数据安全--1--专栏开篇作-数据安全概念及架构
一、引子
数据安全是企业在信息安全体系建设中不可或缺的一部分,本专栏写数据安全,一方面是为了扩宽自己知识视野的同时总结工作中的一些经历,另一方面也是继续补足个人能力知识库中信息安全大体系的各个板块。
二、数据安全概念
说到数据安全,先来和大家探讨下数据安全的概念。
广义的数据安全是基于 “安全体系以数据为中心” 的立场,泛指整个安全体系侧重于数据分级及敏感数据全生命周期的保护。它以数据的安全收集或生成、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪、安全销毁为目标,涵盖整个安全体系,这其中也包括个人数据安全与法律合规,也就是隐私保护方面的内容。
狭义的数据安全往往是指保护静态的存储级的数据,以及数据泄露防护等。
为了更好的解释数据安全概念,这里将信息安全与网络安全作为参照,列出了信息安全、网络安全、数据安全的概念及使用场景。
| 术语 | 狭义 | 广义 | 典型使用场景 |
|---|---|---|---|
| 信息安全 | 防止敏感信息的不当扩散,包括控制有毒有害信息、内部人为泄密等 | 安全体系架构“以信息为中心”,泛指整个安全体系 | 强调安全管理体系;强调信息及信息系统的保密性、完整性、可用性;强调内容合规;强调DLP;强调对静态信息的保护 |
| 网络安全 | 侧重于网络安全领域、网络访问访问控制、防范网络攻击等 | 安全体系架构“以网络为中心”,泛指整个安全体系 | 强调网络边界和安全域;强调网络入侵防御;强调网络通信系统和传输安全;强调网络空间主权 |
| 数据安全 | 以保护数据本身为核心,包括加密、脱敏、防差分隐私分析等 | 安全体系架构“以数据为中心”,泛指整个安全体系 | 强调全生命周期中的数据保护;强调数据作为生产力;强调数据主权或数据主体权利;强调长臂管辖权;强调隐私保护 |
相较于信息安全和网络安全,数据安全更接近安全的目标,可看成是数据的随身保镖,随着数据的流动,数据流动到哪里,安全就覆盖到哪里。
三、数据安全架构
对于安全架构来讲,无论是进行产品的安全架构设计或评估,还是规划安全技术体系架构的时候,都有几个需要重点关注的逻辑模块,它们可以在逻辑上视为安全架构的核心元素,对于数据安全来讲,这里的核心元素共5个,这5个核心元素合起来被业内称为安全架构5A。
科普段落:5A是指以5个A为开头的单词,这5个单词代表5个核心的数据安全元素,这5个核心元素称为安全架构5A。(具体是什么单词此处不做说明,这些都是国内不知道什么人发明的概念,类似的还有4W1H这种,本人比较讨厌这些洋概念,后续不再提这种东西,只以中文表达)
以应用/产品为例,核心元素包括:
1、身份认证(对人员、设备、系统的认证):身份主体是谁?主体的范围不局限于用户,将其扩展到所有人员(用户/员工/合作伙伴/访客等)、设备、系统。
2、授权(对人员、设备、系统的授权):授予某些身份主体允许或拒绝访问客体的权限。
3、访问控制(立体控制措施及是否放行):控制措施以及是否放行的执行者。
4、可审计(立体可审计):形成可供追溯的操作日志。
5、资产保护(对数据和资源的全生命周期保护):资产的保密性、完整性、可用性保障。
这里我们对资产、访问控制、可审计三个要素展开说明。
资产
资产包括但不限于:
数据:即信息资产,包括结构化数据(数据库、缓存、Key-Value存储系统等)、非结构化数据(文档、图片、音频、视频等),不仅包括存储的数据,也包括使用、传输、流转中的数据。
资源:网络资源、计算资源、存储资源、进程、产品功能、网络服务、系统文件等。
访问控制
访问控制的依据是授权,查询授权表或者基于设定的权限规则,拥有访问权限才允许继续访问。
● 用户首先需要通过身份认证,也就是要让系统知道用户是谁。
● 用户需要具备访问目标资产的权限。
● 访问控制模块会基于授权以及事先设定的访问控制规则,判断是否放行。
● 在访问资产之前,须经过必要的资产保护措施,如数据解密、加密传输、脱敏展示、防攻击以及防批量拉取措施、隐私保护等。
可审计
● 可审计一般是指可供追溯的操作审计记录(操作日志记录等),审计会覆盖到所有数据流程。
● 身份认证方面:SSO系统需要记录用户的登录时间、源IP地址、用户ID、访问的目标应用。
● 授权方面:需要记录权限申请流程的每个审批环节的时间、IP地址、用户ID、理由、通过或驳回权限申请的动作。
● 访问控制方面:访问控制执行的结果是放行或驳回,通常来说,需要记录所有的驳回动作,以及对敏感资产的每一个请求及动作,便于追溯。
● 资产保护方面:记录用户访问的资产(特别是敏感资产)及操作(查询、添加、修改、删除等)。
数据安全--1--专栏开篇作-数据安全概念及架构相关推荐
- 阿里首推“数据安全合作伙伴计划” 构建数据安全生态
摘要: 云栖大会数据安全生态专场当天,阿里巴巴集团安全部资深总监侯金刚就此宣布称,阿里将基于数据安全能力成熟度模型(Data Security Maturity Model, DSMM)推出" ...
- OS- -操作系统概念
OS- -操作系统概念 文章目录 OS- -操作系统概念 一.操作系统概念 进程 地址空间 文件 保护 shell 部分操作系统提供了特定的基础概念和抽象,例如进程.地址空间.文件等,它们是需要理解的 ...
- 自行实现ONVIF协议网络摄像机(IPC)开发(0):专栏开篇
一. 前言 最近做了一个海思车载视频的项目,设备作为客服端实现对市场上主流IPC视频流的获取,现在网上很多资料基本都是使用Web Services组成API实现的,这里博主所有ONVIF协议都是通过自 ...
- Detectron2专栏开篇
专栏介绍 Detectron是构建在Caffe2和Python之上计算机视觉库,集成了多项计算机视觉最新成果,一经发布广受好评.近期,Facebook AI研究院又开源了Detectron的升级版,也 ...
- MySQL常见的主从复制架构_mysql主从复制--概念及架构
1 mysql repication原理前端用户的写操作,或者是数据库修改操作,都会记录到二进制日志文件,保存为事件:master通过3306端口将binlog发给slave mysql服务器,sla ...
- ECMA-335(CLI)标准 读书笔记(第一部:概念和架构 第7章)
上一篇:ECMA-335(CLI)标准 读书笔记(第一部:概念和架构 1~6章) 7. CLS 7.1 介绍 CLS是一套倾向于提高语言互操作性的一套规则.我们应当遵循这些规则.11章 ...
- Druid基本概念及架构介绍
Druid基本概念及架构介绍 学习参考:https://www.apache-druid.cn/ Apache Druid是一个高性能的实时分析型数据库 作者:it_zzy 链接:https://ww ...
- Hadoop的概念及架构介绍
Hadoop的概念及架构介绍 Hadoop是大数据开发所使用的一个核心框架.使用Hadoop可以方便的管理分布式集群,将海量数据分布式的存储在集群中(hdfs),并使用分布式程序来处理这些数据.(Ma ...
- 《云计算架构技术与实践》连载(1)1.1 云计算的基础概念与架构
版权所有,未经许可,请勿转载! 1 云计算理念的发展 1.1 云计算的基础概念与架构 过去20年内,全球无线与宽带技术及其商业化应用部署获得了长足的发展 ...
最新文章
- 网上几种常见校验码图片分析
- 灵玖Nlpir Parser语义智能系统精准汉语分词
- Linux课程---11、Linux中软件安装和调试
- 实验9:Problem D: 从点到面
- 基于Prometheus+Grafana监控SQL Server数据库
- Struts2、Spring3、MyBatis3整合ExtJS,完成CheckNodeColumnTree
- 这五个有用的 CSS 属性完全被我忽视了
- 启动项目无法打印日志处理及logback简单使用
- 消息队列 RocketMQ原理和使用整理
- 菜鸡解析CSS(cascading style sheet)
- HDU- 1151 Air Raid(最小路径覆盖)
- BWA mem序列比对时出现:paired reads have different names 问题解决
- 【网络】之TCP/IP 网络模型有哪几层
- [Erlang危机]Erlang In Danger 序言(必读)
- hdu 4735 Little Wish~ lyrical step~(DLX)
- 马云豪掷三千亿,你又如何能分到100个月季度奖?
- G7波澜不惊,非美反弹缺乏力度
- .xml配置文件中The reference to entity serverTimezone must end with the ';' delimiter.错误
- [u(x)v(x)]的n阶导数,莱布尼兹公式,利用python简化
- android 相机闪光灯,在Android中使用相机闪光灯闪烁