詳細介紹DSMM之數據傳輸安全

時間 2020-03-22

標籤詳細介紹 dsmm 數據傳輸安全欄目系統網絡简体版

原文原文鏈接

1、定義前端

數據傳輸安全是對數據進行網絡傳輸的安全的管理，這是數據安全重要的階段，也是發生數據安全事件，如數據泄露、竊取、篡改等比較頻繁的過程，因此該階段的重要性不言而喻。算法

該過程包含四個過程域，分別爲：數據傳輸加密和網絡可用性管理。安全

1.1數據傳輸加密網絡

官方描述爲根據組織機構內部和外部的數據傳輸要求，採用適當的加密保護措施，保證傳輸通道、傳輸節點和傳輸數據的安全，防止傳輸過程當中數據被截取所引起的數據泄漏。架構

數據在經過不可信或者較低安全性的網絡進行傳輸時，容易發生數據被竊取、僞造和篡改等安全風險，所以須要創建相關的安全防禦措施，保障數據在傳輸過程當中的安全性，而加密是保證數據安全的經常使用手段。負載均衡

DSMM標準在充分定義級要求以下：工具

組織建設性能

組織機構設立了管理數據加密、密鑰管理的崗位和人員，負責總體的加密原則和技術工做，由各業務的技術團隊負責實現具體場景下的數據傳輸加密。加密

在DSMM的要求中這個幾乎都是同樣的，每一個過程域都須要指定專人和專崗負責該項工做，並可以勝任此工做。在實際工做中，可能全部的過程域在這個維度上都是一樣的一個或多我的，能夠單獨任命，也能夠在相應的制度章節中進行說明。spa

制度流程：

創建數據傳輸安全管理規範，明確數據傳輸安全要求（如傳輸通道加密、數據內容加密、簽名驗籤、身份鑑別、數據傳輸接口安全等），肯定須要對數據傳輸加密的場景。

創建密鑰管理安全規範，明確密鑰生成、分發、存取、更新、備份和銷燬的流程和要求。

技術工具：

有對傳輸通道兩端進行主體身份鑑別和認證的技術方案和工具。

有對傳輸數據加密的技術方案和工具，包括針對關鍵的數據傳輸通道統一部署傳輸通道加密方案（如採用TLS/SSL方式），及對傳輸數據內容進行加密。

有對傳輸數據的完整性進行檢測並執行恢復控制的技術方案和工具。

有對數據傳輸安全策略的變動進行審覈和監控的技術方案和工具，已部署對通道安全配置、密碼算法配置、密鑰管理等保護措施進行審覈及監控的技術工具。

已建設密鑰管理系統提供數據的加密解密、簽名驗籤等功能，並實現對密鑰的全生命週期（生成、存儲、使用、分發、更新、銷燬）的安全管理。

人員能力：

瞭解主流的安全通道和可信通道創建方案、身份鑑別和認證技術、數據加密算法和國家推薦的數據加密算法，基於具體業務場景選擇合適的數據傳輸安全管理方式。

負責該項工做的人員瞭解數據加密的算法，並可以基於具體的業務場景選擇合適的加密技術。

如下是在數據傳輸加密過程當中具體落地應該重點關注的內容。

創建數據傳輸安全管理規範，明確數據傳輸安全要求（如傳輸通道加密、數據內容加密、簽名驗籤、身份鑑別、數據傳輸接口安全等），肯定須要對數據傳輸加密的場景。
須要加密的場景應該根據國家法律法規要求、行業監管部門要求及單位自身業務數據的保密性和完整性要求。結合數據分類分級的內容，一般包括但不限於系統管理數據、鑑別信息、重要業務數據和重要我的隱私等完整性和保密性要求高的數據。
因爲加密技術的實現都依賴密鑰，因此須要創建密鑰管理安全規範和密鑰管理系統，明確密鑰的生成、分發、存取、更新、備份和銷燬的流程。即什麼安全級別的數據，應該採起什麼加密算法（國密算法仍是國際算法，對稱加密算法、非對稱加密算法仍是哈希算法）以及使用多少位強度的密鑰，密鑰的有效期是多久，怎麼備份密鑰，怎麼刪除密鑰等一系列內容。
在選擇加密類型及密鑰強度時須要結合業務類型和網絡現狀，有選擇地實行加密，避免對業務形成影響。
對於負責加密策略配置和密鑰管理的人員，必須有一個審覈監督機制，確保其加密算法的配置和變動都是獲得受權和承認的，目前一般採用堡壘機的方式進行監督管理。

1.2網絡可用性管理

官方描述爲經過網絡基礎鏈路、關鍵網絡設備的備份建設，實現網絡的高可用性，從而保證數據傳輸過程的穩定性。

數據在網絡傳輸過程當中依賴網絡的可用性，一旦發生網絡故障或者癱瘓，數據傳輸也會受到影響甚至中斷。

DSMM標準在充分定義級要求以下：

制度流程：

在關鍵的業務網絡架構應考慮網絡的可用性建設需求，對關鍵的網絡傳輸鏈路、網絡設備節點實行冗餘建設。

技術工具：

部署負載均衡、防入侵攻擊等設備進一步強化對網絡可用性風險的防範

人員能力：

負責該項工做的人員具備網絡安全管理的能力，瞭解網絡安全中對可用性的安全需求，可以根據不一樣業務對網絡性能需求制定有效的可用性安全防禦方案。