隐私保护和网络安全可能会在企业的安全网络防护体系的多个方面发生冲突。下面这7种是我们列举了隐私与安全可能存在的冲突。
1. 整体和局部的冲突
网络安全研究人员在找寻事件的真相时,他们一般都没能可以获得很多的相关信息。但是为了保护隐私安全,就算获得的信息再少也是相当重要的,往往这时,隐私保护就跟网络安全出现了某种冲突。
两边都会各持其说,网络的安全专业人士会觉得强大的安全性能保护电脑系统里的重要文件信息。而隐私保护的专业人士则认为没有什么安全制度是可以万无一失的,只有未收集到的信息才是最容易保护的。
目前处理这类的关键就只能是根据网络安全所需要的信息,在这基础上保留必要的数据,然后清除其他一切个人身份的信息。
2. . 加密和可见性的冲突
有些人从“加密一切”的立场开始,甚至还有以完全加密为目标的组织。大多数安全专业人员都乐于加密,直到恶意软件作者开始加密他们的有效载荷和流量,这令恶意软件对于许多安全产品是不可见的。
现在,许多隐私专家欣然承认,加密所有东西并不是保护隐私的灵丹妙药。不过,他们确实认为这是一项有用的技术,许多人表示,他们认为,强加密是任何隐私制度的基础技术。“强加密”的定义之一是不存在后门或已知的漏洞,无论是罪犯利用或安全专业人员作为他们工作的一部分。
3. 永久、短暂的数据存储
一些目光敏锐的博士用新的数据分析技术来研究存档的数据集并取得新的发现。一些安全研究人员看到了这一点,并想到了将所有收集的数据永久保存在一起才可能进行取证分析。
隐私专业人士却对这样的想法感到很无奈,这是因为数据隐私保护的一个关键是保证数据只要它完成收集它的特定任务,然后就安全地清除文件。
4. 本地与远程的冲突
“数据或垃圾”是一种直白的表述。敏感数据在其限定的权限范围内进行存储和处理,并且安全专业人士应该考虑对这些数据的异地备份存储。
出于监管的原因,从隐私的角度来看,数据应该保持特定的法律管辖区。安全团队应该会想到这一点,当所有的密钥数据都在一个安全机制或某个严格控制的环境中时,安全问题能够得到最好的解决。
5. 结构化与单点的冲突
零信任安全性要求在每个人或机器接口上进行重新认证。这使得应用程序基础架构的每个部分都保持安全,但是要使系统工作,需要许多不同的凭据和密钥。隐私专业人士喜欢确保基础设施的每个部分都是安全的,但也喜欢最小化与任何个人相关的凭证数量。
焦点应该放在结构化安全还是单点安全上?每个系统的目标都是系统及其数据的安全性,但根据系统的查看方式,事物的优先级可能会有很大的不同。
6. 匿名化与可识别的冲突
用户身份验证基于用户身份和特权的确定性。当用户通过身份验证时,隐私可以得到增强,但是当用户完成身份验证过程后,用户的信息会被隐藏或混淆。
特定身份应该与每个应用程序活动和网络事务紧密联系在一起吗?每个系统标识应附带多少个人身份信息?对于安全和取证,答案是“很多”。至于隐私,就没那么重要了。
这种冲突是在如何匿名化信息的同时,仍在维护认证过程,并在出现问题时获取有价值的取证。缓解的方式是在该流程指定在保持安全性的同时,厘清可以将多少个人身份信息(PII)绑定到用户标识。
7. 已知和未知的冲突
基于安全的原因,用户的操作行为正在被监视。安全部门回应有关被监视的投诉:“如果你没有做错什么,你不应该介意被监视。”隐私部门回应同样的抱怨:“如果你没有做什么错事,那么你做什么跟别人也没关系。”
解决问题和冲突的关键不是取消安全监控活动,而是对为了安全防护而收集、分析和存储数据的行为设置合理的限制。
安全和隐私防护之间可以形成良性的互动关系。当两者关系处理得当时,意味着可以在维护客户、员工和合作伙伴的隐私的同时,增强整个应用程序和数据基础架构的安全性。
随着网络安全问题不断涌现,以上总结的这7个方面隐私保护与万络安全的冲突,可以让我们更加了解隐私保护与网络安全之间的关联,但是,在网络发达的如今,我们还是要注意好自己的隐私保护跟网络安全,保护好自己不收攻击,做好防御工作,这两者缺一不可。
我们是『康众智防』
Network Security Product
你可能还想看
这世上本没有赞,点的人多了,也就有了
领取专属 10元无门槛券
私享最新 技术干货