數據安全有對立的兩方面的含義:一是數據本身的安全,主要是指采用現代密碼算法對數據進行主動保護,如數據保密、數據完整性、雙向強身份認證等,二是數據防護的安全,主要是采用現代信息存儲手段對數據進行主動防護,如通過磁盤陣列、數據備份、異地容災等手段保證數據的安全,數據安全是一種主動的包含措施,數據本身的安全必須基于可靠的加密算法與安全體系,主要是有對稱算法與公開密鑰密碼體系兩種。
據處理的安全是指如何有效的防止數據在錄入、處理、統計或打印中由于硬件故障、斷電、死機、人為的誤操作、程序缺陷、病毒或黑客等造成的數據庫損壞或數據丟失現象,某些敏感或保密的數據可能不具備資格的人員或操作員閱讀,而造成數據泄密等后果。
數據安全技術主要有三類:隱藏、訪問控制、密碼學。
數據安全制度
制度一:對應用系統使用、產生的介質或數據按其重要性進行分類,對存放有重要數據的介質,應備份必要份數,并分別存放在不同的安全地方(防火、防高溫、防震、防磁、防靜電及防盜),建立嚴格的保密保管制度。
制度二:保留在機房內的重要數據(介質),應為系統有效運行所必需的最少數量,除此之外不應保留在機房內。
制度三:根據數據的保密規定和用途,確定使用人員的存取權限、存取方式和審批手續。
制度四:重要數據(介質)庫,應設專人負責登記保管,未經批準,不得隨意挪用重要數據(介質)。
制度五:在使用重要數據(介質)期間,應嚴格按國家保密規定控制轉借或復制,需要使用或復制的須經批準。
制度六:對所有重要數據(介質)應定期檢查,要考慮介質的安全保存期限,及時更新復制。損壞、廢棄或過時的重要數據(介質)應由專人負責消磁處理,秘密級以上的重要數據(介質)在過保密期或廢棄不用時,要及時銷毀。
制度七:機密數據處理作業結束時,應及時清除存儲器、聯機磁帶、磁盤及其它介質上有關作業的程序和數據。
制度八:機密級及以上秘密信息存儲設備不得并入互聯網。重要數據不得外泄,重要數據的輸入及修改應由專人來完成。重要數據的打印輸出及外存介質應存放在安全的地方,打印出的廢紙應及時銷毀。
數據安全工具系統
數據安全管理上主要依賴兩套工具系統(見3.4.6小節)完成管理,又細分為七個模塊:
工具系統 |
模塊 |
主要職能 |
部署工具 |
提升能力 |
威脅情報管理系統 |
數據風險情報 |
企業數據資產應統一分級分權管理,對于數據的所有操作(訪問、拷貝、修改、傳播等)都應有詳細記錄,而根據審計日志能夠發現數據安全風險形成風險情報報表 |
數據與存儲審計系統 |
提示數據安全檢測能力 |
終端安全管理系統 |
存儲與備份系統 |
存儲系統是數據的核心系統,包括磁盤陣列、NAS、SAN,備份系統是數據恢復的核心系統數據備份、異地容災 |
NAS、SAN、備份軟件、磁帶機等 |
提升數據防御能力和恢復能力 |
數據加密 |
在數據存儲和傳播過程中,為防止被非法盜用,采取對數據加密的辦法進行防護,一般采用對稱加密算法、非對稱加密算法和不可逆加密算法;數據加密也應用與數據傳輸中,防止被竊聽。 |
數據加密軟件 |
提升數據自身防護能力 |
|
數據防泄漏 |
對企業內數據實行精準分類分級,知曉數據分布和風險,進而保護數據資產;同時監控用戶訪問記錄并自動分析,依據安全策略對終端、網絡、郵件等泄露風險自動響應,并生成安全事件報表。 |
數據防泄漏系統 |
提升數據安全檢測能力 |
|
私有云盤 |
采用私有云盤的方式對數據集中化管理,對數據分級分權管理,對用戶進行訪問審計 |
武漢愛科云盤 |
提升數據防護能力和檢測能力 |
|
打印管理系統 |
文檔、圖紙、圖片等數據打印后傳播風險較大,應對打印權限進行限制和審計 |
武漢愛科打印管理平臺 |
防范打印泄露數據風險,提升安全檢測和防御能力 |
|
移動存儲數據安全 |
U盤、移動硬盤、光盤等移動存儲介質的數據泄露也是一大風險點,需針對這些移動存儲介質進行審計和權限控制 |
U盤管理系統 |
防范移動介質數據泄露風險,提示數據監測能力 |
數據安全服務
數據安全服務主要集中在兩方面:響應恢復服務和數據風險分析服務
響應恢復服務:數據恢復服務、存儲系統恢復服務
數據風險分析服務:協助用戶制定自己的數據安全管理架構,建立數據安全風險防范體系,并建立數據風險響應和恢復機制;定期根據數據安全風險進行分析并提供風險管理報告。
