5.1 数据安全概述

第1节数据安全概述第5章目录数据安全基础数据安全风险010201数据安全基础什么是数据？数据（data）是指对客观事件进行记录并可以鉴别的符号，是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。数据可以是连续的值，比如声音、图像等，我们称其为模拟数据；也可以是离散的，如符号、文字等，被称之为数字数据。概述例如，“0、1、2…”、“阴、雨、下降、气温”、“学生的档案记录、货物的运输情况”等都是数据。数据经过加工后就成为信息。《中华人民共和国数据安全法》第三条谈到：数据是指任何以电子或者其他方式对信息的记录。常见的数据分类方式个人数据01个人生活数据个人的成长经历信息、毕业院校、电话号码、微信号、年龄、婚配情况等02工作数据工作单位，工作岗位、目标管理、职业规划、工作任务、日程计划、通讯信息、邮件、工作日记、纸质和电子文档等03家庭数据本人在家庭中的关系，与本人有关的家庭成员，子女成长与教育信息、伴侣信息等等04家庭财产数据不动产、金融性资产、保险、债权和债务、股票或者其他投资等常见的数据分类方式企业数据SnapLogic（商业软件公司）的一项新研究表明，数据是公司的命脉，有效地进行数据管理可以提高企业收益。具有价值的三种企业数据企业经营数据客户数据、合作伙伴数据等01IT、技术数据源代码、核心技术、各类生产设备产生的数据02内部系统数据OA系统、ERP系统、财务系统、HR系统03常见的数据分类方式国家数据国家数据类型众多，涉及各行各业。包括政治数据、民生数据、国防数据等。有些数据为公开数据，但也存在秘密数据。根据《中华人民共和国保密法》第九条，我国秘密数据的密级分为“绝密”、“机密”、“秘密”三个等级。绝密是最重要的国家秘密，泄露会使国家安全和利益遭受特别严重的损害绝密机密是重要的国家秘密，泄露会使国家的安全和利益遭受严重的损害机密秘密是一般的国家秘密，泄露会使国家的安全和利益遭受损害秘密案例导入T-Mobile于2021年8月17日证实，其系统在3月18日遭到了网络犯罪攻击，数百万客户、前客户和潜在客户的数据因此泄密。T-Mobile表示，泄露的信息包括姓名、驾照、政府身份证号码、社会保障号码、出生日期、T-Mobile充值卡PIN、地址和电话号码。T-Mobile表示，不法分子利用了解技术系统的专长以及专门工具和功能，访问了该公司的测试环境，随后采用蛮力攻击及其他方法，进入到了含有客户数据的其他IT服务器。T-Mobile表示，它弄清楚了不法分子如何非法进入其服务器并关闭这些入口点。该公司表示，它将向所有可能受到影响的人提供为期两年的免费身份保护服务(迈克菲的身份窃取防护服务)。此外，T-Mobile表示为后付费客户提供帐户接管防护服务,这样一来，客户帐户更难被人以欺诈手段外泄和窃取。T-Mobile是一家跨国移动电话运营商，是德国电信的子公司，属于Freemove联盟。T-Mobile在西欧和美国运营GSM网络，并通过金融手段参与东欧和东南亚的网络运营。该公司拥有1.09亿用户，是世界上较大的移动电话公司之一。对于网络犯罪分子来说，这类公司具有较高价值。通信公司有义务保护好客户信息，需要在数据安全方面做更多功课。案例点评什么是数据安全？数据安全：指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。——《中华人民共和国数据安全法》定义数据安全包括数据处理安全、数据使用安全、数据存储安全等。数据安全要保证数据处理的全过程安全，包括数据的收集、存储、使用、加工、传输、提供、公开等全方面的安全。什么是数据安全？只要存在数据的地方就需要数据安全，各行各业已经将数据安全纳入其信息化建设中。范畴与价值现如今，数据安全威胁日益增多，数据安全建设越来越具有价值。数据是信息化潮流真正的主题，企业已经把关键数据视为正常运作的基础。数据安全范畴特别广，涉及工业、电信、交通、金融、资源、教育等等。哪里有数据产生，哪里就需要安全。数据安全体系的建立与完善，能保证企业稳定发展。范畴价值什么是数据安全？数据安全重要性保障数据安全和促进数据开发利用，可有效地维护网络安全、信息安全、系统安全、内容安全和信息物理融合系统安全，从而维护国家主权、国家安全。01数据安全与网络安全密切相关，是国家主权、国家安全的重要组成部分。02数据安全逐渐成为信息安全的核心。03数字经济时代，数据安全将成为数字经济的基础设施。02数据安全风险数据面临的常见安全风险虽然安全技术与其应用迅速发展，如防火墙、反病毒软件、入侵检测系统等安全软硬件都得到了广泛地应用，但依然不能杜绝数据安全相关事件的发生，数据面临的安全风险日益增长。常见风险数据存储媒介丢失或被盗员工故意或无意泄露黑客攻击非法爬取数据面临的常见安全风险原因主要有无意丢失、因管理不当被盗。如果丢失的数据存储媒介中包含机密的数据，非法者可能会将其出售，或利用数据牟利。数据存储媒介丢失2021年3月17日，杭州市富阳区某公司的员工汪先生因为监控设备异常，及时对位于消防控制室内的设备进行了检查维护，然而当设备维护安装人员打开设备机柜，眼前的一幕却让工作人员惊呆了，原本应该满满地安装着存储硬盘的柜子，只剩下一块硬盘孤零零的运作着，价值十多万的180多个硬盘设备竟然不翼而飞，企业第一时间报警，及时抓获嫌疑人员。数据面临的常见安全风险员工故意或无意泄露企业某些员工手中掌握大量机密信息和客户资料，将信息出售给企业的竞争对手或直接出售给黑客进行非法牟利。员工故意行为企业员工无意将一封包含机密信息的电子邮件，没有加密就发送给非授权用户，或者一些员工无意将企业的机密信息贴到自己的网络博客中导致数据泄露。员工无意行为今年央视3.15晚会上，揭露某些地方的移动公司员工将用户隐私信息出售的事件，就是一个非常明显的员工利用自身特权违反企业数据保护条例的行为。数据面临的常见安全风险黑客利用社工方式先获取某一访问权限，然后通过非常规的手段获得企业的机密数据。例如使用网络嗅探、中间人攻击等方式来得到在企业内部局域网中传输的机密数据。或者直接利用企业网站某漏洞，直接入侵到网站后台，窃取数据。黑客攻击2021年8月16日，广东某市中级人民法院曝光的一起案件：一位17岁小伙，利用黑客手段，让为5000余万用户提供服务的航空系统“停摆”4个小时。最终被判处有期徒刑四年。数据面临的常见安全风险爬虫技术愈发成熟与被滥用，数据安全风险加剧。通过爬虫技术，能在未授权的情况下获取海量数据，包括个人信息，用户信息，甚至商业机密等，数据保护难度增大。非法爬取2022年7月8日，小某书宣布正式对艺恩星数、常州积奇等几家公司提起民事诉讼，称这些公司利用不正当技术手段爬取小某书平台信息内容及数据，同时对爬取后的数据内容进行存储、加工并予以商业化利用，损害了用户及小某书公司的合法权益。请求法院责令其立即停止上述不正当竞争行为，并赔偿经济损失。数据安全防范策略常用的防范策略04050301电子邮件安全培训数据权限划分物联网管理存储介质管理双因素身份验证02数据安全防范策略流程展示文件资料的使用、存储、分发、销毁，如何做好防范措施，保障数据安全？生产数据、重要资料、客户个人信息等，需按照公司规定，经过审批，脱敏后才能使用。使用日常工作与业务中的重要文件或资料，应尽可能保存备份到公司公盘中的指定位置。将纸质敏感文件或内部资料存储在安全位置，例如将文件抽屉上锁或保存在保险柜中。存储公司的资料传输给公司其他人员或公司外部人员，需按照公司的数据等级规定进行分发。分发办公电脑数据资料清除前，必须对数据进行备份和验证，方可进行清除操作。商业文件的多余副