dsmm之数据传输安全

2024-12-30 07:08 114.222.119.89 1次
发布企业
贯标集团商铺
认证
资质核验:
已通过营业执照认证
入驻顺企:
2
主体名称:
江苏贯标通用技术有限公司
组织机构代码:
91320106MA25WFYW9G
报价
请来电询价
所在地
南京市仙林大道10号三宝科技园1号楼B座6层
联系电话
4009992068
全国服务热线
13382035157
联系人
贯标客服  请说明来自顺企网,优惠更多
请卖家联系我
18013890943

产品详细介绍

一、背景

在M数据安全能力成熟度模型与交流一文中介绍了M针对数据安全不同生命周期提出了不同的安全要求,数据安全生命周期分为采集、传输、存储、处理、交换、销毁。今天来聊一聊数据安全生命周期的第一个阶段——数据采集安全。

在第一篇文章中,我们讲述了M分为5个成熟度等级分别为:非正式执行、计划跟踪、充分定义、量化控制、持续优化;安全能力的维度包括组织建设、制度流程、技术工具、人员能力。我们在落地执行的时候一般按照等级3即充分定义级进行相关的工作,因为在充分定义级里面完整的包含了安全能力维度的四个方面,而等级1和等级2是没有覆盖完全的,至于等级4和等级5就是进行一些量化细化和持续改进的,可以在M体系建设完成后进行拔高。每个过程域都是按照这样的思路进行要求的,介绍的数据传输安全过程的各过程域都是按照这个思路进行建设的。

二、定义

数据传输安全是对数据进行网络传输的安全的管理,这是数据安全重要的阶段,也是发生数据安全事件,如数据泄露、窃取、篡改等比较频繁的过程,该阶段的重要性不言而喻。该过程包含四个过程域,分别为:数据传输加密和网络可用性管理。

2.1数据传输加密

官方描述为根据组织机构内部和外部的数据传输要求,采用适当的加密保护措施,保证传输通道、传输节点和传输数据的安全,防止传输过程中数据被截取所引发的数据泄漏。

数据在通过不可信或者较低安全性的网络进行传输时,容易发生数据被窃取、伪造和篡改等安全风险,需要建立相关的安全防护措施,保障数据在传输过程中的安全性,而加密是保证数据安全的常用手段。

M标准在充分定义级要求如下:

组织建设:

组织机构设立了管理数据加密、密钥管理的岗位和人员,负责整体的加密原则和技术工作,由各业务的技术团队负责实现具体场景下的数据传输加密。

在M的要求中这个几乎都是一样的,每个过程域都需要指定专人和专岗负责该项工作,并能够胜任此工作。在实际工作中,可能所有的过程域在这个维度上都是同样的一个或多个人,可以单独任命,也可以在相应的制度章节中进行说明。

制度流程:

建立数据传输安全管理规范,明确数据传输安全要求(如传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等),确定需要对数据传输加密的场景。

建立密钥管理安全规范,明确密钥生成、分发、存取、更新、备份和销毁的流程和要求。

技术工具:

有对传输通道两端进行主体身份鉴别和认证的技术方案和工具。

有对传输数据加密的技术方案和工具,包括针对关键的数据传输通道统一部署传输通道加密方案(如采用TLS/SSL方式),及对传输数据内容进行加密。

有对传输数据的完整性进行检测并执行恢复控制的技术方案和工具。

有对数据传输安全策略的变更进行审核和监控的技术方案和工具,已部署对通道安全配置、密码算法配置、密钥管理等保护措施进行审核及监控的技术工具。

已建设密钥管理系统提供数据的加密解密、签名验签等功能,并实现对密钥的全生命周期(生成、存储、使用、分发、更新、销毁)的安全管理。

人员能力:

了解主流的安全通道和可信通道建立方案、身份鉴别和认证技术、数据加密算法和国家推荐的数据加密算法,基于具体业务场景选择合适的数据传输安全管理方式。

负责该项工作的人员了解数据加密的算法,并能够基于具体的业务场景选择合适的加密技术。


以下是在数据传输加密过程中具体落地应该重点关注的内容。

1.建立数据传输安全管理规范,明确数据传输安全要求(如传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等),确定需要对数据传输加密的场景。

2.需要加密的场景应该根据国家法律法规要求、行业监管部门要求及单位自身业务数据的保密性和完整性要求。结合数据分类分级的内容,通常包括但不限于系统管理数据、鉴别信息、重要业务数据和重要个人隐私等完整性和保密性要求高的数据。

3.由于加密技术的实现都依赖密钥,需要建立密钥管理安全规范和密钥管理系统,明确密钥的生成、分发、存取、更新、备份和销毁的流程。即什么安全级别的数据,应该采取什么加密算法(国密算法还是国际算法,对称加密算法、非对称加密算法还是哈希算法)以及使用多少位强度的密钥,密钥的有效期是多久,怎么备份密钥,怎么删除密钥等一系列内容。

4.在选择加密类型及密钥强度时需要结合业务类型和网络现状,有选择地实行加密,避免对业务造成影响。

5.对于负责加密策略配置和密钥管理的人员,必须有一个审核监督机制,确保其加密算法的配置和变更都是得到授权和认可的,目前通常采用堡垒机的方式进行监督管理。

2.2网络可用性管理

官方描述为通过网络基础链路、关键网络设备的备份建设,实现网络的高可用性,从而保证数据传输过程的稳定性。

数据在网络传输过程中依赖网络的可用性,一旦发生网络故障或者瘫痪,数据传输也会受到影响甚至中断。

M标准在充分定义级要求如下:

制度流程:

在关键的业务网络架构应考虑网络的可用性建设需求,对关键的网络传输链路、网络设备节点实行冗余建设。

技术工具:

部署负载均衡、防入侵攻击等设备强化对网络可用性风险的防范

人员能力

负责该项工作的人员具有网络安全管理的能力,了解网络安全中对可用性的安全需求,能够根据不同业务对网络性能需求制定有效的可用性安全防护方案。


以下是在数据采集安全管理阶段具体落地应该重点关注的内容:

1.对关键业务网络的传输链路、网络设备节点进行冗余建设。包括:硬件冗余(电源冗余、引擎冗余、模块冗余、设备堆叠、链路冗余、设备冗余、负载均衡)、软件冗余(链路捆绑技术)和路由冗余(VRRP、动态路由协议)。

2.借助负载均衡、防入侵攻击等安全设备来降低网络的可用性风险。

三、

M之数据传输安全其实就是为了保证数据从前端采集之后到业务处理系统之间传输过程的安全,主要的目标就是实现数据保密、防篡改和高可用,对网络安全的要求也是基于数据加密和网络冗余可用。

在文中,很多制度和技术工具是分开叙述,在实际工作中可能是混在一起的,很多具体实现的部分不仅仅只是应用在一个过程域或者一个生命周期阶段,甚至可以应用在整个生命周期过程中。比如要求对重要或敏感数据进行加密存储和传输,在生命周期各阶段都适用。

以上就是M数据传输安全过程的要求以及我们在进行实际落地执行过程中的一点心得和体会,希望能够给有真正有M需求的组织和人员带来一点儿启发,也希望对M感兴趣的小伙伴一起来交流,并给出一些意见,共同将M做的更好。

所属分类:中国商务服务网 / 其他认证服务
dsmm之数据传输安全的文档下载: PDF DOC TXT
成立日期2016年11月10日
主营产品ISO体系、17025实验室认可、CMA资质、涉密信息系统集成、ITSS、CMMI、CS、CCRC、军工三证、国军标体系、测绘资质、安防资质、承装修试-5级、特种设备生产许可证、各类生产许可证及备案、高新技术企业、双软认定、专项基金、知识产权
公司简介贯标集团成立于2000年,是经国家认证认可监督管理委员会批准、按照国际标准化组织互认制度设立的全国首家认证咨询机构,中国认证认可协会常务理事单位、认证咨询专业委员会会长单位。二十多年来专业从事各类管理体系认证、产品认证、实验室认证、军方资质、IT类资质、建工资质认定、高新企业及涉密、测绘、安防等资质认定,生产许可证、特种设备许可证及各类管理培训。集团现有客户五万余家,下设“南京贯标认证咨询有限公司 ...
公司新闻
顺企网 | 公司 | 黄页 | 产品 | 采购 | 资讯 | 免费注册 轻松建站
免责声明:本站信息由贯标集团自行发布,交易请核实资质,谨防诈骗,如有侵权请联系我们   法律声明  联系顺企网
© 11467.com 顺企网 版权所有
ICP备案: 粤B2-20160116 / 粤ICP备12079258号 / 粤公网安备 44030702000007号 / 互联网药品信息许可证:(粤)—经营性—2023—0112