【51CTO.com快譯】聯(lián)邦貿(mào)易委員會(FTC)正在努力保障消費者的敏感信息安全，這成為其工作中的重中之重。本文是FTC與企業(yè)界分享的十個安全經(jīng)驗教訓。

美國聯(lián)邦貿(mào)易委員會(FTC)設立至今已有很長一段時間了。自成立以來，綜觀這100多年，該機構一直視保護消費者利益為己任。正如人們預料的那樣，隨著互聯(lián)網(wǎng)變得越來越商業(yè)化，這種責任已發(fā)生了巨大變化。

[[164418]]

進入到互聯(lián)網(wǎng)時代以來，該機構增添了調查任務。律師事務所Clark Hill PLC的知識產(chǎn)權部門律師Jennifer Woods提到：“FTC法案第5款為FTC賦予了廣泛的權力，調查不公平和欺詐性的商業(yè)行為和做法。在隱私和數(shù)據(jù)安全這兩大領域，F(xiàn)TC日益積極運用這種廣泛的權力，針對各種各樣‘不公平’或‘欺詐性’的行為開展調查。”

調查權力為FTC成員提供了寶貴的洞察力和獨特的視角，以便了解在不斷變化的數(shù)字化環(huán)境下如何最有力地保護消費者。為了共享這方面的知識，F(xiàn)TC發(fā)布了《企業(yè)安全入門指南：從FTC案例汲取的經(jīng)驗教訓》，詳見：https://www.ftc.gov/system/files/documents/plain-language/pdf0205-startwithsecurity.pdf。

該指南的引言部分說到，“汲取的經(jīng)驗教訓” 選取自FTC調查的50多起執(zhí)法行動。指南引言道：“這些是調解――沒有一起是由法院做出的審判結果，每起案例的細節(jié)僅適用于那些公司。但是了解導致執(zhí)法行動的涉嫌失誤可以幫助貴公司改進安全做法。”

汲取的十大經(jīng)驗教訓

1. 從安全開始入手。

這聽起來簡單，但并非所有企業(yè)用戶都認識到第一步應該考慮安全。這份指南建議：“公司每個部門的決策都要考慮到安全――人員決策、銷售決策、會計決策和信息技術決策等。”

比如說，“就因為XX”收集和維護信息不再是一項穩(wěn)健的業(yè)務策略。指南中提到FTC起訴RockYou就是一個例子。該公司不僅收集電子郵件地址，還由于某種原因，收集電子郵件帳戶密碼。

2. 合理控制對數(shù)據(jù)的訪問。

對于有正當?shù)睦碛杀仨氁Ａ舻拿舾袛?shù)據(jù)，指南建議企業(yè)應采取合理的步驟來確保數(shù)據(jù)安全。如果員工在工作中不使用機密信息，他們就不需要訪問這些信息。這同樣適用于管理員訪問權限。

FTC調查案中對于這方面有所涉及的是推特。FTC指控，這家公司將控制推特系統(tǒng)的管理員權限授予給幾乎所有的員工，包括成員帳戶。據(jù)FTC聲稱，這種類型的訪問加大了數(shù)據(jù)泄露的風險。任何一個員工的登錄信息外泄，可能會導致嚴重的數(shù)據(jù)泄密事件。

3. 需要安全密碼和身份驗證。

如果存儲敏感信息，強大的身份驗證策略和密碼程序就要確保只有授權用戶才可以訪問數(shù)據(jù)。那些負責的人應該堅持使用復雜、不重復的密碼，確保密碼被安全地存儲起來，以防范暴力攻擊。

在同一起推特調查案例中，F(xiàn)TC發(fā)現(xiàn)，員工將常見的字典單詞作為管理員密碼。調查人員還發(fā)現(xiàn)可以使用同一個密碼訪問多個帳戶。據(jù)FTC聲稱，“松懈的做法讓推特的系統(tǒng)很容易受到黑客的攻擊，黑客可能使用密碼猜測工具，或者嘗試從其他服務那里竊取的密碼。希望推特的員工不要使用同一個密碼來訪問該公司的系統(tǒng)。”

4. 安全地存儲敏感信息，并在傳輸過程中保護信息。

企業(yè)中，敏感數(shù)據(jù)的存儲是業(yè)務需要。因此，F(xiàn)TC建議：

·使用強加密機制，在存儲和傳輸過程中保護機密資料。

·使用適用于自己公司的加密標準。

·適當?shù)脑O置和配置必不可少。

該指南給出了表明加密未正確運用的一個例子。Fandango和Credit Karma在移動應用程序中使用了SSL加密。據(jù)了解，一個名為SSL證書驗證的關鍵過程被關閉了，又沒有實施其他補償性的安全措施。指南的起草者解釋：“這使得應用程序很容易受到中間人攻擊，攻擊將導致黑客解密應用程序傳輸?shù)拿舾行畔ⅰ?rdquo;

5. 對網(wǎng)絡進行分段，并監(jiān)控誰試圖進出網(wǎng)絡。

通過防火墻，對訪問有限的網(wǎng)絡段上的敏感數(shù)據(jù)進行隔離可以加強安全，這是企業(yè)應該考慮采取的一個做法。

該指南還強調需要入侵檢測系統(tǒng)(IDS)，以FTC調查的CardSystems Solutions的案例為例：該公司沒有一套IDS，不知道黑客已侵入網(wǎng)絡邊界，將程序偷偷安裝到公司網(wǎng)絡上，收集敏感數(shù)據(jù)，然后每隔四天將數(shù)據(jù)發(fā)送到遠程位置。

6. 保護對網(wǎng)絡的遠程訪問。

利用遠程訪問權發(fā)動著名的數(shù)據(jù)泄露事件不止好幾起。起草者審查案件后發(fā)現(xiàn)，企業(yè)應著眼于兩個突出的因素：確保足夠的端點安全，限制遠程訪問的可用性。

在FTC調查Dave & Buster's的案例中，指南報道：“FTC指控該公司沒有限制第三方對其網(wǎng)絡的訪問。一名入侵者利用第三方公司的系統(tǒng)存在的安全薄弱環(huán)節(jié)，無數(shù)次連接到其網(wǎng)絡，截獲個人信息。”

7. 開發(fā)新產(chǎn)品時，采取穩(wěn)健的安全做法。

這個“汲取的經(jīng)驗教訓”針對軟件開發(fā)人員。該指南通過一系列調查實例明確指出，企業(yè)主需要：

·培訓工程師，學會編寫安全的代碼;

·遵循平臺指導原則，以確保安全;

·證實隱私和安全功能確實有效;

·以及測試已知的軟件安全漏洞。

最后一項工作似乎顯而易見，但實際上并非如此。FTC調查了十多起案例：許多公司沒有測試軟件產(chǎn)品、查找安全漏洞，包括一直很普遍的SQL注入攻擊。

8. 確保服務提供商實施合理的安全措施。

說到服務提供商，許多人會做太多的假設。指南的起草者寫道：“采取合理措施，選擇能夠實施適當安全措施的提供商，并密切關注它們滿足你的要求。”

FTC訴Upromise的案例直接表明了這一點。Upromise聘請了一家服務提供商來開發(fā)一個瀏覽器工具欄。該軟件在互聯(lián)網(wǎng)上發(fā)送數(shù)據(jù)之前理應刪除敏感信息，但實際上并沒有刪除。該指南的起草者沒有表明收集敏感數(shù)據(jù)是否導致任何問題，但是如果Upromise果真在收集敏感信息，它應該對此負責。

9. 制定程序，確保安全機制與時俱進，并堵住安全漏洞。

程序似乎并不重要，但要是出現(xiàn)了任何法律問題，制定有程序在法庭上大有關系。FTC指南的起草者還建議：“確保你的軟件和網(wǎng)絡安全并不是一蹴而就的事情。這是個持續(xù)的過程，需要你時時保持警惕。”

10. 確保紙張、物理介質和設備安全。

企業(yè)專注于數(shù)字化安全，卻忘了老式的紙質產(chǎn)品。據(jù)FTC聲稱，Rite Aid和CVS Caremark就曾將敏感的個人信息(比如處方)扔到了垃圾箱。

幾年前，F(xiàn)TC發(fā)布了《保護個人信息：企業(yè)指南》(https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business)，該報告仍具有指導意義，企業(yè)主和負責確保客戶數(shù)據(jù)安全可靠的人員應該會有興趣。

科普:美國聯(lián)邦貿(mào)易委員會(FTC)

美國聯(lián)邦貿(mào)易委員會Federal Trade Commission (FTC)是執(zhí)行多種反托拉斯和保護消費者法律的聯(lián)邦機構，其目的是確保國家市場行為具有競爭性。FTC的工作主要是阻止可能給消費者帶來危害的行為。它通過消除不合理的和欺騙性的條例或規(guī)章來確保和促進市場運營的順暢。

當國會、行政機構、或其他的獨立機構、以及州和地方政府商議政策需要時，F(xiàn)TC會提供相關資料。聯(lián)邦貿(mào)易委員會可以通過不同的方式進行調查一般來說，聯(lián)邦貿(mào)易委員會的調查都是非公開的，目的是為了保護公司和調查本身。

原文標題：10 security tips from the FTC on how to protect consumer data

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】