【51CTO.com快譯】聯邦貿易委員會(FTC)正在努力保障消費者的敏感信息安全，這成為其工作中的重中之重。本文是FTC與企業界分享的十個安全經驗教訓。

美國聯邦貿易委員會(FTC)設立至今已有很長一段時間了。自成立以來，綜觀這100多年，該機構一直視保護消費者利益為己任。正如人們預料的那樣，隨著互聯網變得越來越商業化，這種責任已發生了巨大變化。

[[164418]]

進入到互聯網時代以來，該機構增添了調查任務。律師事務所Clark Hill PLC的知識產權部門律師Jennifer Woods提到：“FTC法案第5款為FTC賦予了廣泛的權力，調查不公平和欺詐性的商業行為和做法。在隱私和數據安全這兩大領域，FTC日益積極運用這種廣泛的權力，針對各種各樣‘不公平’或‘欺詐性’的行為開展調查。”

調查權力為FTC成員提供了寶貴的洞察力和獨特的視角，以便了解在不斷變化的數字化環境下如何最有力地保護消費者。為了共享這方面的知識，FTC發布了《企業安全入門指南：從FTC案例汲取的經驗教訓》，詳見：https://www.ftc.gov/system/files/documents/plain-language/pdf0205-startwithsecurity.pdf。

該指南的引言部分說到，“汲取的經驗教訓” 選取自FTC調查的50多起執法行動。指南引言道：“這些是調解――沒有一起是由法院做出的審判結果，每起案例的細節僅適用于那些公司。但是了解導致執法行動的涉嫌失誤可以幫助貴公司改進安全做法。”

汲取的十大經驗教訓

1. 從安全開始入手。

這聽起來簡單，但并非所有企業用戶都認識到第一步應該考慮安全。這份指南建議：“公司每個部門的決策都要考慮到安全――人員決策、銷售決策、會計決策和信息技術決策等。”

比如說，“就因為XX”收集和維護信息不再是一項穩健的業務策略。指南中提到FTC起訴RockYou就是一個例子。該公司不僅收集電子郵件地址，還由于某種原因，收集電子郵件帳戶密碼。

2. 合理控制對數據的訪問。

對于有正當的理由必須要保留的敏感數據，指南建議企業應采取合理的步驟來確保數據安全。如果員工在工作中不使用機密信息，他們就不需要訪問這些信息。這同樣適用于管理員訪問權限。

FTC調查案中對于這方面有所涉及的是推特。FTC指控，這家公司將控制推特系統的管理員權限授予給幾乎所有的員工，包括成員帳戶。據FTC聲稱，這種類型的訪問加大了數據泄露的風險。任何一個員工的登錄信息外泄，可能會導致嚴重的數據泄密事件。

3. 需要安全密碼和身份驗證。

如果存儲敏感信息，強大的身份驗證策略和密碼程序就要確保只有授權用戶才可以訪問數據。那些負責的人應該堅持使用復雜、不重復的密碼，確保密碼被安全地存儲起來，以防范暴力攻擊。

在同一起推特調查案例中，FTC發現，員工將常見的字典單詞作為管理員密碼。調查人員還發現可以使用同一個密碼訪問多個帳戶。據FTC聲稱，“松懈的做法讓推特的系統很容易受到黑客的攻擊，黑客可能使用密碼猜測工具，或者嘗試從其他服務那里竊取的密碼。希望推特的員工不要使用同一個密碼來訪問該公司的系統。”

4. 安全地存儲敏感信息，并在傳輸過程中保護信息。

企業中，敏感數據的存儲是業務需要。因此，FTC建議：

·使用強加密機制，在存儲和傳輸過程中保護機密資料。

·使用適用于自己公司的加密標準。

·適當的設置和配置必不可少。

該指南給出了表明加密未正確運用的一個例子。Fandango和Credit Karma在移動應用程序中使用了SSL加密。據了解，一個名為SSL證書驗證的關鍵過程被關閉了，又沒有實施其他補償性的安全措施。指南的起草者解釋：“這使得應用程序很容易受到中間人攻擊，攻擊將導致黑客解密應用程序傳輸的敏感信息。”

5. 對網絡進行分段，并監控誰試圖進出網絡。

通過防火墻，對訪問有限的網絡段上的敏感數據進行隔離可以加強安全，這是企業應該考慮采取的一個做法。

該指南還強調需要入侵檢測系統(IDS)，以FTC調查的CardSystems Solutions的案例為例：該公司沒有一套IDS，不知道黑客已侵入網絡邊界，將程序偷偷安裝到公司網絡上，收集敏感數據，然后每隔四天將數據發送到遠程位置。

6. 保護對網絡的遠程訪問。

利用遠程訪問權發動著名的數據泄露事件不止好幾起。起草者審查案件后發現，企業應著眼于兩個突出的因素：確保足夠的端點安全，限制遠程訪問的可用性。

在FTC調查Dave & Buster's的案例中，指南報道：“FTC指控該公司沒有限制第三方對其網絡的訪問。一名入侵者利用第三方公司的系統存在的安全薄弱環節，無數次連接到其網絡，截獲個人信息。”

7. 開發新產品時，采取穩健的安全做法。

這個“汲取的經驗教訓”針對軟件開發人員。該指南通過一系列調查實例明確指出，企業主需要：

·培訓工程師，學會編寫安全的代碼;

·遵循平臺指導原則，以確保安全;

·證實隱私和安全功能確實有效;

·以及測試已知的軟件安全漏洞。

最后一項工作似乎顯而易見，但實際上并非如此。FTC調查了十多起案例：許多公司沒有測試軟件產品、查找安全漏洞，包括一直很普遍的SQL注入攻擊。

8. 確保服務提供商實施合理的安全措施。

說到服務提供商，許多人會做太多的假設。指南的起草者寫道：“采取合理措施，選擇能夠實施適當安全措施的提供商，并密切關注它們滿足你的要求。”

FTC訴Upromise的案例直接表明了這一點。Upromise聘請了一家服務提供商來開發一個瀏覽器工具欄。該軟件在互聯網上發送數據之前理應刪除敏感信息，但實際上并沒有刪除。該指南的起草者沒有表明收集敏感數據是否導致任何問題，但是如果Upromise果真在收集敏感信息，它應該對此負責。

9. 制定程序，確保安全機制與時俱進，并堵住安全漏洞。

程序似乎并不重要，但要是出現了任何法律問題，制定有程序在法庭上大有關系。FTC指南的起草者還建議：“確保你的軟件和網絡安全并不是一蹴而就的事情。這是個持續的過程，需要你時時保持警惕。”

10. 確保紙張、物理介質和設備安全。

企業專注于數字化安全，卻忘了老式的紙質產品。據FTC聲稱，Rite Aid和CVS Caremark就曾將敏感的個人信息(比如處方)扔到了垃圾箱。

幾年前，FTC發布了《保護個人信息：企業指南》(https://www.ftc.gov/tips-advice/business-center/guidance/protecting-personal-information-guide-business)，該報告仍具有指導意義，企業主和負責確保客戶數據安全可靠的人員應該會有興趣。

科普:美國聯邦貿易委員會(FTC)

美國聯邦貿易委員會Federal Trade Commission (FTC)是執行多種反托拉斯和保護消費者法律的聯邦機構，其目的是確保國家市場行為具有競爭性。FTC的工作主要是阻止可能給消費者帶來危害的行為。它通過消除不合理的和欺騙性的條例或規章來確保和促進市場運營的順暢。

當國會、行政機構、或其他的獨立機構、以及州和地方政府商議政策需要時，FTC會提供相關資料。聯邦貿易委員會可以通過不同的方式進行調查一般來說，聯邦貿易委員會的調查都是非公開的，目的是為了保護公司和調查本身。

原文標題：10 security tips from the FTC on how to protect consumer data

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】