数据安全建设过程中怎样处理数据环境安全

PA13数据处理环境安全

过程域设定背景和目标

数据处理的安全是指如何有效的防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、 人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象，某些敏感或保密的数据可能 不具备资格的人员或操作员阅读，而造成数据泄密等后果。本过程域设定用于保护数据在处理过程中不被 损坏、丢失或窃取，建立数据处理的环境保护机制，保障数据处理过程中有完整的安全管理和技术支持。
过程域具体标准要求解读

该过程域要求组织机构采用统一的数据计算、开发平台，确保数据在处理过程中的安全性。为数据处 理环境建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破 坏、更改和泄露。

制度流程：

——建立统一的数据计算、开发平台，在平台上实现统一的安全管理措施。
——在平台的设计、开发和运维阶段都需要相应的安全技术控制手段，来实现对平台全生命周期的风险管理。

技术工具：
——需要同步和联动数据处理平台和数据权限管理平台的权限设置，确保用户在使用数据处理平台前已经获得数据权限管理平台的授权。
——针对大数据处理平台多租户的特性，需要对租户之间进行逻辑隔离，确保该租户在平台中的数据、系统功能、会话、调度和运营环境等资源独立运行。
——要在数据处理的同时设置日志管理工具，针对用户的数据处理操作进行记录和审计，为后续的事件追溯提供依据。
——基于云平台的数据处理平台，还要通过伪装风险监测、恶意篡改监测技术来保障各个工作环节的功能稳定。

过程域充分定义级实施指南

通过数据处理平台进行统一管理，采取严格的访问控制、监控审计和职责分离来确保数据处理安全。 Ø 网络访 问控制

1.网络隔离

平台对生产数据网络与非生产数据网络进行安全隔离，从非生产网络不能直接访问生产网络的任何服 务器和网络设备，也就不能从非生产网络发起对生产网络的攻击。

租户之间网络及设备进行安全隔离，内部无法直接访问租户间的服务器和网络设备。

2.堡垒机

为了平衡效率和安全性，在运维入口部署了堡垒机，只允许办公网的运维人员可以快速通过堡垒机进 入数据处理平台进行运维管理。

运维人员登录堡垒机时使用域账号密码加动态口令方式进行双因素认证。堡垒机使用高强度加密算法 保障运维通道数据传输的机密性和完整性。

3.远程运维

不在公司的员工提供远程运维通道。运维人员预先申请VPN接入公司办公网之后访问堡垒机的权限。 VPN拨入公司办公网络的接入区时使用域账号密码加动态口令方式进行双因素认证。再从办公网接入区访 问堡垒机。VPN使用高强度加密算法保障运维通道数据传输的机密性和完整性。

Ø 账号管理和身份认证

数据处理平台使用统一的账号管理和身份认证系统。每个员工存在唯一的账号。账号的唯一性保证了 审计时可以定位到个人。集中下发密码策略，强制要求员工设置符合密码长度、复杂度要求的密码，并定 期修改密码。账号管理和身份认证的集中，使得其他信息系统不需要管理身份信息，也不需要保存多余的 账号密码，从而降低了应用的复杂性，提高了账号的安全性。账号管理与授权管理分离还可以防止私建账 号越权操作行为。

Ø 授权

数据权限管理平台统一的权限申请和授权管理系统。基于员工工作岗位和角色，遵循最小权限和职责 分离原则，授予员工有限的资源访问权限。员工根据工作需要通过权限管理平台申请VPN访问权限、堡垒 机访问权限、管控平台以及生产系统访问权限，经主管、数据或系统所有者、安全管理员以及相关部门审 批后，进行授权。

运维和审计实施职责分离，由安全管理部门负责审计。数据库管理员和系统管理员由不同的人担任。 适当的职责分离能有效防止权限滥用和审计失效。

Ø 监控

使用自动化监控系统对云平台网络设备、服务器、数据库、应用集群以及核心业务进行全面实时监控。 监控系统展示云平台关键运营指标，并可配置告警阈值，当关键运营指标超过设置的告警阈值时，自动通 知运维和管理人员。

Ø 审计

员工对数据处理平台的所有运维操作必须且只能通过堡垒机进行。所有操作过程完整记录下来实时传 输到集中日志平台。堡垒机对于Linux操作记录所有命令行，对于Windows操作录屏并记录键盘操作。

员工需要通过数据处理平台唯一的数据权限管理账号对数据进行处理、访问和使用，所有的操作及过 程都会完整的记录下来实时传输到集中日志平台。

l 标准参考：

——GB∕T 35274-2017《信息安全技术 大数据服务安全能力要求》6.4 节“数据处理”

参考资料

数据安全能力建设实施指南 V1.0(征求意见稿)