联邦贸易委员会(FTC)正在努力保障消费者的敏感信息安全，这成为其工作中的重中之重。本文是FTC与企业界分享的十个安全经验教训。

美国联邦贸易委员会(FTC)设立至今已有很长一段时间了。自成立以来，综观这100多年，该机构一直视保护消费者利益为己任。正如人们预料的那样，随着互联网变得越来越商业化，这种责任已发生了巨大变化。

进入到互联网时代以来，该机构增添了调查任务。律师事务所Clark Hill PLC的知识产权部门律师Jennifer Woods提到：“FTC法案第5款为FTC赋予了广泛的权力，调查不公平和欺诈性的商业行为和做法。在隐私和数据安全这两大领域，FTC日益积极运用这种广泛的权力，针对各种各样‘不公平’或‘欺诈性’的行为开展调查。”

调查权力为FTC成员提供了宝贵的洞察力和独特的视角，以便了解在不断变化的数字化环境下如何最有力地保护消费者。为了共享这方面的知识，FTC发布了《企业安全入门指南：从FTC案例汲取的经验教训》，详见：https://www.ftc.gov/system/files/documents/plain-language/pdf0205-startwithsecurity.pdf。

该指南的引言部分说到，“汲取的经验教训” 选取自FTC调查的50多起执法行动。指南引言道：“这些是调解――没有一起是由法院做出的审判结果，每起案例的细节仅适用于那些公司。但是了解导致执法行动的涉嫌失误可以帮助贵公司改进安全做法。”

汲取的十大经验教训

1. 从安全开始入手。

这听起来简单，但并非所有企业用户都认识到第一步应该考虑安全。这份指南建议：“公司每个部门的决策都要考虑到安全――人员决策、销售决策、会计决策和信息技术决策等。”

比如说，“就因为XX”收集和维护信息不再是一项稳健的业务策略。指南中提到FTC起诉RockYou就是一个例子。该公司不仅收集电子邮件地址，还由于某种原因，收集电子邮件帐户密码。

2. 合理控制对数据的访问。

对于有正当的理由必须要保留的敏感数据，指南建议企业应采取合理的步骤来确保数据安全。如果员工在工作中不使用机密信息，他们就不需要访问这些信息。这同样适用于管理员访问权限。

FTC调查案中对于这方面有所涉及的是推特。FTC指控，这家公司将控制推特系统的管理员权限授予给几乎所有的员工，包括成员帐户。据FTC声称，这种类型的访问加大了数据泄露的风险。任何一个员工的登录信息外泄，可能会导致严重的数据泄密事件。

3. 需要安全密码和身份验证。

如果存储敏感信息，强大的身份验证策略和密码程序就要确保只有授权用户才可以访问数据。那些负责的人应该坚持使用复杂、不重复的密码，确保密码被安全地存储起来，以防范暴力攻击。

在同一起推特调查案例中，FTC发现，员工将常见的字典单词作为管理员密码。调查人员还发现可以使用同一个密码访问多个帐户。据FTC声称，“松懈的做法让推特的系统很容易受到黑客的攻击，黑客可能使用密码猜测工具，或者尝试从其他服务那里窃取的密码。希望推特的员工不要使用同一个密码来访问该公司的系统。”

4. 安全地存储敏感信息，并在传输过程中保护信息。

企业中，敏感数据的存储是业务需要。因此，FTC建议：

·使用强加密机制，在存储和传输过程中保护机密资料。

·使用适用于自己公司的加密标准。

·适当的设置和配置必不可少。

该指南给出了表明加密未正确运用的一个例子。Fandango和Credit Karma在移动应用程序中使用了SSL加密。据了解，一个名为SSL证书验证的关键过程被关闭了，又没有实施其他补偿性的安全措施。指南的起草者解释：“这使得应用程序很容易受到中间人攻击，攻击将导致黑客解密应用程序传输的敏感信息。”

5. 对网络进行分段，并监控谁试图进出网络。

通过防火墙，对访问有限的网络段上的敏感数据进行隔离可以加强安全，这是企业应该考虑采取的一个做法。

该指南还强调需要入侵检测系统(IDS)，以FTC调查的CardSystems Solutions的案例为例：该公司没有一套IDS，不知道黑客已侵入网络边界，将程序偷偷安装到公司网络上，收集敏感数据，然后每隔四天将数据发送到远程位置。

6. 保护对网络的远程访问。

利用远程访问权发动著名的数据泄露事件不止好几起。起草者审查案件后发现，企业应着眼于两个突出的因素：确保足够的端点安全，限制远程访问的可用性。

在FTC调查Dave & Buster's的案例中，指南报道：“FTC指控该公司没有限制第三方对其网络的访问。一名入侵者利用第三方公司的系统存在的安全薄弱环节，无数次连接到其网络，截获个人信息。”

7. 开发新产品时，采取稳健的安全做法。

这个“汲取的经验教训”针对软件开发人员。该指南通过一系列调查实例明确指出，企业主需要：

·培训工程师，学会编写安全的代码;

·遵循平台指导原则，以确保安全;

·证实隐私和安全功能确实有效;

·以及测试已知的软件安全漏洞。

最后一项工作似乎显而易见，但实际上并非如此。FTC调查了十多起案例：许多公司没有测试软件产品、查找安全漏洞，包括一直很普遍的SQL注入攻击。

8. 确保服务提供商实施合理的安全措施。

说到服务提供商，许多人会做太多的假设。指南的起草者写道：“采取合理措施，选择能够实施适当安全措施的提供商，并密切关注它们满足你的要求。”

FTC诉Upromise的案例直接表明了这一点。Upromise聘请了一家服务提供商来开发一个浏览器工具栏。该软件在互联网上发送数据之前理应删除敏感信息，但实际上并没有删除。该指南的起草者没有表明收集敏感数据是否导致任何问题，但是如果Upromise果真在收集敏感信息，它应该对此负责。

9. 制定程序，确保安全机制与时俱进，并堵住安全漏洞。

程序似乎并不重要，但要是出现了任何法律问题，制定有程序在法庭上大有关系。FTC指南的起草者还建议：“确保你的软件和网络安全并不是一蹴而就的事情。这是个持续的过程，需要你时时保持警惕。”

10. 确保纸张、物理介质和设备安全。

企业专注于数字化安全，却忘了老式的纸质产品。据FTC声称，Rite Aid和CVS Caremark就曾将敏感的个人信息(比如处方)扔到了垃圾箱。

几年前，FTC发布了《保护个人信息：企业指南》，该报告仍具有指导意义，企业主和负责确保客户数据安全可靠的人员应该会有兴趣。

科普:美国联邦贸易委员会(FTC)

美国联邦贸易委员会Federal Trade Commission (FTC)是执行多种反托拉斯和保护消费者法律的联邦机构，其目的是确保国家市场行为具有竞争性。FTC的工作主要是阻止可能给消费者带来危害的行为。它通过消除不合理的和欺骗性的条例或规章来确保和促进市场运营的顺畅。

当国会、行政机构、或其他的独立机构、以及州和地方政府商议政策需要时，FTC会提供相关资料。联邦贸易委员会可以通过不同的方式进行调查一般来说，联邦贸易委员会的调查都是非公开的，目的是为了保护公司和调查本身。

原文链接：http://sec.chinabyte.com/222/13730222.shtml

(责任编辑：腰编辑)