Войти
Неактивные данные в информационных технологиях означают неактивные данные, которые физически хранятся в любой цифровой форме (например, базы данных, хранилища данных, электронные таблицы, архивы, ленты, внешние резервные копии, мобильные устройства и т. Д.). Сохраненные данные подвержены угрозам со стороны хакеров и других вредоносных угроз. Чтобы предотвратить доступ к этим данным, их изменение или кражу, организации часто используют меры защиты, такие как защита паролем, шифрование данных или их комбинация. Параметры безопасности, используемые для этого типа данных, обычно обозначаются как d ata at rest p защита (DARP).
Рисунок 1. Три состояния данных. Данные в состоянии покоя используются в качестве дополнения к терминам используемые данные и данные в пути, которые вместе определяют три состояния цифровых данных (см. рисунок 1).
Существует некоторое разногласие относительно границы между данными в состоянии покоя и данными в использовании. Данные в состоянии покоя обычно относятся к данным, хранящимся в постоянном хранилище (диск, лента), тогда как используемые данные обычно относятся к данным, обрабатываемым центральным процессором компьютера (ЦП ) или в оперативной памяти (RAM, также называемая основной памятью или просто памятью). Определения включают:
«... все данные в памяти компьютера, за исключением данных, которые проходят по сети или временно находятся в памяти компьютера для чтения или обновления».
Рисунок 2: Данные в состоянии покоя в сравнении с данными в использовании. "... все данные в хранилище, но исключая любые данные, которые часто передаются по сети или которые находятся во временной памяти. Сохраненные данные включают, помимо прочего, заархивированные данные, данные, к которым не осуществляется доступ или которые часто не изменяются, файлы хранятся на жестких дисках, флэш-накопителях USB, файлы, хранящиеся на ленте и дисках для резервного копирования, а также файлы, хранящиеся за пределами предприятия или в сети хранения (SAN). "
Используемые данные также используется для обозначения «активных данных» в контексте нахождения в базе данных или манипулирования приложением. Например, некоторые решения корпоративного шлюза шифрования для облака утверждают, что шифруют данные в состоянии покоя, данные в пути и данные в использовании.
Хотя общепринято, что архив данные (т. е. никогда не меняющиеся), независимо от носителя, - это данные в состоянии покоя, а активные данные, подверженные постоянному или частому изменению, - это данные, которые используются. «Неактивные данные» могут означать данные, которые могут изменяться, но нечасто. Неточный характер таких терминов, как «постоянный» и «частый» означает, что некоторые хранимые данные не могут быть исчерпывающе определены как данные в состоянии покоя или использования. Эти определения можно считать предположением, что данные в состоянии покоя - это надмножество используемых данных; однако используемые данные, подверженные частым изменениям, требуют обработки, отличной от данных в состоянии покоя, независимо от того, являются ли они полностью статичными или подвержены периодическим изменениям.
Разделение данных в состоянии покоя на подкатегории «статические» и «непостоянные» устраняет это различие (см. Рис. 2).
Из-за своего характера данные, находящиеся в хранении, вызывают все большее беспокойство у предприятий, государственных органов и других организаций. Мобильные устройства часто подчиняются особым протоколам безопасности, чтобы защитить данные в неавторизованном состоянии от несанкционированного доступа в случае утери или кражи, и растет признание того, что системы управления базами данных и файловые серверы также должны рассматриваться как подверженные риску; чем дольше данные остаются неиспользованными в хранилище, тем выше вероятность их извлечения неавторизованными лицами за пределами сети.
Шифрование данных, которое предотвращает видимость данных в случае их несанкционированного доступа или кражи, обычно используется для защиты данных в движении и все чаще применяется для защиты данных в состоянии покоя.
Шифрование неактивных данных должно включать только надежные методы шифрования, такие как AES или RSA. Зашифрованные данные должны оставаться зашифрованными при сбое контроля доступа, например имени пользователя и пароля. Рекомендуется усиление шифрования на нескольких уровнях. Криптография может быть реализована в базе данных, содержащей данные, и в физическом хранилище, где хранятся базы данных. Ключи шифрования данных следует обновлять на регулярной основе. Ключи шифрования следует хранить отдельно от данных. Шифрование также позволяет шрединг в конце жизненного цикла данных или оборудования. Периодический аудит конфиденциальных данных должен быть частью политики и должен проводиться по расписанию. Наконец, храните только минимально возможное количество конфиденциальных данных.
Токенизация - это нематематический подход к защите данных в состоянии покоя, который заменяет конфиденциальные данные неконфиденциальными заменителями, называемыми токены, не имеющие внешнего или используемого значения или ценности. Этот процесс не изменяет тип или длину данных, что означает, что они могут обрабатываться устаревшими системами, такими как базы данных, которые могут быть чувствительны к длине и типу данных.
Для обработки токенов требуется значительно меньше вычислительных ресурсов и меньше места для хранения в базах данных, чем для традиционно зашифрованных данных. Это достигается за счет того, что определенные данные остаются полностью или частично видимыми для обработки и анализа, а конфиденциальная информация остается скрытой. Более низкие требования к обработке и хранению делают токенизацию идеальным методом защиты данных в состоянии покоя в системах, которые управляют большими объемами данных.
Еще одним методом предотвращения нежелательного доступа к неактивным данным является использование объединения данных, особенно когда данные распределяются глобально (например, в удаленных архивах). Примером этого может быть европейская организация, которая хранит свои архивные данные за пределами США. В соответствии с положениями Закона США «ПАТРИОТ» американские власти могут требовать доступа ко всем данным, физически хранящимся в их пределах, даже если они включают личную информацию о гражданах Европы, не связанных с США. Само по себе шифрование данных не может быть использовано для предотвращения этого, поскольку власти имеют право требовать расшифровку информации. Политика федерации данных, которая сохраняет личную информацию о гражданах без каких-либо внешних связей в стране происхождения (отдельно от информации, которая не является личной или имеет отношение к оффшорным властям), является одним из вариантов решения этой проблемы.
