《資訊保安技術 資料安全能力成熟度模型》（GB/T 37988-2019）簡稱DSMM（Data Security Maturity Model）正式成為國標對外發布，並已於2020年3月起正式實施。美創科技將以DSMM資料安全治理思路為依託，針對各過程域，基於充分定義級視角（3級），提供資料安全建設實踐建議，形成系列文章。本文作為本系列第七篇文章，將介紹資料儲存安全階段的儲存介質安全過程域（PA07）。

 

隨著《中華人民共和國資料安全法(草案)》的公佈，後續DSMM很可能會成為該法案的具體落地標準和衡量指標，對於中國企業而言，以DSMM為資料安全治理思路方案選型，可以更好的實現資料安全治理的制度合規。

DSMM三維立體模型

資料生命週期安全過程域

DSMM將6個生命週期進一步細分，劃分出30個過程域。這30個過程域分別分佈在資料生命週期的6個階段，部分過程域貫穿於整個資料生命週期。

本文作為《資料安全能力成熟度模型》實踐指南系列第七篇文章，將介紹資料儲存安全階段的儲存介質安全過程域（PA07）。

 

01 定義

儲存介質安全，DSMM官方描述定義為針對組織內需要對資料儲存媒體進行訪問利使用的場景，提供有效的技術和管理手段，防止對媒體的不當使用而可能引發的資料洩漏風險。儲存媒體包括終端裝置及網路儲存。

DSMM標準在充分定義級對儲存介質安全要求如下：

1）    組織建設

美創科技專家建議組織應設立統一負責儲存媒體安全管理的崗位和人員。

2）    制度流程

Ø  應明確儲存媒體訪問利使用的安全管理規範，建立儲存媒體使用的審批和記錄流程；

Ø  應明確購買或獲取儲存媒體的流程，要求透過可信渠道購買或獲取儲存媒體，並針對各類儲存媒體建立格式化規程；

Ø  應建立儲存媒體資產標識，明確儲存媒體儲存的資料；

Ø  應對儲存媒體進行常規和隨機檢查，確儲存儲媒體的使用符合機構公佈的關於儲存媒體使用的制度。

3）    技術工具

Ø  組織應使用技術工具對儲存媒體效能進行監控，包括儲存媒體的使用歷史、效能指標、錯誤或損壞情況，對超過安全閾值的儲存媒體進行預警；

Ø  應對儲存媒體訪問和使用行為進行記錄和審計。

4）    人員能力

負責該項工作的人員應熟悉儲存媒體安全管理的相關合規要求，熟悉不同儲存媒體訪問和使用的差異性。

 

02 實踐指南

1）    組織建設

組織結構在條件允許的情況下應該設立一個資料儲存安全管理部門以及招募相關的人員負責管理公司整體的儲存介質安全，包括學習市面上普遍的資料儲存介質安全管理思想，資料安全管理思想，結合公司的實際情況，為公司制定整體的資料儲存安全管理方案和標準，建立儲存介質的使用、審批、記錄流程等，對公司的儲存介質狀態、儲存介質流程進行常規和隨機相結合的方式進行檢查，考察其是否符合介質儲存規範、介質使用規範等，並考察其是否存在其他的風險薄弱點。

 

2）    人員能力

針對資料儲存安全管理部門的相關人員，必須具備良好的資料安全風險意識，熟悉國家網路安全法律法規以及組織機構所屬行業的政策和監管要求，在進行儲存介質管理的時候主要依據《網路安全法》中的相關要求，進行儲存介質使用的時候也要符合相關合規要求，對公司的儲存介質做好管理與保護，除此之外，還需要相關人員熟悉不同儲存介質訪問和使用的差異性，能夠主動根據政策變化更新管理要求，熟悉公司的實際情況，能夠明確組織機構對資料儲存介質進行儲存、訪問、使用的實際場景，能夠依據資料分類分級的結果來確定資料儲存介質的要求，制定出有效的、符合公司實際情況的資料儲存介質安全管理制度，並推動相關要求確實有效的落地執行。

 

3）    落地執行性確認

針對資料儲存安全管理人員能力的實際落地執行性確認，美創科技建議透過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、檔案調閱、技術檢測等多種方式實現。

 

4）    制度流程

Ø   儲存介質安全管理目的

資料儲存在介質上，比如物理實體介質（磁碟/硬碟），虛擬儲存介質（容器/虛擬盤）等，防止對介質的不當使用而可能引發的資料洩露風險。

Ø   儲存介質定義

儲存介質是指儲存資料的載體，包括檔案檔案、計算機硬碟、隨身碟、行動硬碟、存貯卡、光碟、快閃記憶體和列印的媒體等。

Ø   儲存介質採購規範

①儲存介質由儲存介質安全管理部門進行統一採購。

②儲存介質採購時遵循申報、審批、採購、標識、入賬的流程。

③儲存介質的採購應選擇可靠的品牌，確保產品質量。

④儲存介質採購中應進行防病毒等安全性檢測，在確保安全的情況下入賬。

Ø   儲存介質存放規範

①資料儲存介質由儲存介質安全管理部門進行統一管理；

②儲存介質的存放環境應有防火、防盜、防水、防塵、防震、防腐蝕及防靜電等措施，防止其被盜、被毀、被未授權修改以及其資訊的非法洩露；

③對於磁帶、磁碟等帶有磁性的介質應注意其儲存環境，保證其長期有效；

④根據資料的容量和重要性合理選擇資料儲存介質；

⑤資料儲存介質必須具有明確的分類標識，標識須包括儲存資料的內容、歸屬、大小、儲存期限、保密程度等，並結合資料型別和管理策略統一命名，儲存介質的標識必須醒目；

⑥建立資料儲存介質保管清單，由儲存介質安全管理部門定期根據保管清單對介質的使用現狀進行檢查，檢查內容包括完整性（資料是否損壞或丟失）和可用性（介質是否受到物理破壞）；

⑦任何儲存介質盤點出現差異時，必須及時報告給上級領導部門；

⑧根據資料備份的需要確定須異地儲存的備份介質；

Ø   儲存介質運輸規範

①儲存介質在運輸過程中，必須採取密封處理；

②應選取可靠的速遞公司承擔介質的傳遞工作，介質傳遞時間、安全保障（防火、防震、防潮、防磁、防盜）等方面的要求應在與速遞公司的合同中加以約定。速遞公司的資質、介質傳遞流程、速遞合同須經儲存介質安全管理部門批准；

③當存有敏感業務資訊的介質進行異地傳輸時，應選擇本單位可靠人員進行傳遞，並且使用專用安全箱包進行包裝；

④移動儲存介質的接收應履行登記、入賬等手續；

⑤儲存介質安全管理部門需對儲存介質的運輸過程進行詳細記錄；

Ø   儲存介質使用規範

①新啟用的儲存介質或使用移動儲存介質時，必須進行安全檢查和查殺病毒處理；

②儲存介質的使用需在受控的辦公場所的指定計算機上進行；

③非本單位的移動儲存介質一律不得和涉密計算機連線；

④避免在高溫、強磁場的環境下使用儲存介質；

⑤涉密和非涉密的儲存介質禁止交叉使用；

⑥因公務需要攜帶儲存介質外出時，必須經儲存介質安全管理部門審批同意並登記；

⑦儲存介質由於其體積較小，易於流傳，使用時應對其安全保管，防止丟失；

⑧如使用移動介質轉移儲存敏感資料，需在使用前格式化，並在使用後立即刪除敏感資料；

⑨複製移動儲存介質中的資訊應經過儲存介質安全管理部門批准並履行登記手續;複製件應視同原件進行管理；

⑩複製移動儲存介質中的資訊時，不得改變其知悉範圍，並由儲存介質安全管理部門進行監督。

Ø   儲存介質維修規範

①儲存介質維修應經過儲存介質安全管理部門審批。

②對送出維修的介質應首先清除介質中的敏感資料；

③移動儲存介質需要送外維修時，必須到儲存介質安全管理部門制定的單位進行維修，由儲存介質安全管理部門全程陪同監督；

④儲存介質的維修由儲存介質安全管理部門負責，並對維修人員、維修物件、維修內容、維修前後狀況進行監督和記錄；

Ø   儲存介質銷燬規範

①儲存介質銷燬應經過儲存介質安全管理部門審批，不得自行銷燬。

②為防止敏感資訊洩露給未經授權的人員，各部門應將需要廢棄的儲存介質送到儲存介質安全管理部門，由儲存介質安全管理部門統一進行安全銷燬；

③儲存介質銷燬前，儲存介質安全管理部門須對所含資訊進行風險評估，確定儲存

Ø   介質的處理方式

①     任何含有敏感資訊的中間儲存介質，都需要銷燬其中的資訊。

②     任何儲存介質不再用於儲存保密資訊之前，必須進行格式化。

③     儲存介質上刪除敏感的資訊後，必須執行重複寫操作防止資料恢復。

④     含有硬複製形式的敏感資訊儲存介質的報廢處理方式是粉碎或者燒燬。

⑤     儲存介質安全管理部門需對儲存介質的處置做記錄、以備審查。

⑥被銷燬介質上的備份內容如果未到備份儲存期限，要將備份內容複製到較新的介質上，並將複製後的介質歸檔。

 

5）    技術工具簡述

儲存媒體指的就是儲存資料的介質，是一種物理載體，不管是本地資料還是網路上的資料，其最終都是儲存在這樣的物理載體上。組織在訪問和使用資料的時候，都會用到儲存媒體。常見的儲存媒體有硬碟、軟盤、記憶體、光碟、磁帶等等，而儲存媒體作為一種物理載體，那麼就會有損壞、故障、壽命有限等問題，以及安全性的問題。需要利用相應的技術工具來管理儲存媒體，保證在儲存媒體中的資料能夠安全、可靠地執行，避免資料丟失、損壞、洩露等問題，保障資料安全。

美創科技專家將目前市面上常見的儲存媒體根據介質不同分為三大類，磁介質、半導體介質、光碟介質。

磁介質：也就是磁記錄介質材料，是利用磁特性和磁效應實現資訊記錄和儲存的功能的磁性材料。我們日常使用的硬碟其實全稱叫硬磁碟，就是利用磁記錄技術來實現資料儲存的。除了硬碟之外，磁卡也是一種磁記錄介質材料，還有早期的軟盤（軟磁碟）、以及更早的磁帶等。

半導體介質：半導體介質使用半導體大規模積體電路作為儲存媒體的，可以對數字資訊進行隨機存取。半導體一般可以分為兩類，隨機存取儲存器（RAM）和只讀儲存器（ROM）。半導體介質具有體積小、儲存速度快、儲存密度高、與邏輯電路介面容易等優點，計算機以及各類電子裝置中的記憶體使用的就是半導體介質。

光碟介質：光碟介質是利用光資訊作為資料載體的一種記錄材料，它是用鐳射掃描的記錄和讀出方式儲存資訊的一種介質。光碟介質作為一種十分重要的儲存介質，具有存放大量資料的特性。我們熟知的CD、DVD、VCD等就是光碟儲存介質。

Ø   儲存介質監控技術

根據儲存媒體的不同，在儲存媒體的監控和審計上也有不同的相應監控和審計技術。

對於光碟介質來說，需要監控和審計的重要行為那就是燒錄了。構建一個光碟燒錄和審計系統對於光碟介質的安全管理來說十分重要。一個光碟燒錄和審計系統應具備以下功能技術：製作加密光碟，並規定只有使用特定的金鑰才可以解開光碟讀取和寫入資料；只有在系統上註冊過的燒錄機才能進行光碟燒錄作業；支援光碟燒錄全生命週期，包括燒錄申請發起、審批、燒錄資源授權等，均需要相應的管理人員進行審批透過後才能進行最終的燒錄作業；全面的日誌審計，如使用者名稱稱、燒錄檔名、檔案處理方式、檔案密級、任務提交時間、燒錄檔案份數、檔案包含頁數、使用燒錄機名稱、計算機使用人、任務狀態等資訊等。

磁介質和半導體的介質兩個代表分別是硬碟和記憶體，因為硬碟和記憶體是每臺計算機的基本組成裝置。以硬碟和記憶體為例，在計算機上需要監控和審計的有兩方面，一方面是本地儲存媒體的監控和審計，另一方面是外來接入儲存媒體行為的監控和審計。本地儲存的監控審計技術和工具已經十分成熟了，在windows和linux系統下，都自帶有系統監控工具，如windows的資源監視器，linux下的top、htop、iotop等都是最基本的監控工具，系統透過儲存媒體的驅動程式連線儲存媒體裝置，可以對儲存媒體進行實時監控。另外還有許多優秀的工具可以實現日誌審計匯出、儲存裝置管理等更強大的功能，並提供友好地視覺化介面，這些工具都是在系統提供的工具之上進行功能疊加和改進的。如Cockpit，Cockpit是一個免費且開源的基於web的管理工具，系統管理員可以執行諸如儲存管理、網路配置、檢查日誌、管理容器等任務。透過Cockpit提供的友好的 Web 前端介面可以輕鬆地管理GNU/Linux 伺服器，非常輕量級，Web介面也非常簡單易用。更重要的是透過Cockpit可以實現集中式管理。還有netdata等工具。對於外來接入儲存媒體行為的監控和審計，一般是透過監控計算機擴充套件介面進行實現的，如USB介面等，目前大多數的終端安全管理工具已經具備該技術功能。

 

Ø   儲存介質清除技術

當需要廢棄儲存媒體使用新的儲存媒體，或者需要重新寫入儲存媒體中的資料時，一般都需要對儲存媒體中的資料進行清除，這種操作也被成為介質淨化。只有被淨化過的儲存介質，才允許被廢棄或者重新寫入資料，依次保證資料的安全可靠，防止儲存媒體中的資料損壞和洩露。一般來說，只有可重複使用的、可擦除的儲存媒體才能進行清除操作，一次性的、不可擦除的儲存媒體是無法進行清除的，需要廢棄時只有使用物理手段進行銷燬。淨化的一個原則就是儘量做到不可恢復，防止淨化後的儲存媒體被有心之人進行資料恢復。

光碟介質的原理是透過光碟表面深淺不一的凹槽以及對光的反射與否來表示資料的，而光碟記錄資料的操作也就是燒錄是在光碟表面製造凹槽。所以光碟的資料清除只需要用燒錄機進行燒錄操作即可，目前的燒錄機軟體都帶有物理完全擦除功能，其原理就是透過重新燒錄凹槽覆蓋掉原本的凹槽即可達到擦除資料的目的。由於其擦除過程是一種物理過程，所以基本是無法恢復的。

半導體是在常溫下導電效能介於導體和絕緣體之間的材料，其導電性是可控的，利用其導電與否就可以表示“0”和“1”，從而就可以記錄資料。在半導體儲存器的類別中，RAM屬於易失性儲存器，這種儲存器的特點是需要不斷加電重新整理才能保持資料，完全斷電一段時間後，其中的資料就會完全消失且無法恢復，所以RAM通常是用來做電子裝置的記憶體；ROM是非易失性儲存器，不能透過斷電來進行資料清除，其資料清除過程涉及到較為複雜的物理過程，擦除方法通常是在源極之間加高壓，從而形成電場，透過F－N(Fowler-Nordheim)隧道效應實現擦除操作。

磁性儲存器是目前最主要的儲存介質之一，淨化磁介質的方法也比較成熟。以磁碟為例，目前對於磁碟的資料清除手段主要有幾種：一種是反覆在同一磁扇區上寫入無意義的資料，從而把資料還原的可能性減至最低；另外一種是磁碟扇區清零，即把磁碟所有扇區分1-多次全部用0或全部用1寫入，之後硬碟上所有資料全部丟失，這種清除方式比較徹底，但耗時稍長；還有一種就是採用直接訪問主檔案列表找到檔案具體儲存的位置，並解碼二進位制檔案，從而徹底清除檔案，減少了對作業系統的依賴，避免大量盲目填寫無效檔案的操作。這種方法可以保護磁碟使用壽命。目前使用較多的專業磁碟清除工具有Darik's Boot and Nuke、HDShredder等。

 

下圖為儲存媒體安全的技術工具進行作業的基本流程圖

工作流程圖

儲存介質安全過程域的實踐指南就展開至此，《資料安全能力成熟度模型》實踐指南系列持續更新中，歡迎持續關注。