公司新闻:
|
联系电话
首页 ISO27001 ISO27001标准介绍
新闻动态推荐
热点文章推荐

ISO27040:2015 数据存储安全管理体系关于数据机密性和完整性

在评估基于存储的加密解决方案的部署时,需要考虑多个因素,包括但不限于:

- 加密可能会影响其他安全方面(例如,检查数据,防病毒等);

- 尽管有必要,但如果数据处理,数据转换,密钥管理或实际加密出现问题,加密会带来数据不可用的风险;

- 加密会对系统和存储元素造成巨大的间接成本/影响;

集中式密钥管理可能是必要的,尤其是当加密与DR和BC目的的区域外复制一起使用时;

- 加密可以减少或否定数据减少技术的好处(例如,压缩和重复数据删除);

- 密码学的质量(安全强度,审查等)可能会影响所提供的实际保护。

并非所有数据都值得加密。 风险评估有助于识别保证使用加密的敏感和高价值数据,并协助进行成本效益分析(即风险降低是否值得花费)。 值得注意的是,当数据被视为关键资产时,还有其他工具可以保护信息的机密性。

如6.8.2.3所述,加密点很重要,因为它代表ICT基础设施中的位置,数据在解密和使用之前必须遍历该位置。一个常见的安全角度是尽可能靠近源加密,因为这会最大限度地提供所提供的保护,但在选择加密点时可能有很多选择(参见图6),包括:

- 应用程序级别 - 在特定应用程序或数据库的控制下; 最精细的控制粒度和对数据的最大洞察(类型,用户,敏感度)。

- 文件系统级 - 在操作系统或操作系统级应用程序的控制下; 通过深入了解用户来控制文件级别。

- 网络级 - 在网络设备的控制下,如HBA,阵列控制器或交换机 - 基于文件(NAS) - 在共享/文件系统级别(可能是文件级别)控制,对用户有中等的洞察力

- 基于块 - 在逻辑卷级别进行控制,在“用户社区”中提供有限的洞察力

如果认为有必要进行加密,请考虑以下指导:

- 基于存储的加密不应该是敏感数据的主要加密形式24);

- 加密点的选择应受DR和BC(见7.3.4),数据减少(见6.8.3)和数据保护(见7.3.3)考虑因素的影响;

- 选择和部署加密时应考虑数据保留(见7.4)需求;

- 加密解决方案的安全强度应至少为112位,128位作为建议的最小值25);

- 用于保护敏感或受监管数据的加密模块应使用验证

公认的标准(例如,ISO / IEC 19790,ISO / IEC 15408,NIST FIPS 140-2等);

- 可以使用多个加密步骤,因为出于安全目的,为了隐私目的而加密的数据由自加密驱动器进一步加密。

与清理一样,组织必须保持其数据的静态加密记录,以记录受保护的介质以及加密的时间和方式。 当一个组织被怀疑失去对包含敏感信息的存储介质的控制时,这些记录或加密证据可以有助于证明没有发生数据泄露,从而避免了代价高昂的数据泄露通知和其他责任。 加密证明应考虑以下因素:

- 确保加密机制创建适当的审计日志条目(激活,验证,完整性检查,重新键入等);

- 事先同意审核日志材料显示(使合规人员满意)正确执行加密;

- 执行定期和审计检查,确保正确执行加密并考虑外部认证。密码学的成功使用取决于遵守与密钥材料相关的基本原则以及实施密钥管理。由于存储系统和设备集成了静态数据加密,因此密钥管理变得非常重要,应该解决以下问题:

- 利用集中密钥管理;

- 尽可能完全自动化密钥管理;

- 稀疏地使用具有长寿命的密钥(即,接近建议的最大加密时间,通常不超过1  -  2年,具体取决于密钥类型);

- 强制执行严格的访问控制,以限制用户能力和职责分离限制(例如,安全角色),用于密钥生成,变更和分发;

- 对于敏感或高价值数据,加密应该是端到端的(即运动中的数据和休息时的数据)。

对于大多数存储系统和基础架构而言,数据完整性是一个重要的设计标准,它只能通过数据可用性与存储人员的重要性相媲美。 为解决数据完整性问题,通常在存储基础架构中部署各种技术,包括但不限于RAID,备份,复制和CDP。虽然重要,但这些数据保护技术通常不被视为存储安全控制的一部分。

数据保留和合规性要求通常包括以阻止记录删除或更改(即,不可变)以及需要遵守的完整性验证(例如,散列)和明确保留期(例如,合法保留)的方式存储数据的规定。 可以使用几种形式的基于WORM的存储来满足不变性(不可编辑)要求。此外,许多CAS(参见6.7.3)实现将WORM与可用于执行显式完整性检查以及实施数据到期的元数据相结合。

- 恶意软件是数据,应用程序和操作系统完整性的常见威胁; 存储系统应包括足够的恶意软件保护,以防止对数据的攻击(例如,腐败,破坏等)。

- 应使用基于WORM的存储来帮助满足不变性要求供应商应在其产品中实现7.5中描述的加密,密钥管理和完整性功能。

分享到:
收缩

  • 付老师:业务咨询
  • 简老师:业务咨询
  • 金老师:业务咨询
  • 徐老师:业务咨询

  • 技术支持

  • 010-83607858
  • 010-83683376