31-数据安全03-数据存储安全

数据存储安全教学目标了解数据存储安全面对的挑战理解存储媒体（介质）安全的含义和净化方式理解逻辑存储安全的含义和技术理解数据备份与恢复的含义和技术目录数据存储安全的挑战存储媒体（介质）安全逻辑存储安全数据备份与恢复数据存储安全的挑战数据存储安全的挑战硬件故障导致数据丢失介质残余数据泄漏

数据库风险导致数据泄漏、篡改敏感文件泄露无数据备份和无效备份目录数据存储安全的挑战存储媒体（介质）安全逻辑存储安全数据备份与恢复数据存储安全-存储媒体（介质）安全存储媒体（介质）安全的定义国家标准《数据安全能力成熟度模型》：

针对组织内需要对数据存储媒体进行访问和使用的场景，提供有效的技术和管理手段，防止对媒体的不当使用而可能引发的数据泄漏风险。

存储媒体包括终端设备及网络存储。数据存储安全-存储媒体（介质）安全数据存储介质

存储介质的当前常见类型，主要涉及磁盘、硬盘、U盘等。介质的来源介质购买和可信渠道介质的使用使用环节中，内容安全管理（流程图见下页）介质的销毁焚烧、粉碎、分析、化学溶解等数据存储安全-存储媒体（介质）安全安全级别低脱离机构控制清除销除验证记录结束验证验证介质利旧脱离机构控制安全级别中安全级别高介质利旧脱离机构控制销除销毁是否否否否是是是是目录数据存储安全的挑战存储媒体（介质）安全逻辑存储安全数据备份与恢复数据存储安全-逻辑存储安全逻辑存储安全的间接定义国家标准《数据安全能力成熟度模型》：“基于组织内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器等的有效安全控制。”数据存储安全-逻辑存储安全逻辑存储安全数据的种类：结构化数据、非结构化数据安全防护面：认证鉴权、访问控制、日志管理、安全策略、通信对象（通信矩阵）、安全加固、病毒防护、数据库加密、数据防泄露。数据存储安全-逻辑存储安全数据库加密数据泄漏主要源头合法合规要求网络安全法数据安全法个人信息保护法等级保护基本要求密码法GDPR数据存储安全-逻辑存储安全数据库加密示意图分级加密透明传输明文存储密文存储数据库引擎数据库接口

（JDBC

ODBCOCI……）应用程序数据库加解密服务密钥管理权限控制数据存储安全-逻辑存储安全数据库加密关键点加密存储定期更换加密密钥数字信封保护加密密钥（主密钥加密加密密钥）完整性保护，由业务操作者或对应设备的密钥进行数字签名。存储加密和签名时，用国密SM2/SM3/SM4数据存储安全-逻辑存储安全数据其它加密存储方式文件系统加密在操作系统的文件管理子系统层面上对文件进行加解密处理，通常是改造与文件管理子系统相关的操作系统内核驱动程序来实现。比如：windows的加密文件系统（EFS，EncryptingFileSystem）磁盘加密通过对磁盘进行加密，密钥保存在磁盘之外的地方，保障数据的安全性。比如：windows的BitLocker目录数据存储安全的挑战存储媒体（介质）安全逻辑存储安全数据备份与恢复数据存储安全-数据备份与恢复数据备份与恢复的定义国家标准《数据安全能力成熟度模型》：“通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。”数据存储安全-数据备份与恢复数据备份与恢复的定义《数据安全治理白皮书3.0》：“数据备份保护是指为防止因物理故障、操作失误或遭受攻击破坏导致数据不可用，而对生产位置的全部或部分数据集合制作一或多份副本并以某种方式保存到其它位置，以备在需要时重新加以恢复和利用的一个过程。”数据存储安全-数据备份与恢复数据备份与恢复技术多层次数据保护技术持续数据保护（CDP，Continuous

Data

Protextion）CDP分类基于文件的CDP基于块级的CDP基于应用级CDP数据存储安全