【信息安全】数据安全与信息安全

数据安全与信息安全的关系，是包含的关系，信息安全包括了数据安全与网络安全，数据安全主要是数据使用的安全。

数据安全

数据安全，《中华人民共和国数据安全法》第三条，给出了数据安全的定义，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

数据安全要保证数据处理的全过程安全，即数据生命周期的安全，从数据的收集到销毁的全过程。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全更倾向于，对数据的使用的安全。

1. 数据安全的三大要素——CIA

（1）机密性（Confidentiality）

又称保密性（secrecy）或机密性，指个人或组织的信息不被未授权者获得。

（2）完整性（Integrity）

完整性，指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被及时发现。

（3）可用性（Availability）

又称易用性，是以使用者为中心的设计概念，重点在于让产品的设计能够符合使用者的习惯与需求。或用户在需要使用对应的数据或系统时，能够得到满足。

 

2. 数据安全的威胁及应对

威胁来源	硬件损坏、人为误操作、黑客入侵、病毒入侵、信息窃取、自然灾害、电路故障、网络中断、电磁干扰
应对方式	磁盘阵列、数据备份、双机热备、数据迁移、异地容灾、SAN/NAS、数据库加密、硬盘加密

3. 数据安全技术（部分）

数字水印	数字水印可分为浮现式和隐藏式两种，前者是可见的水印，其所包含的信息可在观看图片或影片时同时被看见。
网络防火墙	访问控制
数字签名	验证数据完整性
数据加密	对称加密、非对称加密、不可逆加密
传输安全	MD5、SHA安全Hash算法
身份认证	口令认证、数字证书

信息安全

信息安全，ISO（国际标准化组织）的定义是：为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

信息安全，通过对数据处理系统环境的管理，来降低数据被破坏、泄露的风险。

信息安全更倾向于，对信息安全管理上的安全。

1. 信息安全六大指标

（1）保密性

允许有权限的用户访问网络信息，拒绝无权限用户的访问申请。

（2）完整性

能够有效阻挡非法与垃圾信息，提升整个系统的安全性。

（3）可用性

在系统遭受破坏时快速恢复信息资源，满足用户的使用需求。

（4）授权性

在访问系统之前需要获得授权。

（5）认证性

在用户访问系统之前进行认证，确认对象身份

（6）不可抵赖性

记录用户在系统中的操作，无法抵赖用户进行过的操作。

2. 信息安全风险及相关应对

WEB	注入攻击	攻击者通过SQL注入、SSl注入，获得后台管理权限
	XSS跨站脚本	遭受cookie欺骗，网页挂马攻击
	网页挂马	网页被黑客非法植入了木马程序
	源代码泄露	源代码泄露，攻击者可下载源代码
	上传漏洞	上传功能存在漏洞，攻击者利用漏洞上传木马
	数据库泄露	攻击者通过暴库等方式，可以非法下载网站数据库
	弱口令	口令强度不足，被恶意破解的可能性提高
网络防护	结构安全	设备的业务处理能力具备冗余空间，满足业务高峰期需要
	网络访问控制	不允许数据带通用协议通过
	拨号访问控制	不开放远程拨号访问功能
	网络安全审计	记录网络设备的运行状况、网络流量、用户行为等事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息。
	网络入侵防范	在网络边界进行监视，包括端口扫描，后门攻击，蠕虫攻击等
主机防护	身份鉴定	登录操作系统和数据库系统的用户进行身份标识和鉴别
	主动访问控制	依据安全策略控制主体对客体的访问
	强制访问控制	对重要信息资源和访问重要信息资源的所有主体设置敏感标记
	安全审计	审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；审计内容包括系统内重要的安全相关事件
	信息保护	确保存储空间再次使用时，数据被完全清楚，无法恢复，能够检测入侵，确保记录入侵源IP，攻击类型、目的、时间等
	恶意代码防范	安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库

---------------------------------------------------------------------------------------------------------------------------------

如有错漏，欢迎指正