數據安全

常見問題

• 數據安全管理辦法

  《數據安全管理辦法》是為了維護國家安全、社會公共利益，保護公民、法人和其他組織在網絡空間的合法權益，保障個人信息和重要數據安全，根據《中華人民共和國網絡安全法》等法律法規而制定的部門規章

• 數據安全包括哪些內容？

  1.第一層是指系統運行安全，系統運行安全通常受到的威脅如下，一些網絡不法分子通過網絡，局域網等途徑通過入侵電腦使系統無法正常啟動，或超負荷讓機子運行大量算法，并關閉cpu風扇，使cpu過熱燒壞等破壞性活動；
  2.第二層是指系統信息安全，系統安全通常受到的威脅如下，黑客對數據庫入侵，并盜取想要的資料。數據庫系統的安全特性主要是針對數據而言的，包括數據獨立性、數據安全性、數據完整性、并發控制、故障恢復等幾個方面。

• 數據安全等級分類

  根據影響程度,將數據安全級別從高到低劃分為5級、4級、3級、2級、1級。(個人金融信息保護技術規范中定為C3、C2、C1類,分別對應4、3、2級)
  數據安全的重要性和意義
  數據安全是指通過采取必要措施，保障數據得到有效保護和合法利用，并使數據持續處于安全狀態的能力。與網絡安全不同，數據安全的核心在于保障數據的安全與合法有序流動。當前，數據作為新型生產要素，正深刻影響著國家經濟社會的發展。數據安全保障能力是國家競爭力的直接體現，數據安全是國家安全的重要方面，也是促進數字經濟健康發展、提升國家治理能力的重要議題。

• 數據安全的定義

  國際標準化組織（ISO）對計算機系統安全的定義是：為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此計算機網絡的安全可以理解為：通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。所以，建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等。

• 數據安全技術包括哪些？

  安全技術嚴格地講僅包含3類：隱藏、訪問控制、密碼學。
  密碼學（在西歐語文中之源于希臘語kryptós，“隱藏的”，和gráphein，“書寫”）是研究如何隱密地傳遞信息的學科。在現代特別指對信息以及其傳輸的數學性研究，常被認為是數學和計算機科學的分支，和信息論也密切相關。密碼學者Ron Rivest解釋道：“密碼學是關于如何在敵人存在的環境中通訊”，自工程學的角度，這相當于密碼學與純數學的異同。密碼學是信息安全等相關議題，如認證、訪問控制的核心。密碼學的首要目的是隱藏信息的涵義，并不是隱藏信息的存在。密碼學也促進了計算機科學，特別是在于電腦與網絡安全所使用的技術，如訪問控制與信息的機密性。密碼學已被應用在日常生活：包括自動柜員機的芯片卡、電腦使用者存取密碼、電子商務等等。
  數據加密技術是最基本的安全技術，被譽為信息安全的核心，最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法會被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。
  根據密鑰類型不同可以把現代密碼技術分為對稱加密算法（私鑰密碼體系）和非對稱加密算法（公鑰密碼體系）。在對稱加密算法中，數據加密和解密采用的都是同一個密鑰，因而其安全性依賴于所持有密鑰的安全性。對稱加密算法的主要優點是加密和解密速度快，加密強度高，且算法公開，但其最大的缺點是實現密鑰的秘密分發困難，在大量用戶的情況下密鑰管理復雜，而且無法完成身份認證等功能，不便于應用在網絡開放的環境中。最著名的對稱加密算法有數據加密標準DES和歐洲數據加密標準IDEA等，加密強度最高的對稱加密算法是高級加密標準AES。
  對稱加密算法、非對稱加密算法和不可逆加密算法可以分別應用于數據加密、身份認證和數據安全傳輸。

• 數據安全案例有哪些？

  1、OneMoreLead
  影響人數6300萬。發現時間2021年8月
  事件概要：vpnMentor的研究團隊在8月份發現， B2B 營銷公司 OneMoreLead 將至少6300萬美國人的私人數據存儲在一個不安全數據庫中，該公司任由此數據庫完全敞開。該數據庫包含列出的每個人的基本個人身份信息數據，以及有關其工作和雇主的類似數據和信息。這些信息很可能被提供給注冊其 B2B 營銷服務的客戶或顧客。vpnMentor 看到了數據庫中大量的 .gov 和紐約警察局電子郵件地址，這讓黑客有可能滲透到原本安全的高級政府機構。vpnMentor 表示，政府和警察部門成員的私人數據如同從事犯罪活動的黑客眼里的金礦，可能導致重大的國家安全事件，使公眾嚴重喪失對政府的信任。據 vpnMentor 稱，姓名、電子郵件地址和工作場所信息暴露在任何擁有網絡瀏覽器的人面前。
  2. T-Mobile
  影響人數4780萬。發現時間2021年8月
  事件概要：T-Mobile 于 8 月 17 日證實，其系統在 3 月18 日遭到了網絡犯罪攻擊，數百萬客戶、前客戶和潛在客戶的數據因此泄密。T-Mobile 表示，泄露的信息包括姓名、駕照、政府身份證號碼、社會保障號碼、出生日期、 T-Mobile 充值卡 PIN 、地址和電話號碼。T-Mobile表示，不法分子利用了解技術系統的專長以及專門工具和功能，訪問了該公司的測試環境，隨后采用蠻力攻擊及其他方法，進入到了含有客戶數據的其他 IT 服務器。T-Mobile 表示，它弄清楚了不法分子如何非法進入其服務器并關閉這些入口點。該公司表示，它將向所有可能受到影響的人提供為期兩年的免費身份保護服務（邁克菲的身份竊取防護服務）。此外， T-Mobile 表示為后付費客戶提供帳戶接管防護服務,這樣一來，客戶帳戶更難被人以欺詐手段外泄和竊取。
  3、未知的營銷數據庫
  影響人數3500萬。發現時間2021年6月。數據內容：個人信息
  事件概要：Comparitech研究人員在7月29日報告，一個含有估計3500萬個人詳細信息的神秘營銷數據庫泄露在網上，居然未設密碼。該數據庫包括姓名、聯系信息、家庭住址、種族以及眾多的人口統計信息（包括愛好、興趣、購物習慣和媒體消費等）。相關樣本顯示，大多數記錄與芝加哥、洛杉磯和圣迭戈這些大城市的居民有關。據 Comparitech 聲稱，凡是擁有網絡瀏覽器和互聯網連接的人都可以訪問數據庫全部內容，里面含有的信息可用于有針對性的垃圾郵件和詐騙活動以及網絡釣魚。Comparitech網絡安全研究團隊在6月26日發現了該數據庫，盡管使出了渾身解數，還是無法確定該數據庫歸誰所有。該公司聯系了托管該數據庫服務器的亞馬遜網絡服務（AWS），要求撤下數據庫，不過，該數據在7月27日之前仍可以訪問。