覆盖数据全生命周期,从等级保护合规要求入手,以数据安全为核心,整合安全技术,从物理、网络、主机、应用、数据几个层面对数据进行全方位的防护,强调安全管理,构建感知、分析、管控的闭环动态数据安全管控体系。
二、设计原则
1、符合性原则
数据安全管控体系要符合国家的有关法律法规和政策精神,以及行业有关制度和规定,同时应符合国家有关技术标准,以及行业的技术标准和规范。
2、均衡性原则
数据安全设计要正确处理业务需求与安全(风险、威胁、合规性)之间的平衡关系,做到安全性与可用性相融,寻找安全风险与实际需求之间的一个均衡点。
需要考虑5个维度的平衡:经营策略、治理、合规、IT策略和风险容忍度。
Ø 经营策略:确立数据安全的处理如何支撑经营策略的制定和实施
Ø 治理:对数据安全需要开展深度的治理工作
Ø 合规:企业和组织面临的合规要求
Ø IT 策略:企业的整体IT策略同步
Ø 风险容忍度:企业对安全风险的容忍度在哪里
三、数据生命周期
根据数据在组织机构业务中的流转,数据生命周期可被定义为6个阶段:
数据采集:指在组织机构内部系统中新生成数据,以及从外部收集数据的阶段。
数据传输:指数据在组织机构内部从一个实体通过网络流动到另一个实体的阶段。
数据存储:指数据以任何数字格式进行物理存储或云存储的阶段。
数据处理:指组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。
数据交换:指数据由组织机构与外部组织机构及个人交互的阶段。
数据销毁:指通过对数据及数据的存储介质通过相应的操作手段,使数据彻底消除且无法通过任何手段恢复的过程。
特定的数据所经历的生命周期由实际的业务场景所决定,并非所有的数据都会完整的经历六个阶段。
四、数据安全总体框架
数据安全体系是超越传统信息安全体系的。在IT时代,信息是静态的,数据只是作为承载信息的载体;而在DT时代,数据是动态的,是系统中价值的起点。数据和人一样,并不是一个静态的事物,它有着自己的生命周期,即采集、传输、存储、处理、交换、销毁六个阶段,这也使数据安全同样具有木桶短板效应。也就是说,数据在其生命周期每个阶段的安全具有同等的重要性。
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此计算机网络的安全可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
参考等级保护中“物理和环境”、“网络和通信”、“设备和计算”、“应用和数据”的安全防护维度,本方案的数据安全整体框架设计如下图所示:
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号