資料安全“掃盲篇”，看完就懂了

一、資料安全概述

隨著“數字化中國”建設的不斷推進，資料這一要素就逐漸顯得尤為重要。在近幾年也不斷的頻繁被爆出和資料相關的各類重大安全事件，給企業給我們人民都帶來了不可預計的嚴重後果。因此，我們國家也是相繼頒佈了各類與資料安全相關的法律法規和建設指導意見。

2021年6月10日，第十三屆全國人民代表大會常務委員會第二十九次會議透過《中華人民共和國資料安全法》，自2021年9月1日起施行。在《資料安全法》第三條，給出了資料安全的定義，資料安全是指透過採取必要措施，確保資料處於有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

資料生存週期安全風險評估

資料安全風險評估可以從資料的生存週期角度逐個考慮，這裡引用國標 GB/T37988-2019《資訊保安技術 資料安全能力成熟度模型》DSMM 架構圖中的資料生存週期安全的步驟：資料採集安全、資料傳輸安全、資料儲存安全、資料處理安全、資料交換安全、資料銷燬安全。

對於攻擊者來說，IT系統的方方面面都存在脆弱性，這些方面包括常見的作業系統漏洞、應用系統漏洞、弱口令，也包括容易被忽略的錯誤安全配置問題，以及違反最小化原則開放的不必要的賬號、服務、埠等。IT系統一旦出現安全隱患，都會導致系統環境中的敏感資料洩漏或丟失。

資料生存週期安全風險評估應從通用安全和各階段安全兩個方面進行資料環境風險檢查，瞭解資訊系統總體安全風險狀況，對脆弱性的所有方面統一進行分析和評估，並提出整改意見，建立快速響應機制。要保證資料處理的全過程安全，資料處理，包括資料的收集、儲存、使用、加工、傳輸、提供、公開等。

二、資料安全的特性

機密性(Confidentiality)

保密性(secrecy)，又稱機密性，是指個人或團體的資訊不為其他不應獲得者獲得。在電腦中，許多軟體包括郵件軟體、網路瀏覽器等，都有保密性相關的設定，用以維護使用者資訊的保密性，另外間諜檔案或駭客有可能會造成保密性的問題。

完整性(Integrity)

資料完整性是資訊保安的三個基本要點之一，指在傳輸、儲存資訊或資料的過程中，確保資訊或資料不被未授權的篡改或在篡改後能夠被迅速發現。在資訊保安領域使用過程中，常常和保密性邊界混淆。

以普通RSA對數值資訊加密為例，駭客或惡意使用者在沒有獲得金鑰破解密文的情況下，可以透過對密文進行線性運算，相應改變數值資訊的值。例如交易金額為X元，透過對密文乘2，可以使交易金額成為2X。也稱為可延展性(malleably)。為解決以上問題，通常使用數字簽名或雜湊函式對密文進行保護。

可用性(Availability)

資料可用性是一種以使用者為中心的設計概念，易用性設計的重點在於讓產品的設計能夠符合使用者的習慣與需求。以網際網路網站的設計為例，希望讓使用者在瀏覽的過程中不會產生壓力或感到挫折，並能讓使用者在使用網站功能時，能用最少的努力發揮最大的效能。

基於這個原因，任何有違資訊的“可用性”都算是違反資訊保安的規定。因此，世上不少國家，不論是美國還是中國都有要求保持資訊可以不受規限地流通的運動舉行。

資料安全的技術

1、使用者標識和鑑別：該方法由系統提供一定的方式讓使用者標識自己我們勺名字或身份。每次使用者要求進入系統時，由系統進行核對，透過鑑定後才提供系統的使用權。

2、存取控制：透過使用者許可權定義和合法權檢查確保只有合法許可權的使用者訪問資料庫，所有未被授權的人員無法存取資料。例如C2級中的自主存取控制(I)AC)，Bl級中的強制存取控制(M.AC)。

3、檢視機制：為不同的使用者定義檢視，透過檢視機制把要保密的資料對無權存取的使用者隱藏起來，從而自動地對資料提供一定程度的安全保護。

4、審計：建立審計日誌，把使用者對資料庫的所有操作自動記錄下來放人審計日誌中，DBA可以利用審計跟蹤的資訊，重現導致資料庫現有狀況的一系列事件，找出非法存取資料的人、時間和內容等。

5、資料加密：對儲存和傳輸的資料進行加密處理，從而使得不知道解密演算法的人無法獲知資料的內容。