù)安全屬性
項目需求中的安全要求
加密數(shù)據(jù)的高效搜索
文件清理
8. 實施指南
就緒評估/風(fēng)險評估
- 培訓(xùn):通過對組織各級安全措施的培訓(xùn)促進(jìn)安全規(guī)范;通過在線測試等評估機(jī)制進(jìn)行培訓(xùn)枫夺,以提高員工數(shù)據(jù)安全意識磅网。
- 制度一致性:為工作組和各部門制定數(shù)據(jù)安全制度和法規(guī)遵從制度,以健全企業(yè)制度為目標(biāo)
- 衡量安全性的收益:獎數(shù)據(jù)安全的收益同組織計劃聯(lián)系起來
- 為提供商設(shè)置安全要求:在SLA和外部合同義務(wù)中包括數(shù)據(jù)安全要求筷屡。
- 增強(qiáng)緊迫感:強(qiáng)調(diào)法律涧偷、合同和監(jiān)管要求,以增強(qiáng)數(shù)據(jù)安全管理的緊迫感
- 持續(xù)溝通:支持持續(xù)員工安全培訓(xùn)計劃毙死,向員工通報安全計算實踐和當(dāng)前威脅燎潮。
組織與文化變革
用戶數(shù)據(jù)授權(quán)的可見性
外包世界中的數(shù)據(jù)安全
- 服務(wù)水平協(xié)議(SLA)
- 外包合同中的有限責(zé)任條款
- 合同中的審計權(quán)條款
- 明確界定違反合同義務(wù)的后果
- 來自服務(wù)提供商的定期數(shù)據(jù)安全報告
- 對供應(yīng)商系統(tǒng)活動進(jìn)行獨立監(jiān)控
- 定期且徹底的數(shù)據(jù)安全審核
- 與服務(wù)提供商的持續(xù)溝通
- 如果供應(yīng)商位于另一個國家/地區(qū)并發(fā)生爭議時,應(yīng)了解合同法中的法律差異扼倘。
云環(huán)境中的數(shù)據(jù)安全
9. 數(shù)據(jù)安全治理
數(shù)據(jù)安全和企業(yè)架構(gòu)
度量指標(biāo)
- 安全實施指標(biāo)
安裝了最新安全補(bǔ)丁程序的企業(yè)計算機(jī)百分比
安裝并運(yùn)行最新反惡意軟件的計算機(jī)百分比
成功通過背景調(diào)查的新員工百分比
在年度安全實踐測驗中得分超狗80%的員工百分比
已完成正式風(fēng)險評估分析的業(yè)務(wù)單位百分比
在發(fā)生如火災(zāi)确封、地震、風(fēng)暴再菊、洪水爪喘、堡寨或其他災(zāi)難時,成功通過災(zāi)難恢復(fù)測試的業(yè)務(wù)流程百分比
已成功解決審計發(fā)現(xiàn)的問題百分比
可根據(jù)列表或同級數(shù)據(jù)的指標(biāo)跟蹤趨勢:
所有安全系統(tǒng)的性能指標(biāo)
背景調(diào)查和結(jié)果
應(yīng)急響應(yīng)計劃和業(yè)務(wù)連續(xù)性計劃狀態(tài)
犯罪事件和調(diào)查
合規(guī)的盡職調(diào)查以及需要解決的調(diào)查結(jié)果數(shù)量
執(zhí)行的信息風(fēng)險管理分析以及導(dǎo)致可操作變更的分析數(shù)量
制度審計的影響和結(jié)果
安全操作纠拔、物理安全和場所保護(hù)統(tǒng)計信息
記錄在案的秉剑、可訪問的安全標(biāo)準(zhǔn)
相關(guān)方遵守安全制度的動機(jī)
業(yè)務(wù)行為和聲譽(yù)風(fēng)險分析,包括員工培訓(xùn)
基于特定類型的數(shù)據(jù)的業(yè)務(wù)保健因素和內(nèi)部風(fēng)險
管理者和員工的信息和影響指標(biāo)稠诲,作為數(shù)據(jù)信息安全工作和制度如何被感知的指示 - 安全意識指標(biāo)
風(fēng)險評估結(jié)果:評估結(jié)果提供了定性數(shù)據(jù)侦鹏,需反饋給相關(guān)業(yè)務(wù)單位
風(fēng)險事件和配置文件:通過這些事件和文件確定需要糾正的未管理風(fēng)險敞口
正式的反饋調(diào)查和訪談:通過檢查和訪談確定安全意識水平
事故復(fù)盤诡曙、經(jīng)驗教訓(xùn)和受害者訪談:為安全意識方面的缺口提供了豐富的信息來源
補(bǔ)丁有效性審計:涉及使用機(jī)密和受控信息的計算機(jī),以評估安全補(bǔ)丁的有效性略水。 - 數(shù)據(jù)保護(hù)指標(biāo)
特定數(shù)據(jù)類型和信息系統(tǒng)的關(guān)鍵性排名
與數(shù)據(jù)丟失价卤、危害或損壞相關(guān)事務(wù)、黑客攻擊渊涝、盜竊或災(zāi)難的年損失預(yù)期
特定數(shù)據(jù)丟失的風(fēng)險與某些類別的受監(jiān)管信息以及補(bǔ)救優(yōu)先級排序相關(guān)
數(shù)據(jù)與特定業(yè)務(wù)流程的風(fēng)險映射慎璧,與銷售點設(shè)備相關(guān)的風(fēng)險將包含的金融支付系統(tǒng)過的風(fēng)險預(yù)測中
對某些具有價值的數(shù)據(jù)資源及其傳播媒介遭受攻擊的可能性進(jìn)行威脅評估
對可能意外或有意泄露敏感信息的業(yè)務(wù)流程中的特定部分進(jìn)行流動評估。 - 安全事件指標(biāo)
檢測到并阻止了入侵嘗試數(shù)量
通過防止入侵節(jié)省的安全成本投資回報 - 機(jī)密數(shù)據(jù)擴(kuò)散
應(yīng)衡量機(jī)密數(shù)據(jù)的副本數(shù)量跨释,以減少擴(kuò)散炸卑。機(jī)密數(shù)據(jù)存儲的位置越多,泄露的風(fēng)險就越大煤傍。
