3.明确数据存储系统在上线前的安全配置要求并进行统一有效的安全配置,同时采用配置扫描工具和漏洞扫描系统对数据存储系统进行定期扫描,以保证符合安全基线要求。
4.建立数据逻辑存储隔离授权与操作规范,保证多租户数据存储安全隔离,避免用户间数据未授权访问、修改等。
5.建立数据存储系统和设备的安全管理规范和操作规程,包括但不限于标准操作流程、维护操作流程、应急操作流程等。
6.对数据存储系统的日志记录进行采集和分析,识别账号和访问权限,监测数据使用规范性和合理性,同时可对发生的安全事件进行分析和溯源。
简单总结就是,有专人专岗统一负责逻辑存储安全管理,同时要熟悉了解逻辑存储安全架构和相关运维工作。建立数据逻辑存储安全管理规范,包含认证授权、账号和权限管理、日志管理、加密存储管理、版本升级、上线前统一安全配置、数据隔离等方面的要求。提供相关工具进行配置扫描和漏洞扫描、监测数据使用规范性,对重要数据进行加密的工具或技术。
数据备份和恢复
官方描述为通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。
备份和恢复是为了提高信息系统的高可用行和灾难可恢复性,在数据库系统崩溃的时候,没有数据库备份就没法找到数据,保证数据可用性是数据安全的基础。
DSMM标准在充分定义级要求如下:
组织建设:
明确了负责组织机构统一的数据备份和恢复管理工作的岗位和人员,负责建立相应的制度流程并部署相关的安全措施。
制度流程:
建立数据备份与恢复的策略和管理制度,以满足数据服务可靠性、可用性等安全目标。
建立数据备份与恢复的操作流程,明确定义数据备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等。
建立数据备份与恢复的定期检查和更新工作程序,包括数据副本的更新频率、保存期限等,确保数据副本或备份数据的有效性。
依据数据生命周期和业务规范,建立不同阶段数据归档存储的操作流程。
建立归档数据的压缩或加密策略,确保归档数据存储空间的有效利用和安全访问。
建立归档数据的安全策略和管控措施,确保非授权用户不能访问归档数据。
识别组织适用的国内外法律法规要求,确保按照法律规定和监管部门的要求对相关数据予以记录和保存。
制定数据存储时效性管理策略和规程,明确数据分享、存储、使用和清除的有效期、有效期到期时对数据的处理流程、过期存储数据安全的安全管理策略。
建立过期存储数据的安全保护机制,对超出有效期的存储数据应具备再次获取数据控制者授权的能力。
技术工具:
建立数据备份与恢复的统一技术工具,并将具体的备份策略固化到工具中,保证相关工作的自动化执行。
建立备份和归档数据安全的技术手段,包括但不限于对备份和归档数据的访问控制、压缩或加密管理、完整性和可用性管理,确保对备份和归档数据的安全性、存储空间的有效利用和安全访问。
定期地采取必要的技术措施查验备份和归档数据完整性和可用性。
建立过期存储数据及其备份数据彻底删除或匿名化的方法和机制,能够验证数据已被完全消除、无法恢复或无法识别到个人,并告知数据控制者和数据使用者。
通过风险提示和技术手段避免非过期数据的误删除,确保在一定的时间窗口内的误删除数据可以手动恢复。
确保存储架构具备数据存储跨机柜或跨机房容错部署能力。
人员能力:
负责该项工作的人员了解数据备份介质的性能和相关数据的业务特性,能够确定有效的数据备份和恢复机制。
负责该项工作的人员充分了解数据存储时效性相关的合规性要求,并具备基于业务场景对留存合规性要求的解读能力和落地方案的制定能力。
以下是在数据备份与恢复阶段具体落地应该重点关注的内容:
1.建立数据备份与恢复的策略和管理制度,以保证数据服务的可靠性和可用性。
2.建立数据备份与恢复的操作规程,明确定义数据备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等。
3.明确数据备份和恢复的定期检查和更新工作要求,如数据副本的更新频率、保存期限等,确保数据副本或备份数据的有效性等。
4.建立备份数据的压缩、完整性校验和加密策略要求,确保备份数据存储空间的有效利用和安全访问。
5.识别组织适用的国内外法律法规要求,结合自身业务需求,确保按照法律规定和监管部门要求对相关数据予以记录和保存及满足备份保存周期要求。
6.建立统一的、自动化执行的备份和恢复工具。
7.对备份数据采取安全管理数据手段,包括但不限于对备份数据的访问控制、压缩或加密管理、完整性和可用性管理。
简单总结就是,专人专岗负责数据备份与恢复,同时具备了解数据备份操作业务流程和满足相关合规性要求的能力。制定数据备份与恢复的安全管理制度和操作规范,包含备份范围、频率、工具、过程、日志记录、保存时长、恢复测试流程、访问权限设定、有效期保护、异地容灾等各项内容。提供数据备份和恢复的自动化工具和数据加密、完整性校验的工具及技术手段。
总结:
DSMM之数据存储安全其实就是为了保证数据在物理层面和逻辑层面的存储安全,主要的目标就是实现数据加密、完整性和高可用,实现数据由动态到静态的存储安全。
虽然在文中,很多制度和技术工具是分开叙述,但是在实际工作中可能是混在一起的,同时很多具体实现的部分不仅仅只是应用在一个过程域或者一个生命周期阶段,甚至可以应用在整个生命周期过程中。比如要求对重要或敏感数据进行加密存储和完整性校验,在生命周期各阶段都适用。对于大多数单位,这块工作一般都是运维人员负责。
作为安全人员,我认为在数据存储安全方面,更多的是和运维同事一起配合完成,可以在现在已有的基础上进行完善和改进。无论是在制度规范方面,还是在工具技术方面及人员方面,不但要满足DSMM的相关要求,也要和运维人员的工作相结合,不然是不能很好的落地的。在这个阶段,安全人员应该起到的作用是提出要求,并且提供安全方面的能力支撑,让相关运维同事配合完成。
相关文章教程推荐:web服务器安全教程
以上就是关于DSMM之数据存储安全的详细介绍的详细内容,更多文章请关注木庄网络博客!
相关阅读 >>
更多相关阅读请进入《DSMM》频道 >>
