展開(kāi)
湖北國聯(lián)計算機科技有限公司
  • 首頁(yè)HOME
  • 公司簡(jiǎn)介INTRODUCTION
  • 安全防御DEFENSE
  • 軟件開(kāi)發(fā)SOFTWARE
  • 物聯(lián)網(wǎng)IOT
  • 運行維護SRE
  • 成功案例CASE
  • 聯(lián)系我們CONTACT
  • Defense Q&A |網(wǎng)安Q&A

    數據安全“學(xué)習三問(wèn)”WHAT WHY HOW
    來(lái)源:湖北國菱編輯部 時(shí)間:2019-02-19

    數據安全指的是用技術(shù)手段識別網(wǎng)絡(luò )上的文件、數據庫、帳戶(hù)信息等各類(lèi)數據集的相對重要性、敏感性、合規性等,并采取適當的安全控制措施對其實(shí)施保護等過(guò)程。

    與邊界安全、文件安全、用戶(hù)行為安全等其他安全問(wèn)題相同,數據安全并非是唯一一種能提升信息系統安全性的技術(shù)手段,也不是一種能全面保障信息系統安全的技術(shù)手段。它就是一種能夠合理評估及減少由數據存儲所帶來(lái)的安全風(fēng)險的技術(shù)方式。

    WHY為什么需要數據安全?

    如果數據安全流程只是構建單位信息安全體系的眾多技術(shù)手段之一,那么,與其他技術(shù)手段相比,它的優(yōu)點(diǎn)何在?

    從廣義上講,大多數其他安全技術(shù)手段都是以用戶(hù)為中心的,它們關(guān)注的是以下這些問(wèn)題:

    某用戶(hù)是否能夠訪(fǎng)問(wèn)某數據?

    某用戶(hù)是否有權加入某網(wǎng)絡(luò )?

    某用戶(hù)是否在濫用系統資源?

    對于保障信息系統安全而言,上述這些都是非常重要的工作,但在真實(shí)信息系統的安全建設過(guò)程中,上述問(wèn)題的解決卻可能遭遇到大量的現實(shí)問(wèn)題。例如,在一個(gè)有上百甚至上千臺服務(wù)器的大型單位網(wǎng)絡(luò )中,實(shí)際情況往往是,服務(wù)器使用權限設置隨意、大量過(guò)期用戶(hù)身份存在,要想掌握用戶(hù)對資源的訪(fǎng)問(wèn)情況更是不可思議。

    而以數據為中心的安全模型則是換一個(gè)角度解決上述安全問(wèn)題的方法。

    HOW如何實(shí)現數據安全?

    1. 數據安全模型vs用戶(hù)安全模型

    設想一種場(chǎng)景,某企業(yè)客服部的一個(gè)員工將包含大量客戶(hù)個(gè)人身份隱私信息(如身份證號、電話(huà)號碼等)的Excel文件放在了一個(gè)公司所有人均有權訪(fǎng)問(wèn)的共享文件夾中。

    若以用戶(hù)中心模型考慮此問(wèn)題,得出的結論會(huì )是:?jiǎn)?wèn)題不大,所有人都有該文件夾的訪(fǎng)問(wèn)權。然而,以數據安全模型考慮此問(wèn)題,則會(huì )發(fā)現:這是個(gè)嚴重的安全問(wèn)題,因為包括實(shí)習生、外包運維人員等在內的所有人都能獲得這些敏感信息。由此可見(jiàn),在不少場(chǎng)景下,數據安全模型與用戶(hù)安全模型的應用效果可能產(chǎn)生巨大的差別。

    另外,上述場(chǎng)景也表明,數據安全模型的應用還依賴(lài)于一個(gè)前提條件——數據分類(lèi)。

    2. 如何實(shí)施數據分類(lèi)?

    數據分類(lèi)是指把具有某種共同屬性或特征的數據歸并在一起,并通過(guò)其類(lèi)別的屬性或特征來(lái)對數據進(jìn)行區別的技術(shù)。數據分類(lèi)方法主要有以下兩類(lèi):

    基于文件類(lèi)型:采用該方法的原因是由于某些類(lèi)型的文件(如SSH私鑰、PKI證書(shū)等)從安全角度而言本質(zhì)上更為敏感;

    基于文件信息:基于文件中包含的實(shí)際數據進(jìn)行分類(lèi)。

    迄今為止,在以上兩種方法中,基于文件信息的分類(lèi)方法的難度仍然較大,因為此方法必須對哪些信息看上去比較敏感作出定義,以便程序對數據進(jìn)行分類(lèi)。

    有時(shí),這與在文件中查找某些敏感字符串(如“密碼”、“信用卡”等)一樣簡(jiǎn)單,但更為常見(jiàn)的情況是,必須針對特定的文件類(lèi)型定義與其相匹配的敏感字符串匹配模式。

    3. 幾項簡(jiǎn)單易實(shí)施的數據安全技術(shù)措施

    在數據安全領(lǐng)域,可用于提高數據安全性的應用技術(shù)還包括:

    (1) 結束收集不必要的數據

    近十年來(lái),在IT管理領(lǐng)域,我們能夠都看到對數據的認知所發(fā)生的巨大改變。以前,幾乎所有的IT管理者都認為,數據就是一種資產(chǎn),多多益善,因為你永遠不知道什么時(shí)候可能會(huì )用到它們。

    今天,越來(lái)越嚴厲的立法和監管、數據泄露等網(wǎng)絡(luò )安全事件可能導致的單位及個(gè)人的聲譽(yù)受損等,都使得保障數據的安全性越來(lái)越成為了IT運維管理人員的一種重責大任——在必要的數據收集范圍外,單位信息系統所收集的任何一點(diǎn)敏感數據都是一種不必要的風(fēng)險。

    因此,作為單位信息安全管理人員,應該立即檢查所有涉及到數據收集的業(yè)務(wù)應用系統,從單位業(yè)務(wù)的角度出發(fā),對所收集的每一項數據的必要性進(jìn)行核查。

    (2) 清除陳舊數據

    單位信息系統中不存在的數據自然也就不會(huì )存在被泄漏的風(fēng)險。經(jīng)過(guò)多年的信息化建設,很多網(wǎng)絡(luò )規模較大的單位機房網(wǎng)絡(luò )中往往都存在多臺被遺忘的老舊服務(wù)器設備,這些服務(wù)器往往留存有大量重要數據,且長(cháng)期疏于管理。信息安全管理人員應該通過(guò)技術(shù)手段跟蹤文件訪(fǎng)問(wèn)權限,發(fā)現這些長(cháng)時(shí)間無(wú)人訪(fǎng)問(wèn)的文件及服務(wù)器,并對其實(shí)施封存。

    (3) 針對數據組跟蹤分析用戶(hù)訪(fǎng)問(wèn)行為

    在單位內部,極易出現一種導致數據安全性降低的問(wèn)題,即“過(guò)度使用”。不少單位在網(wǎng)絡(luò )管理中都會(huì )出現由于某些臨時(shí)性原因賦予某些用戶(hù)特殊權限并且忘記及時(shí)將權限收回的情況,大量此類(lèi)情況的出現將導致產(chǎn)生一個(gè)混亂到無(wú)法管理的巴洛克式相互依賴(lài)的用戶(hù)權限網(wǎng)絡(luò ),導致用戶(hù)在網(wǎng)絡(luò )中的實(shí)際權限遠遠大于其角色的真實(shí)需求。

    針對此類(lèi)情況,信息安全管理人員應該采取技術(shù)措施分析用戶(hù)訪(fǎng)問(wèn)行為并自動(dòng)設置用戶(hù)權限,從而避免給攻擊者留下可利用的漏洞。

    當然,上述這些建議不僅僅適用于解決數據安全問(wèn)題,也對網(wǎng)絡(luò )安全問(wèn)題的其他方面有所助益。

    荊州地區政府網(wǎng)站建設 解決方案 專(zhuān)業(yè)團隊 騰訊第三方平臺 地址:湖北省荊州市沙市區荊沙大道楚天都市佳園一期C區29棟112       地址:湖北省松滋市新江口街道才知文化廣場(chǎng)1幢1146-1151室     郵編:434200 聯(lián)系電話(huà):0716-6666211     網(wǎng)站編輯部郵箱:business@gl-ns.com 鄂公網(wǎng)安備 42100202000212號 備案號:鄂ICP備2021015094號-1     企業(yè)名稱(chēng):湖北國菱計算機科技有限公司