5.1 數(shù)據(jù)安全概述

第1節(jié)數(shù)據(jù)安全概述第5章目錄數(shù)據(jù)安全基礎(chǔ)數(shù)據(jù)安全風(fēng)險010201數(shù)據(jù)安全基礎(chǔ)什么是數(shù)據(jù)？數(shù)據(jù)（data）是指對客觀事件進行記錄并可以鑒別的符號，是對客觀事物的性質(zhì)、狀態(tài)以及相互關(guān)系等進行記載的物理符號或這些物理符號的組合。數(shù)據(jù)可以是連續(xù)的值，比如聲音、圖像等，我們稱其為模擬數(shù)據(jù)；也可以是離散的，如符號、文字等，被稱之為數(shù)字?jǐn)?shù)據(jù)。概述例如，“0、1、2…”、“陰、雨、下降、氣溫”、“學(xué)生的檔案記錄、貨物的運輸情況”等都是數(shù)據(jù)。數(shù)據(jù)經(jīng)過加工后就成為信息?！吨腥A人民共和國數(shù)據(jù)安全法》第三條談到：數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄。常見的數(shù)據(jù)分類方式個人數(shù)據(jù)01個人生活數(shù)據(jù)個人的成長經(jīng)歷信息、畢業(yè)院校、電話號碼、微信號、年齡、婚配情況等02工作數(shù)據(jù)工作單位，工作崗位、目標(biāo)管理、職業(yè)規(guī)劃、工作任務(wù)、日程計劃、通訊信息、郵件、工作日記、紙質(zhì)和電子文檔等03家庭數(shù)據(jù)本人在家庭中的關(guān)系，與本人有關(guān)的家庭成員，子女成長與教育信息、伴侶信息等等04家庭財產(chǎn)數(shù)據(jù)不動產(chǎn)、金融性資產(chǎn)、保險、債權(quán)和債務(wù)、股票或者其他投資等常見的數(shù)據(jù)分類方式企業(yè)數(shù)據(jù)SnapLogic（商業(yè)軟件公司）的一項新研究表明，數(shù)據(jù)是公司的命脈，有效地進行數(shù)據(jù)管理可以提高企業(yè)收益。具有價值的三種企業(yè)數(shù)據(jù)企業(yè)經(jīng)營數(shù)據(jù)客戶數(shù)據(jù)、合作伙伴數(shù)據(jù)等01IT、技術(shù)數(shù)據(jù)源代碼、核心技術(shù)、各類生產(chǎn)設(shè)備產(chǎn)生的數(shù)據(jù)02內(nèi)部系統(tǒng)數(shù)據(jù)OA系統(tǒng)、ERP系統(tǒng)、財務(wù)系統(tǒng)、HR系統(tǒng)03常見的數(shù)據(jù)分類方式國家數(shù)據(jù)國家數(shù)據(jù)類型眾多，涉及各行各業(yè)。包括政治數(shù)據(jù)、民生數(shù)據(jù)、國防數(shù)據(jù)等。有些數(shù)據(jù)為公開數(shù)據(jù)，但也存在秘密數(shù)據(jù)。根據(jù)《中華人民共和國保密法》第九條，我國秘密數(shù)據(jù)的密級分為“絕密”、“機密”、“秘密”三個等級。絕密是最重要的國家秘密，泄露會使國家安全和利益遭受特別嚴(yán)重的損害絕密機密是重要的國家秘密，泄露會使國家的安全和利益遭受嚴(yán)重的損害機密秘密是一般的國家秘密，泄露會使國家的安全和利益遭受損害秘密案例導(dǎo)入T-Mobile于2021年8月17日證實，其系統(tǒng)在3月18日遭到了網(wǎng)絡(luò)犯罪攻擊，數(shù)百萬客戶、前客戶和潛在客戶的數(shù)據(jù)因此泄密。T-Mobile表示，泄露的信息包括姓名、駕照、政府身份證號碼、社會保障號碼、出生日期、T-Mobile充值卡PIN、地址和電話號碼。T-Mobile表示，不法分子利用了解技術(shù)系統(tǒng)的專長以及專門工具和功能，訪問了該公司的測試環(huán)境，隨后采用蠻力攻擊及其他方法，進入到了含有客戶數(shù)據(jù)的其他IT服務(wù)器。T-Mobile表示，它弄清楚了不法分子如何非法進入其服務(wù)器并關(guān)閉這些入口點。該公司表示，它將向所有可能受到影響的人提供為期兩年的免費身份保護服務(wù)(邁克菲的身份竊取防護服務(wù))。此外，T-Mobile表示為后付費客戶提供帳戶接管防護服務(wù),這樣一來，客戶帳戶更難被人以欺詐手段外泄和竊取。T-Mobile是一家跨國移動電話運營商，是德國電信的子公司，屬于Freemove聯(lián)盟。T-Mobile在西歐和美國運營GSM網(wǎng)絡(luò)，并通過金融手段參與東歐和東南亞的網(wǎng)絡(luò)運營。該公司擁有1.09億用戶，是世界上較大的移動電話公司之一。對于網(wǎng)絡(luò)犯罪分子來說，這類公司具有較高價值。通信公司有義務(wù)保護好客戶信息，需要在數(shù)據(jù)安全方面做更多功課。案例點評什么是數(shù)據(jù)安全？數(shù)據(jù)安全：指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?！吨腥A人民共和國數(shù)據(jù)安全法》定義數(shù)據(jù)安全包括數(shù)據(jù)處理安全、數(shù)據(jù)使用安全、數(shù)據(jù)存儲安全等。數(shù)據(jù)安全要保證數(shù)據(jù)處理的全過程安全，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等全方面的安全。什么是數(shù)據(jù)安全？只要存在數(shù)據(jù)的地方就需要數(shù)據(jù)安全，各行各業(yè)已經(jīng)將數(shù)據(jù)安全納入其信息化建設(shè)中。范疇與價值現(xiàn)如今，數(shù)據(jù)安全威脅日益增多，數(shù)據(jù)安全建設(shè)越來越具有價值。數(shù)據(jù)是信息化潮流真正的主題，企業(yè)已經(jīng)把關(guān)鍵數(shù)據(jù)視為正常運作的基礎(chǔ)。數(shù)據(jù)安全范疇特別廣，涉及工業(yè)、電信、交通、金融、資源、教育等等。哪里有數(shù)據(jù)產(chǎn)生，哪里就需要安全。數(shù)據(jù)安全體系的建立與完善，能保證企業(yè)穩(wěn)定發(fā)展。范疇價值什么是數(shù)據(jù)安全？數(shù)據(jù)安全重要性保障數(shù)據(jù)安全和促進數(shù)據(jù)開發(fā)利用，可有效地維護網(wǎng)絡(luò)安全、信息安全、系統(tǒng)安全、內(nèi)容安全和信息物理融合系統(tǒng)安全，從而維護國家主權(quán)、國家安全。01數(shù)據(jù)安全與網(wǎng)絡(luò)安全密切相關(guān)，是國家主權(quán)、國家安全的重要組成部分。02數(shù)據(jù)安全逐漸成為信息安全的核心。03數(shù)字經(jīng)濟時代，數(shù)據(jù)安全將成為數(shù)字經(jīng)濟的基礎(chǔ)設(shè)施。02數(shù)據(jù)安全風(fēng)險數(shù)據(jù)面臨的常見安全風(fēng)險雖然安全技術(shù)與其應(yīng)用迅速發(fā)展，如防火墻、反病毒軟件、入侵檢測系統(tǒng)等安全軟硬件都得到了廣泛地應(yīng)用，但依然不能杜絕數(shù)據(jù)安全相關(guān)事件的發(fā)生，數(shù)據(jù)面臨的安全風(fēng)險日益增長。常見風(fēng)險數(shù)據(jù)存儲媒介丟失或被盜員工故意或無意泄露黑客攻擊非法爬取數(shù)據(jù)面臨的常見安全風(fēng)險原因主要有無意丟失、因管理不當(dāng)被盜。如果丟失的數(shù)據(jù)存儲媒介中包含機密的數(shù)據(jù)，非法者可能會將其出售，或利用數(shù)據(jù)牟利。數(shù)據(jù)存儲媒介丟失2021年3月17日，杭州市富陽區(qū)某公司的員工汪先生因為監(jiān)控設(shè)備異常，及時對位于消防控制室內(nèi)的設(shè)備進行了檢查維護，然而當(dāng)設(shè)備維護安裝人員打開設(shè)備機柜，眼前的一幕卻讓工作人員驚呆了，原本應(yīng)該滿滿地安裝著存儲硬盤的柜子，只剩下一塊硬盤孤零零的運作著，價值十多萬的180多個硬盤設(shè)備竟然不翼而飛，企業(yè)第一時間報警，及時抓獲嫌疑人員。數(shù)據(jù)面臨的常見安全風(fēng)險員工故意或無意泄露企業(yè)某些員工手中掌握大量機密信息和客戶資料，將信息出售給企業(yè)的競爭對手或直接出售給黑客進行非法牟利。員工故意行為企業(yè)員工無意將一封包含機密信息的電子郵件，沒有加密就發(fā)送給非授權(quán)用戶，或者一些員工無意將企業(yè)的機密信息貼到自己的網(wǎng)絡(luò)博客中導(dǎo)致數(shù)據(jù)泄露。員工無意行為今年央視3.15晚會上，揭露某些地方的移動公司員工將用戶隱私信息出售的事件，就是一個非常明顯的員工利用自身特權(quán)違反企業(yè)數(shù)據(jù)保護條例的行為。數(shù)據(jù)面臨的常見安全風(fēng)險黑客利用社工方式先獲取某一訪問權(quán)限，然后通過非常規(guī)的手段獲得企業(yè)的機密數(shù)據(jù)。例如使用網(wǎng)絡(luò)嗅探、中間人攻擊等方式來得到在企業(yè)內(nèi)部局域網(wǎng)中傳輸?shù)臋C密數(shù)據(jù)?；蛘咧苯永闷髽I(yè)網(wǎng)站某漏洞，直接入侵到網(wǎng)站后臺，竊取數(shù)據(jù)。黑客攻擊2021年8月16日，廣東某市中級人民法院曝光的一起案件：一位17歲小伙，利用黑客手段，讓為5000余萬用戶提供服務(wù)的航空系統(tǒng)“停擺”4個小時。最終被判處有期徒刑四年。數(shù)據(jù)面臨的常見安全風(fēng)險爬蟲技術(shù)愈發(fā)成熟與被濫用，數(shù)據(jù)安全風(fēng)險加劇。通過爬蟲技術(shù)，能在未授權(quán)的情況下獲取海量數(shù)據(jù)，包括個人信息，用戶信息，甚至商業(yè)機密等，數(shù)據(jù)保護難度增大。非法爬取2022年7月8日，小某書宣布正式對藝恩星數(shù)、常州積奇等幾家公司提起民事訴訟，稱這些公司利用不正當(dāng)技術(shù)手段爬取小某書平臺信息內(nèi)容及數(shù)據(jù)，同時對爬取后的數(shù)據(jù)內(nèi)容進行存儲、加工并予以商業(yè)化利用，損害了用戶及小某書公司的合法權(quán)益。請求法院責(zé)令其立即停止上述不正當(dāng)競爭行為，并賠償經(jīng)濟損失。數(shù)據(jù)安全防范策略常用的防范策略04050301電子郵件安全培訓(xùn)數(shù)據(jù)權(quán)限劃分物聯(lián)網(wǎng)管理存儲介質(zhì)管理雙因素身份驗證02數(shù)據(jù)安全防范策略流程展示文件資料的使用、存儲、分發(fā)、銷毀，如何做好防范措施，保障數(shù)據(jù)安全？生產(chǎn)數(shù)據(jù)、重要資料、客戶個人信息等，需按照公司規(guī)定，經(jīng)過審批，脫敏后才能使用。使用日常工作與業(yè)務(wù)中的重要文件或資料，應(yīng)盡可能保存?zhèn)浞莸焦竟P中的指定位置。將紙質(zhì)敏感文件或內(nèi)部資料存儲在安全位置，例如將文件抽屜上鎖或保存在保險柜中。存儲公司的資料傳輸給公司其他人員或公司外部人員，需按照公司的數(shù)據(jù)等級規(guī)定進行分發(fā)。分發(fā)辦公電腦數(shù)據(jù)資料清除前，必須對數(shù)據(jù)進行備份和驗證，方可進行清除操作。商業(yè)文件的多余副