扫码微信咨询
DSMM数据安全过程维度之数据存储安全
1.存储媒体安全
针对组织机构内需要对数据存储介质进行访问和使用的场景,提供有效的技术和管理手段,防止对媒体的不当使用而可能引发的数据泄露风险。存储媒体包括终端设备及网络存储。DSMM标准在充分定义级要求如下:
该等级的数据安全能力要求描述如下:a)组织建设:组织应设立统一负责存储媒体安全管理的岗位和人员。
b)制度流程:
1)应明确存储媒体访问和使用的安全管理规范,建立存储媒体使用的审批和记录流程;2)应明确购买或获取存储媒体的流程,要求通过可信渠道购买或获取存储媒体,并针对各类存储媒体建立格式化规程;
3)应建立存储媒体资产标识,明确存储媒体存储的数据(BP.07.08);4)应对存储媒体进行常规和随机检查,确保存储媒体的使用符合机构公布的关于存储媒体使用的制度。
c)技术工具:1)组织应使用技术工具对存储媒体性能进行监控,包括存储媒体的使用历史,性能指标﹑错误或损坏情况,对超过安全阈值的存储媒体进行预;
2)应对存储媒体访问和使用行为进行记录和审计。d)人员能力:负责该项工作的人员应熟悉存储媒体安全管理的相关合规要求,熟悉不同存储媒体访问和伸用的差异性。
2.逻辑存储安全基于机构内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器和架构的有效安全控制。
DSMM标准在充分定义级要求如下:
a)组织建设:1)组织应设立统一负责数据逻辑存储安全管理的岗位和人员,负责明确整体的数据逻辑存储系统安全管理要求,并推进相关要求的实施;
2)应明确各数据逻辑存储系统的安全管理员,负责执行数据逻辑存储系统、存储设备的安全管理和运维工作。b)制度流程:
1)应明确数据逻辑存储管理安全规范和配置规则,明确各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的要求;2)内部的数据存储系统应在上线前遵循统一的配置要求进行有效的安全配置,对使用的外部数据存储系统也应进行有效的安全配置;
3)应明确数据逻辑存储隔离授权与操作要求,确保具备多用户数据存储安全隔离能力。c)技术工具:
1)应提供数据存储系统配置扫描工具,定期对主要数据存储系统的安全配置进行扫描,以保证符合安全基线要求;2)应利用技术工具监测逻辑存储系统的数据使用规范性,确保数据存储符合组织的相关安全要求;
3)应具备对个人信息、重要数据等敏感数据的加密存储能力。d)人员能力:负责该项工作的人员应熟悉数据存储系统架构,并能够分析出数据存储面临的安全风险,从而能够保证对各类存储系统的有效安全防护。
简单总结就是,有专人专岗统一负责逻辑存储安全管理,同时要熟悉了解逻辑存储安全架构和相关运维工作。建立数据逻辑存储安全管理规范,包含认证授权、账号和权限管理、日志管理、加密存储管理、版本升级、上线前统一安全配置、数据隔离等方面的要求。提供相关工具进行配置扫描和漏洞扫描、监测数据使用规范性,对重要数据进行加密的工具或技术。
3.数据备份和恢复通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。
DSMM标准在充分定义级要求如下:
a)组织建设:组织应明确负责组织统一的数据备份和恢复管理工作的岗位和人员,负责建立相应的制度流程并部署相关的安全措施。
b)制度流程:
1)应明确数据备份与恢复的管理制度﹐以满足数据服务可靠性、可用性等安全目标;
2)应明确数据备份与恢复的操作规程,明确定义数据备份和恢复的范围、频率、工具、过程、日志记录﹑数据保存时长等;
3)应明确数据备份与恢复的定期检查和更新工作程序,包括数据副本的更新频率,保存期限等;
4)应依据数据生存周期和业务规范,建立数据生存周期各阶段数据归档的操作流程;
5)应明确归档数据的压缩或加密要求;
6)应明确归档数据的安全管控措施,非授权用户不能访问归档数据;
7)应识别组织适用的合规要求,按监管部门的要求对相关数据予以记录和保存;
简单总结就是,专人专岗负责数据备份与恢复,同时具备了解数据备份操作业务流程和满足相关合规性要求的能力。制定数据备份与恢复的安全管理制度和操作规范,包含备份范围、频率、工具、过程、日志记录、保存时长、恢复测试流程、访问权限设定、有效期保护、异地容灾等各项内容。提供数据备份和恢复的自动化工具和数据加密、完整性校验的工具及技术手段。
擎标总结DSMM之数据存储安全其实就是为了保证数据在物理层面和逻辑层面的存储安全,主要的目标就是实现数据加密、完整性和高可用,实现数据由动态到静态的存储安全。擎标认为在数据存储安全方面,更多的是和运维同事一起配合完成,可以在现在已有的基础上进行完善和改进。无论是在制度规范方面,还是在工具技术方面及人员方面,不但要满足DSMM的相关要求,也要和运维人员的工作相结合,不然是不能很好的落地的。在这个阶段,安全人员应该起到的作用是提出要求,并且提供安全方面的能力支撑,让相关运维同事配合完成。