隱私保護與網絡安全之間的7個衝突

隱私保護和網絡安全可能會在企業的安全網絡防護體系的多個方面發生衝突。下面這7種是我們列舉了隱私與安全可能存在的衝突。

隱私保護與網絡安全之間的7個衝突


1. 整體和局部的衝突

隱私保護與網絡安全之間的7個衝突

網絡安全研究人員在找尋事件的真相時,他們一般都沒能可以獲得很多的相關信息。但是為了保護隱私安全,就算獲得的信息再少也是相當重要的,往往這時,隱私保護就跟網絡安全出現了某種衝突。

兩邊都會各持其說,網絡的安全專業人士會覺得強大的安全性能保護電腦系統裡的重要文件信息。而隱私保護的專業人士則認為沒有什麼安全制度是可以萬無一失的,只有未收集到的信息才是最容易保護的。

目前處理這類的關鍵就只能是根據網絡安全所需要的信息,在這基礎上保留必要的數據,然後清除其他一切個人身份的信息。


2. . 加密和可見性的衝突

隱私保護與網絡安全之間的7個衝突

有些人從“加密一切”的立場開始,甚至還有以完全加密為目標的組織。大多數安全專業人員都樂於加密,直到惡意軟件作者開始加密他們的有效載荷和流量,這令惡意軟件對於許多安全產品是不可見的。

現在,許多隱私專家欣然承認,加密所有東西並不是保護隱私的靈丹妙藥。不過,他們確實認為這是一項有用的技術,許多人表示,他們認為,強加密是任何隱私制度的基礎技術。“強加密”的定義之一是不存在後門或已知的漏洞,無論是罪犯利用或安全專業人員作為他們工作的一部分。


3. 永久、短暫的數據存儲

隱私保護與網絡安全之間的7個衝突

一些目光敏銳的博士用新的數據分析技術來研究存檔的數據集並取得新的發現。一些安全研究人員看到了這一點,並想到了將所有收集的數據永久保存在一起才可能進行取證分析。

隱私專業人士卻對這樣的想法感到很無奈,這是因為數據隱私保護的一個關鍵是保證數據只要它完成收集它的特定任務,然後就安全地清除文件。


4. 本地與遠程的衝突

隱私保護與網絡安全之間的7個衝突

“數據或垃圾”是一種直白的表述。敏感數據在其限定的權限範圍內進行存儲和處理,並且安全專業人士應該考慮對這些數據的異地備份存儲。

出於監管的原因,從隱私的角度來看,數據應該保持特定的法律管轄區。安全團隊應該會想到這一點,當所有的密鑰數據都在一個安全機制或某個嚴格控制的環境中時,安全問題能夠得到最好的解決。


5. 結構化與單點的衝突

隱私保護與網絡安全之間的7個衝突

零信任安全性要求在每個人或機器接口上進行重新認證。這使得應用程序基礎架構的每個部分都保持安全,但是要使系統工作,需要許多不同的憑據和密鑰。隱私專業人士喜歡確保基礎設施的每個部分都是安全的,但也喜歡最小化與任何個人相關的憑證數量。

焦點應該放在結構化安全還是單點安全上?每個系統的目標都是系統及其數據的安全性,但根據系統的查看方式,事物的優先級可能會有很大的不同。


6. 匿名化與可識別的衝突

隱私保護與網絡安全之間的7個衝突

用戶身份驗證基於用戶身份和特權的確定性。當用戶通過身份驗證時,隱私可以得到增強,但是當用戶完成身份驗證過程後,用戶的信息會被隱藏或混淆。

特定身份應該與每個應用程序活動和網絡事務緊密聯繫在一起嗎?每個系統標識應附帶多少個人身份信息?對於安全和取證,答案是“很多”。至於隱私,就沒那麼重要了。

這種衝突是在如何匿名化信息的同時,仍在維護認證過程,並在出現問題時獲取有價值的取證。緩解的方式是在該流程指定在保持安全性的同時,釐清可以將多少個人身份信息(PII)綁定到用戶標識。


7. 已知和未知的衝突

隱私保護與網絡安全之間的7個衝突

基於安全的原因,用戶的操作行為正在被監視。安全部門回應有關被監視的投訴:“如果你沒有做錯什麼,你不應該介意被監視。”隱私部門回應同樣的抱怨:“如果你沒有做什麼錯事,那麼你做什麼跟別人也沒關係。”

解決問題和衝突的關鍵不是取消安全監控活動,而是對為了安全防護而收集、分析和存儲數據的行為設置合理的限制。

安全和隱私防護之間可以形成良性的互動關係。當兩者關係處理得當時,意味著可以在維護客戶、員工和合作夥伴的隱私的同時,增強整個應用程序和數據基礎架構的安全性。


隨著網絡安全問題不斷湧現,以上總結的這7個方面隱私保護與萬絡安全的衝突,可以讓我們更加了解隱私保護與網絡安全之間的關聯,但是,在網絡發達的如今,我們還是要注意好自己的隱私保護跟網絡安全,保護好自己不收攻擊,做好防禦工作,這兩者缺一不可。


分享到:


相關文章: