数据安全有对立的两方面的含义:一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等,二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,数据安全是一种主动的包含措施,数据本身的安全必须基于可靠的加密算法与安全体系,主要是有对称算法与公开密钥密码体系两种。
据处理的安全是指如何有效的防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象,某些敏感或保密的数据可能不具备资格的人员或操作员阅读,而造成数据泄密等后果。
数据安全技术主要有三类:隐藏、访问控制、密码学。
数据安全制度
制度一:对应用系统使用、产生的介质或数据按其重要性进行分类,对存放有重要数据的介质,应备份必要份数,并分别存放在不同的安全地方(防火、防高温、防震、防磁、防静电及防盗),建立严格的保密保管制度。
制度二:保留在机房内的重要数据(介质),应为系统有效运行所必需的最少数量,除此之外不应保留在机房内。
制度三:根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
制度四:重要数据(介质)库,应设专人负责登记保管,未经批准,不得随意挪用重要数据(介质)。
制度五:在使用重要数据(介质)期间,应严格按国家保密规定控制转借或复制,需要使用或复制的须经批准。
制度六:对所有重要数据(介质)应定期检查,要考虑介质的安全保存期限,及时更新复制。损坏、废弃或过时的重要数据(介质)应由专人负责消磁处理,秘密级以上的重要数据(介质)在过保密期或废弃不用时,要及时销毁。
制度七:机密数据处理作业结束时,应及时清除存储器、联机磁带、磁盘及其它介质上有关作业的程序和数据。
制度八:机密级及以上秘密信息存储设备不得并入互联网。重要数据不得外泄,重要数据的输入及修改应由专人来完成。重要数据的打印输出及外存介质应存放在安全的地方,打印出的废纸应及时销毁。
数据安全工具系统
数据安全管理上主要依赖两套工具系统(见3.4.6小节)完成管理,又细分为七个模块:
工具系统 |
模块 |
主要职能 |
部署工具 |
提升能力 |
威胁情报管理系统 |
数据风险情报 |
企业数据资产应统一分级分权管理,对于数据的所有操作(访问、拷贝、修改、传播等)都应有详细记录,而根据审计日志能够发现数据安全风险形成风险情报报表 |
数据与存储审计系统 |
提示数据安全检测能力 |
终端安全管理系统 |
存储与备份系统 |
存储系统是数据的核心系统,包括磁盘阵列、NAS、SAN,备份系统是数据恢复的核心系统数据备份、异地容灾 |
NAS、SAN、备份软件、磁带机等 |
提升数据防御能力和恢复能力 |
数据加密 |
在数据存储和传播过程中,为防止被非法盗用,采取对数据加密的办法进行防护,一般采用对称加密算法、非对称加密算法和不可逆加密算法;数据加密也应用与数据传输中,防止被窃听。 |
数据加密软件 |
提升数据自身防护能力 |
|
数据防泄漏 |
对企业内数据实行精准分类分级,知晓数据分布和风险,进而保护数据资产;同时监控用户访问记录并自动分析,依据安全策略对终端、网络、邮件等泄露风险自动响应,并生成安全事件报表。 |
数据防泄漏系统 |
提升数据安全检测能力 |
|
私有云盘 |
采用私有云盘的方式对数据集中化管理,对数据分级分权管理,对用户进行访问审计 |
武汉爱科云盘 |
提升数据防护能力和检测能力 |
|
打印管理系统 |
文档、图纸、图片等数据打印后传播风险较大,应对打印权限进行限制和审计 |
武汉爱科打印管理平台 |
防范打印泄露数据风险,提升安全检测和防御能力 |
|
移动存储数据安全 |
U盘、移动硬盘、光盘等移动存储介质的数据泄露也是一大风险点,需针对这些移动存储介质进行审计和权限控制 |
U盘管理系统 |
防范移动介质数据泄露风险,提示数据监测能力 |
数据安全服务
数据安全服务主要集中在两方面:响应恢复服务和数据风险分析服务
响应恢复服务:数据恢复服务、存储系统恢复服务
数据风险分析服务:协助用户制定自己的数据安全管理架构,建立数据安全风险防范体系,并建立数据风险响应和恢复机制;定期根据数据安全风险进行分析并提供风险管理报告。
