为保证用户数据安全进行的数据安全隔离措施有哪些
为保证用户数据安全进行的数据安全隔离措施如下:
以应用为单位进行资源分配:不同安全等级的应用实施不同安全等级的SLA服务,不同安全等级应用的资源物理隔离。不同租户之间的资源逻辑隔离。
各租户享有独立的存储空间:拥有独立的访问控制策略、存储策略、访问日志等。子/孙租户的存储空间只能是租户的子集,各子租户间共享物理节点资源,并逻辑隔离,拥有独立的进程服务、独立的数据库。
对用户存储空间的数据进行访问控制:云存储系统根据用户标识和对应权限对用户存储空间的数据进行访问控制,避免未授权用户访问到其他用户的数据和用户信息。同一租户下的子租户在ACL控制下可互访。
存储容器是数据存储的基本单元:不同的存储容器有不同的访问授权,用户数据必须存储在事先分配的存储容器中。
按需灵活采用身份认证措施保护数据安全:身份认证的目的是确认操作者身份的合法性,确定该用户是否具有对某些数据的访问或使用权限,使系统的访问策略、操作行为合规合法。如果身份认证机制失效,易出现身份冒认、非法访问等行为,进而对工业生产的正常运行造成威胁。
基于业务实际自主选择访问控制策略保护数据安全:访问控制是指主体依据某些控制策略或权限对客体或其资源进行的不同授权访问,限制对关键资源的访问,防止非法用户进入系统及合法用户对资源的非法使用。访问控制是保护数据安全的核心策略,为有效控制用户访问数据存储系统,保证数据的使用安全,可授予每个系统访问者不同的访问级别,并设置相应的策略保证合法用户获得数据的访问权。常见的访问控制模式包括自主访问控制、强访问控制、基于角色的访问控制、基于属性的访问控制。
应用集行为分析、权限监控等为一体的安全审计措施保护数据安全:数据安全审计是指对数据的访问等行为进行审计,判断这些行为过程是否符合所制定的安全策略。在数据安全治理中,数据安全审计是一项关键能力,能对数据操作进行监控、审计、分析,及时发现数据异常流向、数据异常操作行为,并进行告警。数据安全防护需要通过审计来掌握数据面临的威胁与风险变化,明确防护方向。