2月20日,国家市场监督管理总局发布了强制性国家标准:GB 40050-2021《网络关键设备安全通用要求》,并于8月1日实施。其中对于存储在设备上的敏感数据必须进行安全保护,这将利于包括潮数科技在内的多家数据安全公司和整个数据安全行业。
国家市场监督管理总局发布了强制性国家标准
2020年2月20日,国家市场监督管理总局(国家标准化管理委员会)发布2021年第1号公告,批准了7项强制性国家标准和1项强制性国家标准修改单,其中包含1项通信领域的强制性国家标准:GB 40050-2021《网络关键设备安全通用要求》。
《网络关键设备安全通用要求》是强制性标准,也是工业和信息化部为落实《中华人民共和国网络安全法》中有关网络关键设备安全的一项重要标准。主要内容包括安全功能要求和安全保障要求,安全功能要求聚焦于保障和提升设备的安全技术能力,主要包括设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全以及密码要求10个部分;安全保障要求聚焦于规范网络关键设备提供者在设备全生命周期的安全保障能力,主要包括设计和开发、生产和交付、运行和维护三个环节的要求。标准将在提升网络关键设备安全性、可控性,减少用户在使用产品中的各种风险等方面发挥重要作用。
标准要求应对存储在设备上的敏感数据进行安全保护
在这些要求中,《网络关键设备安全通用要求》标准的5.9节引起了潮数科技的关注,其明确网络关键设备应满足以下要求: a) 应具备对存储在设备上的敏感数据进行安全保护的功能(示例:常见的安全保护措施可包括授权访问控制等);b) 应具备对用户产生且存储在设备中的数据进行授权删除的功能,支持在删除前对该操作进行确认(示例:用户产生且存储在设备中的数据通常包括日志、配置文件等)。
随着数据越来越多、越来越大,变化越来越快,在这些数据中,有很大一部分是敏感数据,它们被直接保存在了存储设备上。这些数据很容易就被泄露到网络上,被不法分子利用,对于信息安全构成巨大的威胁。
《网络关键设备安全通用要求》强制标准将利好数据安全行业
潮数科技是一家国产数据安全解决方案提供商和产品制造商,根据数据整个生命周期提供数据安全整体解决方案。潮数科技认为,《网络关键设备安全通用要求》强制标准将利好包括潮数科技在内的多家数据安全公司和整个数据安全行业。
潮数科技认为,对于敏感数据的安全保护主要包括:加密、脱敏和备份,而且潮数科技已经有成熟的解决方案。
数据库加密,基于加密算法和合理的密钥管理,有选择性地加密敏感字段内容,保护数据库内部敏感数据的安全。敏感数据以密文的形式存储,这样能保证即使在存储介质被窃取,或数据文件被非法复制的情况下,敏感数据仍是安全的。并通过密码技术实现“三权分离”,避免DBA密码泄漏带来的批量数据泄漏风险。
数据库脱敏包括静态脱敏系统和动态脱敏系统,数据库静态脱敏系统是高性能、高安全性的脱敏产品。集成了丰富的敏感数据扫描规则和专业的脱敏规则,满足各个行业对于隐私数据的脱敏需求;数据库动态脱敏系统,通过截获并修改数据库通讯内容,对数据库中的敏感数据进行在线的屏蔽、变形、字符替换、随机替换等处理,达到对用户访问敏感数据真实内容的权限控制。
数据保护系统是一种多线程、多任务数据存储备份的功能,能够在Windows、Linux 和UNIX等不同的操作系统环境中进行数据备份/恢复、灾难恢复。针对不同的数据可以设置备份策略,支持完全备份、差异备份、增量备份等三种模式,并有软硬一体、纯软、云灾备等多种产品形态。