数据安全性是指在数字信息的整个生命周期中保护数字信息不受未经授权的访问、损坏或盗窃。这个概念涵盖了信息安全的各个方面,从硬件和存储设备的物理安全到管理和访问控制,以及软件应用程序的逻辑安全。
数据安全涉及部署工具和技术,以增强组织对其关键数据所在位置及其使用方式的可见性。理想情况下,这些工具应该能够应用加密、数据屏蔽和敏感文件编辑等保护措施,并且应该自动报告以简化审计并遵守监管要求。
近年来,国内数字经济和信息产业蓬勃发展,5G、大数据、人工智能、区块链等技术不断落地应用。2020年我国数字经济规模达到39.2万亿元,占GDP比重达38.6%。新业态新技术在推动经济转型升级的同时,数据规模不断扩大,数据泄露、滥用等风险日益凸显,防范数据安全风险、构建数据安全保护体系成为各方共识。
数字化转型正在深刻改变当今企业运营和竞争的方方面面。企业创建、控制和存储的数据量正在不断增长,对数据治理提出了更大需求。此外,计算环境比以往更加复杂,通常跨越公共云、企业数据中心以及从物联网传感器到机器人和远程服务器的众多边缘设备,这种复杂性使得攻击面扩大,这对监控和保护更具挑战性。
数据安全性的类型包括加密、数据擦除、数据屏蔽和数据安全永续性。
其中,加密是指使用算法将普通文本字符转换为不可读的格式,加密密钥对数据进行加扰,只有授权用户才能阅读。文件和数据库加密解决方案是通过加密或令牌化隐藏其内容。大多数解决方案还包括安全密钥管理功能。
数据擦除是一种更安全的解决方案,它能够使用软件完全覆盖任何存储设备上的数据,还能验证数据是否不可恢复。
数据屏蔽是通过屏蔽数据,组织可以允许团队使用真实数据开发应用程序或培训人员。它在必要时屏蔽个人识别信息,以便在合规的环境中进行开发。
数据安全永续性取决于组织承受任何类型故障或从任何类型故障中恢复的能力——从硬件问题到电力短缺和其他影响数据可用性的事件。恢复速度对于最大限度降低影响至关重要。
1、数据安全:通过管理和技术措施,确保数据有效保护和合规使用状态。
2、保密性:使信息不泄露给未授权的个人、实体、进程、或不被其利用的特性。
3、完整性:准确和完备的特性。
4、可用性:已授权实体一旦需要就可访问和使用的数据和资源的特性。
5、数据安全能力:组织在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障。
6、能力成熟度:对一个组织有条理的持续改进能力以及实现特性过程的连续性、可持续性、有效性和可信度的水平。
7、能力成熟度模型:对一个组织的能力成熟度进行度量的模型,包括一系列代表能力和进展的特征、属性、指示或者模式。
注:能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准,并设置明确的提升目标。
8、安全过程:用于实现某一安全目标的完整过程,该过程包含输入与输出。
示例:"安全审计"这一安全过程,输入是系统日志,输出是审计报告。
9、过程域:实现同一安全目标的相关数据安全基本实践的集合。
注:一个过程域中包含一个或多个基本实践。
示例:"元数据管理"这一过程域,包含建立元数据管理规范、建立元数据访问控制策略、建立元数据技术工具等基本实践。
10、基本实践:实现某一安全目标的数据安全相关活动。
示例:建立数据资产清单,对数据资产进行分类分级管理等。
11、通用实践:在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则。
12、数据脱敏:通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。
13、数据处理:对原始数据进行抽取、转换、加载的过程。
注1:数据处理包括开发数据产品或数据分析等。
注2:数据产品包括但不限于能发访问原始数据,提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软硬件产品。
14、数据供应链:为满足数据供应关系,通过资源和过程将需方、供方相互关联的结构。
15、规程:对执行一个给定任务所采取动作历程的书面描述。
16、合规:对数据安全所适用的法律法规的符合程度。