数据安全中的最后一道防线——数据存储安全

2023-10-07 10:22
近日,上海网信办官方发布了一则《上海某政务系统承包商因公民个人信息泄露遭境外兜售被处罚》的通知:上海市某政府信息系统技术承包商违规将政务数据置于互联网进行测试期间,相关存储端存在高危漏洞,导致大量相关公民个人信息在2022年7月在境外黑客论坛被披露兜售。数据存储作为信息系统的基础设施,如何保障数据被窃取后不泄露数据、如何及时检测勒索病毒的入侵并及时响应、数据被勒索加密后业务如何及时恢复、数据在向第三方传递时如何保障数据可管可控,是企业当下需要重点考虑的问题。

01

数据安全中的最后一道防线:

存储安全

从波耐蒙研究所发布的《2022 年数据泄露成本报告》来看,2022年企业遭受数据泄露事件的平均成本高达435万美元,创下历史新高,其中勒索病毒攻击事件上升到2.36亿起,成为Top1企业数据安全威胁,其中62.9%的攻击事件最终支付了赎金。
此类针对数据存储安全的网络安全事件频发,直接影响到企业的业务连续性,数据安全已经成为了网络空间防护的核心,数据作为生产要素需要重点保护。
2023年5月12日,网络安全技术与产业发展工业和信息化部重点实验室发布的《关键信息基础设施安全存储建设指南》中指出,数据安全保障是数字中国建设整体布局规划的组成部分, 安全存储与备份技术是数据安全防护的最后一道防线。 从数据资产生命周期来看,涉及到数据产生、传输、存储、使用/流通、销毁环节,需要打造纵深数据安全防护体系,以保障数据机密性、完整性及可用性。存储环节的安全性至关重要,数据存储作为数据的仓库,有全量的数据内容,贴近数据,直接管理存储介质,数据存储一旦被攻击破坏,将直接影响到企业业务的连续性,因此数据存储安全是数据安全的最后一道防线。

640 (2).png


02

信息安全框架要求及发展趋势

在CISSP官方指南中,信息安全分为安全与风险管理、资产安全、安全工程、通信和网络安全、身份和访问管理、安全评估与测试、安全运营、软件开发安全八大知识域;其中在安全运营中笔墨最重的内容为“业务连续性与灾难恢复”,并分别从管理、技术、人员三个维度进行详细的阐述,由此可见容灾备份在信息安全体系中的分量之重,也充分的体现出数据存储安全的重要性。
随着信息安全产业的持续发展,目前已经进入信息安全2.0的时代:即从外防逐步转向内控,以体系化防御和数字化运营为核心的信息安全时代。同样,在法律法规以及合规要求中亦同步提出了要求:
  • 等保2.0第二十一条要求中,已经明确要求采取数据分类、重要数据备份和加密等措施。

  • 在工信部2022年发布的《工业和信息化领域数据安全管理办法(试行)》的第十五条,明确提出“工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。”

  • 2022年底,我国第一个关基保护的国家标准GB/T39204-2022《信息安全技术 关键信息基础设施安全保护要求》中,也明确提出了要求:
    e) 建立业务连续性管理及容灾备份机制,重要系统和数据库实现异地备份;f) 数据安全性要求高的实现数据库的异地实时备份。业务连续性要求高的实现系统的异地实时备份,确保关键信息基础设施一旦被破坏,可及时进行恢复和补救;g)在关键信息基础设施退役废弃时,按照数据安全保护策略对存储的数据进行处理”。

  • 《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)三级要求中,组织建设要求为“清晰定义了在各数据安全领域承担数据安全职责的岗位,且关键岗位配备有专职的员工。”制度流程建设要求为“建立了数据安全管理制度体系,以实现对组织内数据安全风险的全面覆盖。”技术工具要求为“通过在线的平台固化数据安全流程的落地,利用数据安全技术以系统、工具的形式实现对数据安全控制的有效执行。”人员能力要求为“承担数据安全职责的人员具备在相关领域的数据安全背景和能力”。

总而言之,信息安全的体系建设已经进入“统筹规划、统筹建设、统一管理、统一运营”的时代。未来,容灾备份一定是信息安全体系建设的一部分,信息安全与容灾备份“相互平行”建设的时代已经过去;信息安全管理和安全运营的体系化落地也一定离不开容灾备份能力的统筹建设、管理及运营。

03

数据安全与容灾备份一体化建设方案

数据安全建设包括数据安全治理、数据安全技术建设以及数据安全运营三个层面,最终以统一的数据安全中心构建“三位一体”的数据安全体系。首先,在数据安全治理层面,数据资产的统一管理、数据资产分类分级需要与容灾备份以及加密技术相结合以满足数据安全管理以及密评相关要求;其次,在数据安全技术建设层面,容灾备份产品需要与数据安全管理中心相结合,实现一体化的数据安全以及业务连续性保障;最后,数据安全运营层面,统一安全策略优化、风险评估、应急响应、应急演练等内容需要将数据安全与容灾备份有机结合,而非相对割裂的厂商服务。
在宏观层面,闪捷信息作为国内专业的数据安全厂商,具备全栈数据安全能力和解决方案能力,可为客户从顶层实现数据安全体系的构建。容灾备份体系已经完全融入数据安全产品体系,可为客户提供统一管理、统一运营的一体化解决方案。
640.png

图片

在实际项目落地方面,容灾备份与数据安全产品的融合也是闪捷信息的核心优势之一。数据备份作为安全的最后一张底牌,备份的数据安全一直广受关注。闪捷信息结合客户需求以及多年安全行业积累,将数据安全产品与容灾备份产品进行深度融合,推出了防勒索+数据备份、桌面备份+数据防泄漏、防勒索+分布式存储、数据备份+数据脱敏、数据备份+资产梳理等多款解决方案型产品,可以解决容灾备份产品的数据安全诉求,在市场上获得众多客户的青睐。