菜单
蓝色背景上堆叠的紫色立方体

安全性:数据安全策略和程序

目录

分享该页面

2022 年 4 月

数据安全是隐私与合规的基础。在信任中心,我们阐明了数据安全策略和程序,这些策略和程序用于监管我们如何管理自己系统的安全性以及客户委托给我们的数据。

NetApp 遵循全球数据安全法律的要求,这些法律要求采取合理的安全措施来存储、传输和处理数据。我们采取被广泛认为是适当安全性不可或缺的措施,包括加密、身份验证和授权控制、违规报告、数据丢失防护和修补程序管理。

NetApp 提供了一系列加密解决方案以及加密密钥管理。其他措施包括一系列可帮助您的组织保持抵御勒索软件威胁的弹性的策略和工具,以及支持数据最小化的严格数据保留和删除策略。NetApp 安全研究人员努力检测、防范和响应软件错误和安全漏洞。

NetApp 实施这些保护措施来保护其信息系统和存储在其中的数据。此外,按照共担责任的模式,我们还提供战略、工具和服务,让我们的客户也能做到这一点。

NetApp 致力于打造一个安全灵活的平台,帮助客户满怀信心地走上蓬勃发展之路。

Bill Miller, 高级副总裁兼首席信息官, NetApp

在数据驱动的环境中共担责任

当企业从内部基础架构转变为混合云、私有云或公有云基础架构时,与云服务提供商共担数据安全责任是这一根本性转变的关键。共担责任模型阐明了这个云计算环境中的哪一方负责管理数据的安全性,包括数据的机密性、完整性和可用性。

作为服务提供商,NetApp 负责 NetApp 云服务的安全运维,例如 NetApp 数据中心的物理安全以及 SaaS 解决方案中的漏洞修补。 

您(我们的客户)可能需要负责云中的安全运维,例如确保在虚拟部署中启用和遵循密码复杂性等企业策略,就像在内部一样。

NetApp 还提供了多个合作伙伴云基础架构提供商供您选择,包括 Amazon Web Services、Microsoft Azure 和 Google Cloud,这些提供商负责管理其产品的安全运维。

确保安全地处理数据,实现隐私合规

全球隐私法律要求采取合理的安全措施来存储、传输和处理个人信息。在美国,合理的安全性是特定信息分类(如财务、健康和其他个人数据)需要遵守的法律要求。这为管理公平商业惯例的法律以及美国境外的隐私法律(例如欧盟 GDPR)奠定了基础。 

虽然没有为合理的安全规定明确的标准或工程控制集,但监管机构和法院承认某些措施是其中不可或缺的一部分。这些措施包括加密、身份验证和授权控制、违规报告、数据丢失防护和修补程序管理。

NetApp 实施这些保护措施以保护其信息系统及其存储的数据,同时构建产品和服务以使我们的客户也能做到这一点。

勒索软件规避

勒索软件攻击对组织安全和数据可用性构成威胁,造成的损失往往比索要的赎金高得多。此外,还会产生恢复成本、运营中断、收入减少、潜在的法律影响甚至品牌价值受损等一系列问题。 

勒索软件响应策略对于准备应对此类攻击至关重要,包括数据备份和恢复在内的业务连续性计划则有助于减少勒索软件攻击的影响。与勒索软件攻击环路隔离开来的可操作的备份是一个关键组成部分,将恢复点目标优化为未受感染的数据点有助于防止系统再次感染。 

作为数据存储领域的全球领导者,NetApp 提供广泛的战略、工具和服务,帮助您的组织保持抵御勒索软件威胁的弹性、减轻恢复工作并缩短恢复时间。

NetApp 安全开发生命周期

整个计算机行业以及世界各地的企业和组织都普遍承认安全漏洞的存在。NetApp 已通过建立安全开发生命周期 (SDL) 来解决安全漏洞。NetApp 的 SDL 是一个可重复的 6 步流程,用于根据行业最佳实践和标准开发安全软件。它提供了一个框架和流程来帮助产品团队在开发所有 NetApp 产品和服务时评估和响应潜在的安全漏洞。

严格的安全培训和安全倡导者的任命为 SDL 奠定了基础。SDL 流程本身的第一步是评估安全性,然后是发布合规性和测试计划。之后,对产品安全漏洞进行全面评估、实施解决方案并验证是否已解决任何识别到的漏洞。最后由产品安全事件响应团队 (PSIRT) 执行风险沟通程序和监控。

NetApp 的漏洞和修补程序管理

发布修补程序通常是为了解决软件或数据中的已知问题,例如软件缺陷或安全漏洞。NetApp 安全研究人员为保护我们的产品和服务而不懈努力。他们加入了跟踪已发布漏洞的安全社区。他们还管理着一个计划,通过该计划,这些社区之外的客户和研究人员可以提交有关潜在安全漏洞的信息。NetApp 根据我们的漏洞处理策略对这些提交的内容进行评分和跟踪,并通过安全公告定期发布修补程序。

管理这些修补程序是保护网络和数据安全所必需的合理安全措施不可或缺的组成部分。NetApp 的漏洞和修补程序管理操作还旨在为共担责任模型中的所有职位上的客户提供支持。

数据加密

加密被广泛认为是个人信息安全的基础。某些法规(例如美国 IRS 出版物 1075)要求在数据处于空闲状态或传输过程中时使用指定技术对某些信息进行加密。其他法规(例如欧盟 GDPR 和加州消费者隐私法案 (CCPA))不要求加密,但它们认可加密在防范涉及个人信息的数据泄露方面所发挥的重要作用。

NetApp 提供了一系列加密解决方案。其中包括卷或磁盘级别的硬件和软件加密,以及可管理用于加密和解密数据的密钥的加密密钥管理。

数据删除和处置

数据安全的一项基本原则是,组织不应收集或持有超出必要范围的个人信息,并且当不再需要用于授权目的时,应删除这些数据。这一数据最小化原则可降低合规复杂性,并在发生安全漏洞时保护数据免受损害。 

最常见的数据最小化方法是制定和实施数据保留和数据删除策略,以指示公司应保留的信息、保留时间以及删除时间和方式。

NetApp 自己的数据删除策略支持最小化存储在客户返回的驱动器上的数据:指示客户在返回之前,删除、加密存储在返回介质上的所有数据或使其不可恢复。

返回顶部
Drift chat loading