随着欧盟的“通用数据保护规范“ (GDPR) , 以及国内的《网络安全法》等世界各国家或地区对数据安全提出要求的法律/行业规范地逐步生效, 全球数据产业正走向一个更加重视“合规”的时代。
数据安全生产的原则是接触原始数据的业务人员, 其拥有的业务权限和数据权限最小化。
数据安全存储包括数据管理系统安全 (即数据库安全) 和数据存储的介质安全。
存储介质一般存放于中心机房, 因此, 需要按照等保2.0中关于物理环境安全的要求进行设计。
数据库服务器采用双机热备+数据库负载均衡 (读写分离) 方式部署, 区分主数据库和备份数据库, 实现物理结构上高可用。
建设数据库异地备份, 可以在不同建筑物内部署异地备份数据。此外, 为数据库服务器配置UPS, 做好电源的备份与恢复, 避免因电力供应导致数据丢失和服务中断。
根据调研分析结论, 数据库安全面临的外部风险主要为拖库、刷库、撞库。为此, 需要部署综合性漏洞扫描工具、漏洞生命周期管理工具, 可以快速修复和评估漏洞风险。
数据存储结构上采用高性能磁盘阵列, 合理部署备份虚拟磁带库, 并设置异地备份, 在应急演练中模拟因存储介质损坏是否可以恢复数据。
存储的物理接触, 应设置物理访问控制, 如专人管理, 关键操作需走领导审批流程, 要求至少两名管理员到场方可进行工作等。设置存储运维管理IP白名单, 部署数据集中管理平台, 网络结构上部署防病毒网关和防病毒软件, 切断恶意代码传播路径, 避免病毒损坏数据内容。
大部分存储环境中有大量的存储磁盘, 由于采用资源池方式, 传统手工查找数据存放位置有现实困难性。因此需要部署基于文件、基于数据标签 (与数据分级) 的敏感数据存储分布透视系统 (如VBH系统) , 便于在数据遭受非常严重破坏时, 可直接定位出敏感数据所存放的物理磁盘, 进行介质保护。
数据的日常使用主要集中在各业务终端。需要在业务终端上部署终端防泄漏系统 (DLP) , DLP可依据数据标签 (依托数据分类分级) 阻止敏感数据通过网络脱离安全边界。此外还需部署水印系统, 输出的打印文件暗含水印信息, 这样即使有敏感信息被泄漏, 可以根据水印信息回溯泄密源头。终端还需部署打印刻录与审计系统。通过以上技术, 综合检测、防止、跟踪数据泄露。
部署主机管理软件, 对USB端口、网口、输入输出设备 (键盘等) 访问控制、监控、键盘过滤等。
部署白名单技术的产品 (如主机监控与审计系统, 通过策略限制软件运行) 或者使用Win7及以上版本操作系统应用锁 (Applocker等) , 限制白名单以外程序加载运行, 并且配合终端防病毒软件, 避免经由互联网/U盘摆渡而来的勒索软件运行。
可部署网络非法接入检查系统, 功能包括检测内网中是否存在私接WiFi (包括软件模拟WiFi以及USB便携式WiFi热点) 、双网卡终端、私接无线有线路由器。确保全部信息流动在受保护的环境中, 避免无线传输突破物理网络边界。还可避免无线嗅探引发的经由无线网络发起的网络攻击。
部署ITP或UEBA (用户和实体行为分析) 的产品, 可有效识别主观故意窃取敏感数据的“内鬼”。通过识别和管控企业内部有威胁的人的行为, 降低数据泄漏和其他风险。
在没有发生数据泄露等事故前, 可通过数字取证或责任认定系统, 提前锁定事发时网络环境快照。
SIEM提供持续性监测, SIEM解决方案将来自数千个设备和应用的事件数据集中到少量可操作的告警, 显示了漏洞、风险和异常行为, 从而追溯到内部威胁。
部署网络准入类产品, 依托准入产品使用密码技术或可信技术, 对接入设备和用户进行身份认证, 确保接入的设备和用户真实可信。
对于有外部服务业务的行业, 需要部署抗DDoS产品, 配合更完善的流量清洗规则, 或者采用引流到云防平台的方式, 防护来自外部网络发起的大流量服务阻断, 从而影响业务的可用性。
防火墙和入侵检测可采用支持联动的产品, 如果入侵检测发现已知攻击行为, 可自动生成五元组策略, 发送给防火墙执行阻断。也可以部署威胁情报中心与APT防护和IPS三种产品联动, 即将威胁情报与内部数据的关联, 分析是否有外部黑客组织明确的攻击行为。同时部署网络审计系统, 确保攻击路径可溯源。
传输过程要使用带有密码技术的产品实现传输过程的完整性校验, 如采用数字签名、散列函数对密文保护等。并利用密码技术对通信双方进行强身份认证, 即数据只允许被有权限的人访问, 将身份认证系统与业务系统流程紧密结合。
网络中部署防毒墙产品, 可有效降低经由网络传播的木马病毒的概率。
依托业务逻辑, 划分不同的VLAN, 将数据通讯切分成不同的安全域, 实施小安全域内的控制策略, 可增强网络数据传输的安全性。
有外部通讯需求的客户, 可采用符合国家商密标准的VPN网络密码机, 对接入网络访问请求的数据报文进行密码保护, 避免敏感数据被网络窃听盗取。
数据共享主要方式是请求服务, 即获取数据方通过代理服务请求方式查询数据。在提供数据时, 往往需要涉及数据脱敏, 需要对真实数据进行改造, 如身份证号、手机号、卡号、等个人信息都需要进行数据脱敏。数据脱敏分为动态脱敏和静态脱敏, 可对比具体产品优劣及使用场景来综合判断数据脱敏的主要方式和备选方式, 确保数据保护的同时也便于数据共享。
数据不再使用时, 可对数据存放的存储空间进行“残留信息清理”操作, 如采用数据反复复写方式, 确保不可通过数据恢复技术还原被销毁的数据。极为敏感数据必要时, 可采用数据介质销毁的方式, 由统一销毁中心集中销毁, 并对销毁后残渣按保密要求回炉烧毁。
数据防护需要分析数据威胁来自哪里。
威胁可能是来自互联网的渗透攻击, 如SQL注入、嗅探、攻击、窃取、篡改、拷贝等。因此需要部署网络安全防护产品。
威胁可能是来自对数据库漏洞的利用, 安全配置的漏洞的利用。因此需要部署数据防火墙和漏扫等安全防护产品。
威胁可能是来自外包运维服务商操作权限控制不严格, 使得本没有权限访问数据的人员非法获得或知悉敏感数据。需要加强对外包运维人员的行为管控, 部署必要的运维监控和权限分配工具, 如运维审计系统。
威胁可能是来自合法人员的违规操作, 越权访问, 非工作时间访问数据, 非工作场所访问数据, 误操作。离职人员私自带走数据, 受到外部金钱等诱惑盗取数据。需要部署UEBA类安全产品来监控“内鬼”。
按照业务信息系统组成划分成不同业务组, 确定各自保护防御策略, 及涉及的业务部门和业务人员, 对他们设置权限, 限制可以接触到的数据范围, 还有数据读取最可能收到的威胁, 然后设置防护手段。
数据对运维也是机密的, 需要流程保障。
包括人员的录用, 来源甄别, 日常管理, 保密安全责任制, 保密协议等。
定期更新数据库管理员密码, 操作人员的身份认证方式强制开启双因子认证。
针对漏洞修补, 制定专门的漏洞管理制度和操作流程。在实际工作中, 依据漏洞管理制度和操作流程规范漏洞修补工作。设置有关工作评价标准。
针对恶意代码, 制定恶意代码防护查杀的管理制度和操作流程。
规范集中病毒查杀操作, 杜绝恶意代码清理不及时, 清理不彻底的问题。设置有关工作评价标准。
依据岗位职责, 制定全网统一的用户操作权限控制清单。并在工作中动态调整, 达到既满足工作需要, 又确保数据权限最小化原则。
期望通过本文对数据安全建设思路的分析, 能够让读者对数据安全防护基本方法有个初步了解。再进一步结合行业特性和行业法规要求、具体风险分析, 提出适用某专项领域的数据安全建设方案。
摘要:本方案以数据生命周期模型为主模型, 围绕数据从生产、存储、使用、传输、共享到销毁的全生命周期, 提出多层次、全方位和立体的数据安全建设思路。
关键词:数据,安全建设,存储,防护
[1] 张海燕.高校网络信息安全应对机制探析[J].科技创新导报, 2015 (5) :201+204.
[2] 肖勇.企业信息安全管理体系及防护要点[J].网络安全技术与应用, 2018 (8) :85-86+105.
[3] 曲成.基于等级保护的企业网络安全建设实践[J].计算机安全, 2011 (10) :66-68.
