【51CTO.com快譯】聯(lián)邦貿(mào)易委員會(FTC)正在努力保障消費(fèi)者的敏感信息安全，這成為其工作中的重中之重。本文是FTC與企業(yè)界分享的十個(gè)安全經(jīng)驗(yàn)教訓(xùn)。

美國聯(lián)邦貿(mào)易委員會(FTC)設(shè)立至今已有很長一段時(shí)間了。自成立以來，綜觀這100多年，該機(jī)構(gòu)一直視保護(hù)消費(fèi)者利益為己任。正如人們預(yù)料的那樣，隨著互聯(lián)網(wǎng)變得越來越商業(yè)化，這種責(zé)任已發(fā)生了巨大變化。

[[164418]]

進(jìn)入到互聯(lián)網(wǎng)時(shí)代以來，該機(jī)構(gòu)增添了調(diào)查任務(wù)。律師事務(wù)所Clark Hill PLC的知識產(chǎn)權(quán)部門律師Jennifer Woods提到：“FTC法案第5款為FTC賦予了廣泛的權(quán)力，調(diào)查不公平和欺詐性的商業(yè)行為和做法。在隱私和數(shù)據(jù)安全這兩大領(lǐng)域，F(xiàn)TC日益積極運(yùn)用這種廣泛的權(quán)力，針對各種各樣‘不公平’或‘欺詐性’的行為開展調(diào)查。”

調(diào)查權(quán)力為FTC成員提供了寶貴的洞察力和獨(dú)特的視角，以便了解在不斷變化的數(shù)字化環(huán)境下如何最有力地保護(hù)消費(fèi)者。為了共享這方面的知識，F(xiàn)TC發(fā)布了《企業(yè)安全入門指南：從FTC案例汲取的經(jīng)驗(yàn)教訓(xùn)》，詳見：https://www.ftc.gov/system/files/documents/plain-language/pdf0205-startwithsecurity.pdf。

該指南的引言部分說到，“汲取的經(jīng)驗(yàn)教訓(xùn)” 選取自FTC調(diào)查的50多起執(zhí)法行動(dòng)。指南引言道：“這些是調(diào)解――沒有一起是由法院做出的審判結(jié)果，每起案例的細(xì)節(jié)僅適用于那些公司。但是了解導(dǎo)致執(zhí)法行動(dòng)的涉嫌失誤可以幫助貴公司改進(jìn)安全做法。”

汲取的十大經(jīng)驗(yàn)教訓(xùn)

1. 從安全開始入手。

這聽起來簡單，但并非所有企業(yè)用戶都認(rèn)識到第一步應(yīng)該考慮安全。這份指南建議：“公司每個(gè)部門的決策都要考慮到安全――人員決策、銷售決策、會計(jì)決策和信息技術(shù)決策等。”

比如說，“就因?yàn)閄X”收集和維護(hù)信息不再是一項(xiàng)穩(wěn)健的業(yè)務(wù)策略。指南中提到FTC起訴RockYou就是一個(gè)例子。該公司不僅收集電子郵件地址，還由于某種原因，收集電子郵件帳戶密碼。

2. 合理控制對數(shù)據(jù)的訪問。

對于有正當(dāng)?shù)睦碛杀仨氁Ａ舻拿舾袛?shù)據(jù)，指南建議企業(yè)應(yīng)采取合理的步驟來確保數(shù)據(jù)安全。如果員工在工作中不使用機(jī)密信息，他們就不需要訪問這些信息。這同樣適用于管理員訪問權(quán)限。

FTC調(diào)查案中對于這方面有所涉及的是推特。FTC指控，這家公司將控制推特系統(tǒng)的管理員權(quán)限授予給幾乎所有的員工，包括成員帳戶。據(jù)FTC聲稱，這種類型的訪問加大了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。任何一個(gè)員工的登錄信息外泄，可能會導(dǎo)致嚴(yán)重的數(shù)據(jù)泄密事件。

3. 需要安全密碼和身份驗(yàn)證。

如果存儲敏感信息，強(qiáng)大的身份驗(yàn)證策略和密碼程序就要確保只有授權(quán)用戶才可以訪問數(shù)據(jù)。那些負(fù)責(zé)的人應(yīng)該堅(jiān)持使用復(fù)雜、不重復(fù)的密碼，確保密碼被安全地存儲起來，以防范暴力攻擊。

在同一起推特調(diào)查案例中，F(xiàn)TC發(fā)現(xiàn)，員工將常見的字典單詞作為管理員密碼。調(diào)查人員還發(fā)現(xiàn)可以使用同一個(gè)密碼訪問多個(gè)帳戶。據(jù)FTC聲稱，“松懈的做法讓推特的系統(tǒng)很容易受到黑客的攻擊，黑客可能使用密碼猜測工具，或者嘗試從其他服務(wù)那里竊取的密碼。希望推特的員工不要使用同一個(gè)密碼來訪問該公司的系統(tǒng)。”

4. 安全地存儲敏感信息，并在傳輸過程中保護(hù)信息。

企業(yè)中，敏感數(shù)據(jù)的存儲是業(yè)務(wù)需要。因此，F(xiàn)TC建議：

·使用強(qiáng)加密機(jī)制，在存儲和傳輸過程中保護(hù)機(jī)密資料。

·使用適用于自己公司的加密標(biāo)準(zhǔn)。

·適當(dāng)?shù)脑O(shè)置和配置必不可少。

該指南給出了表明加密未正確運(yùn)用的一個(gè)例子。Fandango和Credit Karma在移動(dòng)應(yīng)用程序中使用了SSL加密。據(jù)了解，一個(gè)名為SSL證書驗(yàn)證的關(guān)鍵過程被關(guān)閉了，又沒有實(shí)施其他補(bǔ)償性的安全措施。指南的起草者解釋：“這使得應(yīng)用程序很容易受到中間人攻擊，攻擊將導(dǎo)致黑客解密應(yīng)用程序傳輸?shù)拿舾行畔ⅰ?rdquo;

5. 對網(wǎng)絡(luò)進(jìn)行分段，并監(jiān)控誰試圖進(jìn)出網(wǎng)絡(luò)。

通過防火墻，對訪問有限的網(wǎng)絡(luò)段上的敏感數(shù)據(jù)進(jìn)行隔離可以加強(qiáng)安全，這是企業(yè)應(yīng)該考慮采取的一個(gè)做法。

該指南還強(qiáng)調(diào)需要入侵檢測系統(tǒng)(IDS)，以FTC調(diào)查的CardSystems Solutions的案例為例：該公司沒有一套IDS，不知道黑客已侵入網(wǎng)絡(luò)邊界，將程序偷偷安裝到公司網(wǎng)絡(luò)上，收集敏感數(shù)據(jù)，然后每隔四天將數(shù)據(jù)發(fā)送到遠(yuǎn)程位置。

6. 保護(hù)對網(wǎng)絡(luò)的遠(yuǎn)程訪問。

利用遠(yuǎn)程訪問權(quán)發(fā)動(dòng)著名的數(shù)據(jù)泄露事件不止好幾起。起草者審查案件后發(fā)現(xiàn)，企業(yè)應(yīng)著眼于兩個(gè)突出的因素：確保足夠的端點(diǎn)安全，限制遠(yuǎn)程訪問的可用性。

在FTC調(diào)查Dave & Buster's的案例中，指南報(bào)道：“FTC指控該公司沒有限制第三方對其網(wǎng)絡(luò)的訪問。一名入侵者利用第三方公司的系統(tǒng)存在的安全薄弱環(huán)節(jié)，無數(shù)次連接到其網(wǎng)絡(luò)，截獲個(gè)人信息。”

7. 開發(fā)新產(chǎn)品時(shí)，采取穩(wěn)健的安全做法。

這個(gè)“汲取的經(jīng)驗(yàn)教訓(xùn)”針對軟件開發(fā)人員。該指南通過一系列調(diào)查實(shí)例明確指出，企業(yè)主需要：

·培訓(xùn)工程師，學(xué)會編寫安全的代碼;

·遵循平臺指導(dǎo)原則，以確保安全;

·證實(shí)隱私和安全功能確實(shí)有效;

·以及測試已知的軟件安全漏洞。

最后一項(xiàng)工作似乎顯而易見，但實(shí)際上并非如此。FTC調(diào)查了十多起案例：許多公司沒有測試軟件產(chǎn)品、查找安全漏洞，包括一直很普遍的SQL注入攻擊。

8. 確保服務(wù)提供商實(shí)施合理的安全措施。

說到服務(wù)提供商，許多人會做太多的假設(shè)。指南的起草者寫道：“采取合理措施，選擇能夠?qū)嵤┻m當(dāng)安全措施的提供商，并密切關(guān)注它們滿足你的要求。”

FTC訴Upromise的案例直接表明了這一點(diǎn)。Upromise聘請了一家服務(wù)提供商來開發(fā)一個(gè)瀏覽器工具欄。該軟件在互聯(lián)網(wǎng)上發(fā)送數(shù)據(jù)之前理應(yīng)刪除敏感信息，但實(shí)際上并沒有刪除。該指南的起草者沒有表明收集敏感數(shù)據(jù)是否導(dǎo)致任何問題，但是如果Upromise果真在收集敏感信息，它應(yīng)該對此負(fù)責(zé)。

9. 制定程序，確保安全機(jī)制與時(shí)俱進(jìn)，并堵住安全漏洞。

程序似乎并不重要，但要是出現(xiàn)了任何法律問題，制定有程序在法庭上大有關(guān)系。FTC指南的起草者還建議：“確保你的軟件和網(wǎng)絡(luò)安全并不是一蹴而就的事情。這是個(gè)持續(xù)的過程，需要你時(shí)時(shí)保持警惕。”

10. 確保紙張、物理介質(zhì)和設(shè)備安全。

企業(yè)專注于數(shù)字化安全，卻忘了老式的紙質(zhì)產(chǎn)品。據(jù)FTC聲稱，Rite Aid和CVS Caremark就曾將敏感的個(gè)人信息(比如處方)扔到了垃圾箱。

幾年前，F(xiàn)TC發(fā)布了《保護(hù)個(gè)人信息：企業(yè)指南》(https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business)，該報(bào)告仍具有指導(dǎo)意義，企業(yè)主和負(fù)責(zé)確保客戶數(shù)據(jù)安全可靠的人員應(yīng)該會有興趣。

科普:美國聯(lián)邦貿(mào)易委員會(FTC)

美國聯(lián)邦貿(mào)易委員會Federal Trade Commission (FTC)是執(zhí)行多種反托拉斯和保護(hù)消費(fèi)者法律的聯(lián)邦機(jī)構(gòu)，其目的是確保國家市場行為具有競爭性。FTC的工作主要是阻止可能給消費(fèi)者帶來危害的行為。它通過消除不合理的和欺騙性的條例或規(guī)章來確保和促進(jìn)市場運(yùn)營的順暢。

當(dāng)國會、行政機(jī)構(gòu)、或其他的獨(dú)立機(jī)構(gòu)、以及州和地方政府商議政策需要時(shí)，F(xiàn)TC會提供相關(guān)資料。聯(lián)邦貿(mào)易委員會可以通過不同的方式進(jìn)行調(diào)查一般來說，聯(lián)邦貿(mào)易委員會的調(diào)查都是非公開的，目的是為了保護(hù)公司和調(diào)查本身。

原文標(biāo)題：10 security tips from the FTC on how to protect consumer data

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】