数据安全管理办法
《数据安全管理办法》是为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规而制定的部门规章
数据安全包括哪些内容?
1.第一层是指系统运行安全,系统运行安全通常受到的威胁如下,一些网络不法分子通过网络,局域网等途径通过入侵电脑使系统无法正常启动,或超负荷让机子运行大量算法,并关闭cpu风扇,使cpu过热烧坏等破坏性活动;
2.第二层是指系统信息安全,系统安全通常受到的威胁如下,黑客对数据库入侵,并盗取想要的资料。数据库系统的安全特性主要是针对数据而言的,包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。
数据安全等级分类
根据影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。(个人金融信息保护技术规范中定为C3、C2、C1类,分别对应4、3、2级)
数据安全的重要性和意义
数据安全是指通过采取必要措施,保障数据得到有效保护和合法利用,并使数据持续处于安全状态的能力。与网络安全不同,数据安全的核心在于保障数据的安全与合法有序流动。当前,数据作为新型生产要素,正深刻影响着国家经济社会的发展。数据安全保障能力是国家竞争力的直接体现,数据安全是国家安全的重要方面,也是促进数字经济健康发展、提升国家治理能力的重要议题。
数据安全的定义
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此计算机网络的安全可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
数据安全技术包括哪些?
安全技术严格地讲仅包含3类:隐藏、访问控制、密码学。
密码学(在西欧语文中之源于希腊语kryptós,“隐藏的”,和gráphein,“书写”)是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。密码学者Ron Rivest解释道:“密码学是关于如何在敌人存在的环境中通讯”,自工程学的角度,这相当于密码学与纯数学的异同。密码学是信息安全等相关议题,如认证、访问控制的核心。密码学的首要目的是隐藏信息的涵义,并不是隐藏信息的存在。密码学也促进了计算机科学,特别是在于电脑与网络安全所使用的技术,如访问控制与信息的机密性。密码学已被应用在日常生活:包括自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。
数据加密技术是最基本的安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法会被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。
根据密钥类型不同可以把现代密码技术分为对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。在对称加密算法中,数据加密和解密采用的都是同一个密钥,因而其安全性依赖于所持有密钥的安全性。对称加密算法的主要优点是加密和解密速度快,加密强度高,且算法公开,但其最大的缺点是实现密钥的秘密分发困难,在大量用户的情况下密钥管理复杂,而且无法完成身份认证等功能,不便于应用在网络开放的环境中。最著名的对称加密算法有数据加密标准DES和欧洲数据加密标准IDEA等,加密强度最高的对称加密算法是高级加密标准AES。
对称加密算法、非对称加密算法和不可逆加密算法可以分别应用于数据加密、身份认证和数据安全传输。
数据安全案例有哪些?
1、OneMoreLead
影响人数6300万。发现时间2021年8月
事件概要:vpnMentor的研究团队在8月份发现, B2B 营销公司 OneMoreLead 将至少6300万美国人的私人数据存储在一个不安全数据库中,该公司任由此数据库完全敞开。该数据库包含列出的每个人的基本个人身份信息数据,以及有关其工作和雇主的类似数据和信息。这些信息很可能被提供给注册其 B2B 营销服务的客户或顾客。vpnMentor 看到了数据库中大量的 .gov 和纽约警察局电子邮件地址,这让黑客有可能渗透到原本安全的高级政府机构。vpnMentor 表示,政府和警察部门成员的私人数据如同从事犯罪活动的黑客眼里的金矿,可能导致重大的国家安全事件,使公众严重丧失对政府的信任。据 vpnMentor 称,姓名、电子邮件地址和工作场所信息暴露在任何拥有网络浏览器的人面前。
2. T-Mobile
影响人数4780万。发现时间2021年8月
事件概要:T-Mobile 于 8 月 17 日证实,其系统在 3 月18 日遭到了网络犯罪攻击,数百万客户、前客户和潜在客户的数据因此泄密。T-Mobile 表示,泄露的信息包括姓名、驾照、政府身份证号码、社会保障号码、出生日期、 T-Mobile 充值卡 PIN 、地址和电话号码。T-Mobile表示,不法分子利用了解技术系统的专长以及专门工具和功能,访问了该公司的测试环境,随后采用蛮力攻击及其他方法,进入到了含有客户数据的其他 IT 服务器。T-Mobile 表示,它弄清楚了不法分子如何非法进入其服务器并关闭这些入口点。该公司表示,它将向所有可能受到影响的人提供为期两年的免费身份保护服务(迈克菲的身份窃取防护服务)。此外, T-Mobile 表示为后付费客户提供帐户接管防护服务,这样一来,客户帐户更难被人以欺诈手段外泄和窃取。
3、未知的营销数据库
影响人数3500万。发现时间2021年6月。数据内容:个人信息
事件概要:Comparitech研究人员在7月29日报告,一个含有估计3500万个人详细信息的神秘营销数据库泄露在网上,居然未设密码。该数据库包括姓名、联系信息、家庭住址、种族以及众多的人口统计信息(包括爱好、兴趣、购物习惯和媒体消费等)。相关样本显示,大多数记录与芝加哥、洛杉矶和圣迭戈这些大城市的居民有关。据 Comparitech 声称,凡是拥有网络浏览器和互联网连接的人都可以访问数据库全部内容,里面含有的信息可用于有针对性的垃圾邮件和诈骗活动以及网络钓鱼。Comparitech网络安全研究团队在6月26日发现了该数据库,尽管使出了浑身解数,还是无法确定该数据库归谁所有。该公司联系了托管该数据库服务器的亚马逊网络服务(AWS),要求撤下数据库,不过,该数据在7月27日之前仍可以访问。
