本文摘自PHP中文网,作者V,侵删。
定义
数据存储安全是数据中心安全和组织安全的一部分,这是数据安全重要的阶段,也是数据完整性、保密性和可用性三个方面都涉及的过程,所以该阶段的重要性不言而喻。该过程包含三个过程域,分别为:存储介质安全、逻辑存储安全、数据备份和恢复。
存储介质安全
官方描述为针对组织机构内需要对数据存储介质进行访问和使用的场景,提供有效的技术和管理手段,防止对介质的不当使用而可能引发的数据泄露风险。
数据存储在介质上,比如物理实体介质(磁盘、硬盘),虚拟存储介质(容器、虚拟盘)等,对介质的不当使用及其容易引发数据泄露风险,此安全域更加注重物理安全层面的数据保护。
DSMM标准在充分定义级要求如下:
组织建设:
组织机构设立统一负责存储介质使用管理的岗位和人员。
在DSMM的要求中这个几乎都是一样的,每个过程域都需要指定专人和专岗负责该项工作,并能够胜任此工作。在实际工作中,可能所有的过程域在这个维度上都是同样的一个或多个人,可以单独任命,也可以在相应的制度章节中进行说明。
制度流程:
制定存储介质访问和使用安全策略和管理规范,建立介质使用的审批和记录流程。
建立购买或存储介质的规范流程,要求通过可信渠道购买或获取存储介质,并针对各类存储介质建立标准的存储介质净化规程。
对存储介质进行标记,明确介质存储的数据对象。
对存储介质进行常规和随机检查流程,确保存储介质的使用符合机构公布的关于介质使用的规范。
技术工具:
组织机构采取有效的介质净化工具对存储介质进行净化处理。
对介质访问和使用行为进行记录和审计。
人员能力:
负责该项工作的人员熟悉介质使用的相关合规要求,熟悉不同存储介质访问和使用的差异性,能够主动根据政策变化更新管理要求。
以下是在存储介质安全过程中具体落地应该重点关注的内容。
1.明确组织机构对数据存储介质进行访问和使用的场景,建立存储介质安全管理规定/规范,明确存储介质和分类的定义,常见存储介质为磁带、磁盘、光盘、内存等,依据数据分类分级内容确定数据存储介质的要求。
2.明确存储介质的采购和和审批要求,建立可信任的渠道,保证存储介质的可靠。
3.对存储介质进行标记,如分类(可按照类型、材质等分类)、标签(对存储介质进行打标签处理,明确存储数据的内容、归属、大小、存储期限、保密程度等)。
4.明确介质的存放环境管理要求,主要包括存储的区域位置、防尘、防潮、防静电、防盗、分类标识、出入库登记等内容。
5.明确存储介质的使用规范,包括申请单、登记表等一系列访问控制要求及数据清理(永久删除、暂时删除等)和销毁报废(销毁方式、销毁记录)要求。
6.明确存储介质测试和维修规范,包括测试存储硬件的性能、可靠性和容量等以及如何返厂、操作人、时间和场地等内容。
7.明确常规和随机审查要求,定期对存储介质进行检查,以防信息丢失。
简单总结就是,有专人专职负责介质安全这件事情,而且熟悉介质使用的相关合规要求。建立制度规范包含介质的使用审批和记录流程、购买的可信渠道及初始化(净化)的相关规程、存储介质的分类标识标记、定期对存储介质进行常规检查等。提供能够对介质进行净化的相关工具和对介质进行访问和使用的记录审计工具。
逻辑存储安全
官方描述为基于机构内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器和架构的有效安全控制。
针对存储容器和存储架构的安全要求,比如认证鉴权、访问控制、日志管理、通信举证、文件防病毒等安全配置,以及安全配置策略,以保证数据存储安全。
DSMM标准在充分定义级要求如下:
组织建设:
组织结构层面设立统一负责数据逻辑存储安全管理的岗位和人员,负责明确整体的数据逻辑存储系统安全管理要求,并推进相关要求的落地实施。
明确各数据逻辑存储系统的安全管理员,负责执行数据逻辑存储系统、存储设备的安全管理和运维工作。
制度流程:
建立数据逻辑存储管理安全规范和配置规则,明确各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的要求。
内部的数据存储系统在上线前应遵循统一的配置要求进行有效的安全配置,对使用的外部数据存储系统也应进行有效的安全配置。
明确数据逻辑存储隔离授权与操作规范,确保具备多租户数据存储安全隔离能力。
技术工具:
提供数据存储系统配置扫描工具,定期对主要数据存储系统的安全配置进行扫描,以保证符合安全基线要求。
利用技术工具监测逻辑存储系统的数据使用规范性,确保数据存储符合组织机构的相关安全策略要求。
具备对个人信息、重要数据等敏感数据的加密存储能力。
人员能力:
负责该项工作的人员熟悉数据存储系统架构,并能够分析出数据存储面临的安全风险,从而能欧保证对各类存储系统的有效安全防护。
以下是在逻辑存储安全管理阶段具体落地应该重点关注的内容:
1.定义逻辑存储系统和设备,建立数据逻辑存储管理安全规范/制度和配置规则,明确各类数据存储系统的账号管理、认证鉴权、权限管理、日志管理、加密管理、版本升级等安全要求
2.明确数据存储系统的架构设计和安全要求,提出建议的安全架构设计,规避常见存在安全隐患的架构设计。
相关阅读 >>
更多相关阅读请进入《DSMM》频道 >>
