保障数据安全,即保障数据的可用性、保密性、完整性

保障数据安全,即保障数据的可用性、保密性、完整性

数据安全是参照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》以及国际标准化组织对数据安全的定义,保障数据安全,即保障数据的可用性、保密性、完整性。

3.1 数据可用性
定义:指数据可被授权实体按要求访问、正常使用或在非正常情况下能恢复使用的特性。
举个例子,我们常说的DDOS攻击,就是利用目标系统的网络服务功能缺陷或者直接消耗大量系统资源,使目标系统无法提供正常的服务,其实这就是破坏数据的可用性。
现在主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段,以规避硬件故障、软件故障、环境风险、人为故障、自然灾害等风险,保证数据的可用性。

3.2 数据完整性
定义:是指信息在传输、存储和处理过程中,保持信息不被破坏或修改、不丢失和信息未经授权不能改变的特性。换句话说,接收到的数据必须与发送的数据相同。
国密算法中,能够提供数据完整性的算法主要是:SM3;
国际算法中,能够提供数据完整性的算法主要是:MD5、SHA256、SHA512。

    8.1.4.7 数据完整性
    本项要求包括:
    a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审 计数据、重要配置数据、重要视频数据和重要个人信息等;

校验技术指的是类似TCP协议的CRC校验码或者海明校验码等,这是协议层面的,如果按照这要求连接,那么这条指标基本全部符合,所以目前测评难点不是在这里,而是在密码技术如何实现完整性。
传输过程中的完整性主要通过协议(比如TLS、SSH协议)来实现,通过MAC(消息校验码)来实现整个数据报文的完整性和加密性,因此,在测评中,如果采用TLS/SSL协议、SSH协议,默认其实应该是符合传输过程中的完整性要求的。

另外还记得第二章讲数据封装过程吗?在数据链路层需要添加头部MAC子层和尾部FCS,可以用来保证数据的完整性。

图片.png

    b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息
数据存储过程中的完整性,主要是核查数据库表(业务数据、审计数据)是否存在哈希字段,在业务数据或审计数据中,数据在前端一般通过json或xml格式进行传输,那么数据在存储过程完整性应该是核查相关数据库表字段中是否包含完整性校验字段。
一般很少有系统能实现数据存储过程的完整性校验,但是如果通过TLS/SSL、SSH等协议,可以通过传输过程中的完整性在一定程度上弥补存储过程中的完整性,所以在测评中,如果传输过程中能保证数据完整性,那么此项一般默认符合。

3.3 数据保密性
定义:是不将有用信息泄漏给非授权用户的特性。换句话说,确保数据信息只能被授权者看到。
可以通过信息加密、身份认证、访问控制、安全通信协议等技术实现,目前保密性主要是通过加密算法来实现。
国密算法中,能够提供数据保密性的算法主要是:SM1和SM2,少数使用祖冲之,无线局域网中使用SM4。
国际算法中,能够提供数据保密性的算法主要是:DES、3DES、RSA、AES、ECC等。

8.1.4.8 数据保密性
    本项要求包括:
    a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息;
检查数据传输过程中的保密性,主要核查是否采用TLS/SSL、SSH等加密协议。
注意:如果使用MD5进行密码加密,很多测评机构会默认不符合。原因是通常情况下客户端拿到原密码进行MD5加密,然后进行存储或者校验,但是如果网站使用http协议,那么传输数据容易被中间人劫持,中间人在得到MD5加密后的密文后可以采用跑大型字典的方法进行爆破,所以MD5也就不太安全了。
    b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
数据存储过程中的保密性,这个比较容易理解,主要是核查相关鉴别数据(账户的口令)、业务数据、审计数据是否加密存储(非明文存储)。
在测评中,操作系统鉴别数据一般都会符合,默认都是使用哈希算法;业务系统的鉴别数据,这个一般需要核查下数据库表,查看是否是明文存储;至于业务数据和个人信息等一般系统都明文存储(主要原因是影响系统性能),所以一般不符合。
ps:如果使用有加密功能并且开启加密功能的数据库或者数据库加密设备,默认该项为符合。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 保障数据安全,即保障数据的可用性、保密性、完整性

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!