數據保護
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
數據保護是指對政府、企業或者個人的重要數據進行保護措施,來防止在通信過程中因為數據泄露而導致的危機及損失。在日益複雜的數據恢復環境中,在數據保護策略方面更加嚴峻和重要。
數據保護的常規分類方法是根據安全保護所提供的功能進行分類,與數據有關的功能有:數據的保密性、數據的完整性、數據源的驗證及不可抵賴服務。
數據保密性:使得信息對於非授權個體、實體或過程是不可獲得的或不能泄露的特性。
數據源的驗證:確認接收的數據源與自稱的一致。
不可抵賴服務:防止抵賴的安全服務,抵賴定義為一個通信實體否認已經參與過的所有通信或部分通信。
數據保護可以按所採用的技術分類。技術有兩個方面,機制和執行組件或實體。機制描述怎樣實施保護以及組件在哪執行。機制依賴的不同技術,區分如下:外部數據保護、數據變換和內部數據保護。
外部數據保護:這種保護機制不需要存取數據。典型例子是存取控制,只需知道含有此數據,但不需要知道數據本身的任何東西。
數據變換:這個保護基於密碼技術。這種方法要求存取數據,這裡只需要知道數據是一串比特,而不需要知道數據實體的內容。
內部數據保護:這個保護形成了數據實體本身一部分。僅原始數據實體部分被保護,因此這種方法必須存取數據和理解它的內部結構。用變換的方法進行部分保護,通常是以分離形式,分離的塊保持在數據實體內,並與被保護部分分開。
數據保密性:數據保密性有兩個水平:
使得非授權用戶不知道被保護數據的存在;
使得非授權用戶不知道保護數據的語義內容;
前者可通過訪問控制獲得,如外部保護。因此它也限制服務者或應用程式持有該數據。後者可通過加密數據實體的全部或部份來獲得,如變換或內部數據保護。通常使用對稱密鑰技術,也就是說,加密密鑰與解密鑰是相同的。
數據完整性:至少有三類數據完整性:
防止非授權用戶修改數據;
檢測被保護數據的修改;
檢測數據序列中是否丟失數據;
控制非授權用戶修改數據也可採用存取控制,如外部保護,為了機密性,也限制服務者或應用程式持有數據。
檢測數據修改是數據完整性通常使用的機制,這種保護不防止修改,也不恢復修改後的數據。
檢測數據序列中是否丟失數據,採用保護計數消息或參照前面的消息,從數據發送者到特定的接收者,保持數據的相繼次序是可以實現的。
數據源驗證:數據源驗證的目的是使得數據的接收者或讀者確信它的來源。可採用提供給數據完整性檢測的同類的密碼學技術實現,因此數據完整性保護是數據源驗證的一部份。
不可抵賴:有一組不可抵賴眼務,它們的主要目的是通過提供使第三者信服的證據,來解決兩個合作者的爭執,一般是兩個用戶。所有的不可抵賴服務都支持數據完整性,但只有一些支持數據源驗證。
數據保密性:通信的竊聽者和攻擊者不能推斷數據的語義內容。它能保護整個實體或數據的部分,保護是端對端的。
數據完整性:數據的接收者能夠檢測數據是否被修改,這種保護不防止修改,也不能從修改後的數據恢復真實內容。它可應用於數據實體的全部或部分。應該註意,如果被保護的部分(數據的全體或部分)已經被取代,並且密封或簽名已經刪除或被授權用戶替代,則接收者不能檢測到數據是否被修改。
在理論上,明確的計數每一實體,或者參照前一個數據實體可使得數據保持相繼次序。它依賴於通信個體間的相互信任或應用程式的正確處理。它不是IT服務。
數據源驗證:使數據的接收者確信誰是數據的源,這個源可以是數據的生產者/作者,製造者或所有者,但不是數據的發送者。它可以用於數據全部或數據的部分。上面完整性的附註同樣適用於它。
不可抵賴:通信保護這種模式僅兩種不可抵賴服務,通信服務提供的不同之處,可以作為這種模式的補充。它可以應用於數據實體的全部或部分,提供的證據有:
源的證據,它保護接收者,防止源否認有爭議的數據來自於那個用戶。這個源可以是數據的生產者/作者,製造者或所有者,但不是數據的發送者。
接收的證據,它保護源或發送者,防止接收者否認已經收到數據,在這種模式中,證據由接收者顯示的製作並且一般僅在源和發送者請求以後。
