D2-02 5–8 分钟 重要程度:高
资产分类与数据状态
资产分类应匹配它处理的数据分类。数据状态分为静态、传输中和使用中,不同状态需要不同控制。
一、必须记住
- 资产分类应与处理的数据分类匹配。
- Data at rest 是存储在磁盘、数据库、SAN 等介质上的数据。
- Data in transit 是通过网络传输的数据。
- Data in use 是内存、缓存或应用程序正在处理的数据。
- 标记可以是物理标签,也可以是数字标签。
二、核心概念
资产分类
如果一台计算机处理绝密数据,该资产也应按绝密资产管理。资产分类帮助选择合适的访问控制、加密、物理保护和处理流程。
三种数据状态
静态数据需要存储加密和访问控制;传输中数据需要 TLS、IPsec、SSH 等传输保护;使用中数据需要内存保护、进程隔离和应用控制。
数据标记
标记敏感信息可帮助用户识别分类级别。标记可以是文件元数据、页眉页脚、数据库标签、条码或实体标签。
三、CISSP 判断规则
- 问存储中的数据,优先 Data at rest。
- 问网络传输中的数据,优先 Data in transit。
- 问内存或应用处理中的数据,优先 Data in use。
- 资产处理高分类数据时,资产分类也要提高到相应级别。
四、常见陷阱
- 只加密传输不代表静态数据已受保护。
- 数据标签不能替代访问控制。
- 资产分类不能低于其处理数据的分类要求。
五、英文关键字
Asset (资产) 定义:对组织有价值的东西。 Data at rest (静态数据) 定义:存储在磁盘、数据库、SAN、备份介质上的数据。 Data in transit (传输中的数据) 定义:通过网络传输的数据。 Data in use (使用中的数据) 定义:应用程序、内存或临时缓冲区正在处理的数据。 Labeling (标记 / 标签) 定义:标明数据或资产分类级别。 Data classification (数据分类 / 数据分级) 定义:按敏感性、价值和法律要求分类。 Access control (访问控制) 定义:决定主体是否能访问客体并执行操作。
小测验
1. 存储在 SAN 或磁盘上的数据库备份属于哪种数据状态?
存储在磁盘、数据库、SAN、备份介质上的数据属于 Data at rest。
2. HTTPS 主要保护哪种数据状态?
HTTPS/TLS 保护传输中的数据。
3. 处理绝密数据的工作站应如何分类?
资产分类应匹配其处理数据的分类。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成