1.1.4 数据安全总体目标

前述章节指出，以组织的视角，安全技术的核心是保护数据的安全。在实施路径上，根据不同的数据生命周期阶段，重点关注和采纳的技术也略有不同。

历史上，得到关注最多的技术是网络安全技术。网络安全技术是指将组织的内部网络和外部网络隔离，使用防火墙和网关来保证组织的内部网络的安全，从而保护组织的信息资产安全。同时，主机安全技术也逐渐发展和普及。例如，基于公钥基础设施（Public Key Infrastructure, PKI）的设备和服务身份认证，端点防御技术、数据泄露防护（Data Loss Prevention或Data Leak Prevention, DLP）等，这些技术正在不断地发展、变化和融合。“纵深防御”安全架构和“以数据为中心的安全”架构等理念和实践也被提出，并得到了越来越广泛的应用。AI和大数据的日渐普及，给组织的安全架构带来了新的机遇和挑战。同时，零信任安全架构作为近年来的新方向，也得到了广泛的关注。

在总体的信息安全技术演进趋势方面，网络本身防护的技术已成熟，主机安全的相关技术也已经步入成熟期，而数据安全的相关技术正飞速演进，并得到越来越多的关注。信息安全技术的演进如图1-9所示。

NIST FIPS 199（联邦信息处理标准出版物199，《联邦信息和信息系统的安全分类标准》）[9]中提出，数据安全模型的三个核心要素为机密性（Confidentiality）、完整性（Integrity）与可用性（Availability），常简称为CIA三角（CIA Triad），如图1-10所示。

创建数据安全模型有助于阐述数据安全和信息安全两个领域的关系。数据安全领域和信息安全领域有着千丝万缕的联系，在某些区分不严格的场合中，这两个术语甚至可以混用。

信息安全一般是指企业或组织的商业秘密、技术秘密和其他关键信息资产的防护，从一般含义上讲，信息安全更侧重数据安全模型中的机密性（Confidentiality）。

著名的DIKW（Data, Information, Knowledge, and Wisdom，数据、信息、知识和智慧）金字塔模型[10]清晰地阐述了数据、信息、知识和智慧四个术语之间的关系，如图1-11所示。

最底层也是最基础的是数据。数据是以原始或未分类的形式表述的一系列事实。如果没有关联或上下文，数据本身的含义并不明确。例如，12122020是一个数字的序列。如果加上表示日期的上下文，则很容易得到信息：2020年12月12日。由此引出第二个概念：信息。

信息是已经排除错误并经过进一步处理的数据，可用于针对特定目的的测量、可视化和分析。取决于不同目的，数据处理可能涉及不同的操作，如组合不同的数据集（聚合），确保收集的数据相关且准确（验证）等，即基于目的的上下文所关联的数据产生信息。例如，3371.96、3373.28、3347.19，是一串离散的数据点。如果是已知这些数据点是上证综合指数某几天休市时的数据，则可以创建该特定时间段内数据点的图表来分析上证综合指数的表现。

信息从数据中获取关联，可用于解答“4W”的问题，即Who（谁）、What（什么）、When（何时）、Where（何地）。不过一旦问题变为How（如何），则进入更上一层的领域：知识。

从收集的数据中得出的信息与我们的目标“如何”相关呢？这些信息中的“各部分”如何与其他部分关联以增加更多的意义和价值呢？而且，也许最重要的是，“如何”使用信息来实现目标呢？

当信息不仅是对收集的事实的描述，而且信息还可以被使用以实现目标时，信息即转变为知识。这些知识通常是组织和个人超越竞争对手的优势。利用信息和知识，发现潜在的或隐含的关联，则称为“见解”。

当组织或个人使用从信息中获得的知识和见解做出主动决策时，即达到了DIKW金字塔模型的顶尖——“智慧”。智慧是知识在决策中的应用。智慧可以回答诸如Why（为什么）开头的问题，也可以解答“哪种方案最佳”的问题。

根据信息安全和数据安全的概念辨析可知：按照信息和数据的范畴和内涵，数据的范畴和内涵更为通用和抽象；数据安全更聚焦于本领域的业务和技术，而信息安全聚焦于组织的信息甚至是知识的机密性，并聚焦于组织视角的场景与应用。

下面详细解释数据安全模型的三个核心要素的含义。

1.机密性

机密性是指确保只有获得授权的信息访问主体才可以获得指定的信息。信息访问主体可以是实际的用户，也可以是进程、App、服务等。

机密性的定义比较抽象，可以从反方向来直观理解。常见的数据机密性受损的案例包括：手机丢失导致存储的照片泄露；互联网账户密码泄露导致账户被恶意登录和操作；含有报价等敏感信息的电子邮件被误发给其他人。

确保机密性的常见方法包括数据加密、多因素身份认证。当然，对于极度敏感的数据，也可能需要采取物理隔离、非联网设备存储等措施。

在维护信息机密性的过程中采取保护操作，是为了防止敏感信息在传递过程中出现误传或窃取等情况后被泄露。为此，必须使用一定的技术手段，使得对明文真实数据的访问必须仅限于有权查看该数据的人员。一般措施都是在信息传递之前实施的。同样还应预备好如果数据落入旁人之手后的处理方案。在数据已经被无权访问者获得之后，通常根据泄露的数量和类型进行分类，并根据这些假想情形的类别实施相应的善后措施。

除技术手段外，保护数据机密性通常还需要对处理重要数据的人员进行特殊培训。这类培训可以帮助被授权接触重要信息的人员熟悉潜在的风险因素，并实施有针对性的防范措施。

2.完整性

完整性是指确保数据在整个生命周期中不会受到非法的篡改与破坏，以维持数据的准确和完整。

该术语的范围非常广泛，在不同的上下文中含义也略有不同。在某些场景下，数据完整性是数据质量的代称（如数据库中不出现逻辑相反的两条记录），在某些场景下，数据完全性是数据损坏的反义词。在数据安全领域，数据完整性旨在防止数据被意外或蓄意地更改。

在设计、实现和应用任何涉及存储、使用和传输数据的系统时，数据的完整性都是需要考虑的关键问题。完整性意味着必须采取行之有效的措施，以确保数据不会在传输过程中被更改，同时也不会被未经授权的人员更改（如在信息机密性受到损害之时）。

由于存储、检索或使用操作而导致的任何数据被意外更改，包括恶意篡改、意外的硬件故障和人为错误，都是数据完整性的故障场景。如果更改是由未经授权访问引发的，则也属于数据完整性的故障场景。

数据完整性的技术从目的上是相同的：确保按预期准确地记录数据，并且在以后检索时，确保数据与原始记录时的数据相同。

常见的确保数据完整性的措施包括文件操作许可控制和用户访问权限控制。此外，在日常的生产过程中，工作组织必须定期采取一些措施来检测由非人为的意外事件（如电磁脉冲或服务器崩溃）所带来的数据变化，这些检测措施包括但不限于检验数据的明文或加密后的校验和。除定期检验外，还必须有稳定安全的备份才能确保将受影响的数据恢复到正确的状态。

3.可用性

可用性是指确保合法用户对数据的获取与使用能够得到保障。

任何用于存储、使用和传输数据的系统，应该在用户需要时，及时准确地提供数据。这意味着，存储、使用和传输的业务功能中，用于保护信息的安全控制及用于访问信息的通信通道必须能够正常运行。高可用性系统旨在始终保持可用状态，以防止因断电、硬件故障和系统升级而导致服务中断。确保可用性还涉及防止拒绝服务攻击（Denial of Service Attack, DoS或DoS攻击），如防止因将大量传入消息发送到目标系统，从而迫使该系统无法针对正常用户提供服务的情况。

严格维护硬件设施、定期执行硬件维修、维护操作系统环境与保持系统始终部署最新的安全补丁与更新是可用性得以维持的重要保障。当然，提供足够的通信带宽并防止出现性能瓶颈也同样十分重要。在预防措施做足的同时，提供充足且稳定的冗余、故障转移、独立磁盘冗余阵列（Redundant Array of Independent Disks, RAID，简称“磁盘阵列”），甚至高可用性群集等后发性保障措施，可以有效缓解硬件问题发生所带来的后果。快速和自适应的灾难恢复在万一发生最糟糕的情况时显得至关重要，而强大的恢复能力需要依靠一套全面的灾难恢复计划（Disaster Recovery Plan, DRP）。

DRP的风险预估中必须包括不可预测的事件，如不可抗力带来的灾害。为防止此类事件造成数据丢失，备份副本应该尽可能保有多份并存储在地理位置相隔离的地点。除不可抗力外，对于可能遭受的拒绝服务攻击等恶意攻击，DRP要求部署额外的安全设备或软件（如防火墙和代理服务器），以确保即便在攻击造成了短暂宕机的情况下也能足够迅速地恢复正常的服务。

前述已经提及，在数据安全领域，可用性是三个核心要素之一，也是保障系统的用户能够正常使用系统的关键所在。同时，CIA三角的三个核心要素也需要权衡一定的冲突。例如，对于企业IT系统而言，共享驱动器的访问、网络代理服务器的配置、员工发送外部电子邮件的权限等，都存在机密性、完整性和可用性的冲突，因此需要不同团队（如网络运营、开发、事件响应和变更管理团队等）的协作以解决问题、应对风险、保障企业内的数据安全。