本期看点
前期已发布并完结IT建设之路(专业技术篇),包括“企业IT管理”、“IT技术架构”、“信息安全”、“应用架构”、“数据架构”。接下来几期将为大家增补信息安全中的“数据安全”。
信息安全管理的本质都是保护公司数据的安全。在企业内部,数据安全指保护公司的数据,以避免未经授权的访问、修改、泄露,甚至是破坏等,从而确保数据的保密性、完整性和可用性。本期首先介绍数据加密。
目录
信息安全
1. 信息安全原则策略
2. 网络安全防护
3. 终端安全
4. 信息安全管理体系
5. 数据安全 ←←本文
5.1 数据加密 ←←本文
5.2 数据备份与恢复
5.3 数据隔离与脱敏
5.4 数据防泄漏DLP
5.5 数据传递
01
信息安全管理的本质都是保护公司数据的安全。我国的《数据安全法》中第三条给出了数据安全的定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
在企业内部,数据安全指保护公司的数据,以避免未经授权的访问、修改、泄露,甚至是破坏等,从而确保数据的保密性、完整性和可用性。
那么,如何来建设公司的数据安全管理体系,以及如何衡量一个企业的数据安全管理水平呢?数据安全能力成熟度模型(Data Security capability Maturity Model,缩写为DSMM)是以2019-08-30 发布,2020-03-01 实施的GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系,也可用来衡量一个组织的数据安全管理水平。
其实,在IT整个建设过程中,所有IT建设的好坏都是和公司的组织、流程制度、技术能力与人员能力密不可分的。在本章节的前面部分,我们已经介绍过信息安全管理的组织、流程和制度,也介绍了信息安全的整体管理策略,所以在本章节,我们将重点介绍数据安全的技术体系建设,而且是企业内部通常都会涉及到的部分,包括:
数据加密、数据备份与恢复、数据隔离与脱敏、数据防泄漏(DLP)和数据传递。
然而,数据安全又与终端安全和网络安全密切相关。终端安全涉及个人信息与终端数据的存储,所以终端又是数据的主要访问入口。而网络安全则侧重于保护网络基础设施和通信,防止数据在传输过程中被窃取或篡改。有效的数据安全策略需要结合终端安全和网络安全措施,以防范多种威胁,确保数据在存储、传输和处理过程中的全方位保护。
02
数据加密
数据加密作为数据防护的最常见手段,在企业内部使用非常广泛。诚然,所有的企业的数据都是分布在终端和服务器(包括云服务器、SaaS系统等)上,但除了应用系统对敏感数据加密处理外,大部分的数据加密都是针对终端和服务器的文件进行加密的。
针对文件的加密,往往有两种类型,一种是硬盘加密,以Bitlocker为典型产品代表;另一种是单个文件加密,这类加密软件通常在国内使用较多。尽管中国颁布了《数据安全法》,但在国内的安全违规成本仍然较低,大部分的安全监控手段无法完全规避数据风险,故很多公司会采用多种安全防护手段后,仍然会将敏感文件再单独加密,作为最后一道防线。
Bitlocker加密:BitLocker是微软的一款免费产品,通过加密Windows操作系统卷上存储的所有数据以更好地保护计算机中的数据。BitLocker需要结合TPM(受信任的平台模块)存储密钥,以确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。如果电脑上没有TPM时,所需加密密钥可存储在USB闪存驱动器中,必须提供该驱动器才能解锁存储在卷上的数据。所以,Bitlocker的加密密钥管理尤其重要,可以用微软的Intune产品,也可以借助第三方产品来管理Bitlocker密钥,或者自行开发一个工具,在执行Bitlocker加密时,自动将密钥存储至公司服务器上。
文件加密:即便终端使用Bitlocker加密磁盘,这与文件加密并不冲突。当我们进入Windows后,如果只有Bitlocker加密的终端,所有的文件是明文的。而一旦我们引入了文件加密软件,就类似于一把双刃剑,一方面是提升数据的保护,但同时也会带来一些未知的风险——终端性能降低、文件损坏、程序损坏、操作系统异常,甚至还有一些未知的风险等。对于加密的文件,数据外传时还要解密,对于解密权限的管理也是至关重要的,是否给员工开通解密的通道,一旦开通,又将如何管控被解密的文件呢?
一般公司的做法是,对于公司机密以上的数据,我们仍然建议能够存在于一个固定的区域,也就是我们后面需要介绍的数据隔离。但受限于各种环境,这类机密数据又必须在终端上存储,那么,对于国内企业的管理策略,通常会在磁盘加密(Bitlocker加密)的基础上,再做文件加密,并且默认是不允许被解密的。通过技术手段绕过加密,或者传递未加密的机密数据,又需要结合DLP或者信息安全审计来进行,这些手段将在后续章节中逐一介绍。
下期将介绍:信息安全-数据安全之数据备份与恢复。
内容还行?点击上面鼓励他们一下吧!
注:部分文字和图片源自互联网,整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益,请后台留言。如情况属实,我们会第一时间删除并向您致歉。
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。
内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
因篇幅有限,仅展示部分资料,需要见下图即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
侵权,请联系删除。
扫一扫
901
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
