4.2　数据传输安全

数据传输安全是对数据网络传输进行安全管理，由于在网络传输的过程中会频频发生诸如数据泄露、窃取、篡改等安全事故，因此数据传输安全属于数据安全中较为重要的操作阶段。DSMM官方将数据传输安全阶段定义为数据从一个实体传输到另一个实体的阶段，该阶段包含两个过程域，分别为数据传输加密和网络可用性管理。

4.2.1　数据传输加密

DSMM官方将数据传输加密定义为根据组织内部和外部的数据传输要求，采用适当的加密保护措施，保证传输通道、传输节点和传输数据的安全，以及防止传输过程中的数据泄露。

DSMM标准在充分定义级对数据传输加密的要求具体如下。

（1）组织建设

组织应设立负责数据加密和密钥管理的岗位，由相关工作员负责制定整体业务的加密原则和相关技术工作，由各业务的技术团队负责实现具体场景下的数据传输加密。

（2）制度流程

• 应明确数据传输安全管理规范，明确数据传输安全要求（如传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等），并确定需要对数据进行传输加密的场景。
• 应明确对数据传输安全策略的变更进行审核的技术方案。

（3）技术工具

• 应对传输数据的完整性进行检测，并具备数据容错或恢复的技术手段。
• 应部署对通道安全配置、密码算法配置、密钥管理等保护措施进行审核及监控的技术工具。

（4）人员能力

• 应了解常用的安全通道方案、身份鉴别和认证技术、主管部门推荐的数据加密算法，基于具体的业务选择合适的数据传输安全管理方式。
• 负责该项工作的人员应熟悉数据加密算法，并且能够基于具体的业务选择合适的加密技术。

基于上述定义，以及对应的充分定义级要求，6.1节将对数据传输加密的相关内容进一步展开讲解，并给出实践指南。

4.2.2　网络可用性管理

DSMM官方将网络可用性管理定义为通过网络基础设施及网络层数据防泄露设备的备份建设实现网络的高可用性，从而保证数据传输过程的稳定性。

DSMM标准在充分定义级对网络可用性管理的要求具体如下。

（1）组织建设

组织应设立负责网络可用性管理的岗位，或者建立一个团队。

（2）制度流程

应制定组织的网络可用性管理指标，包括可用性的概率数值、故障时间或故障频率、统计业务单元等；基于可用性管理指标，建立网络服务配置方案和宕机替代方案等。

（3）技术工具

• 应对关键的网络传输链路、网络设备节点实行冗余建设。
• 应部署负载均衡、防入侵攻击、数据防泄露检测与防护等相关设备，以保证网络可用性，并对数据泄露风险进行防范。

（4）人员能力

负责该项工作的人员应具备网络安全管理的能力，了解网络安全对可用性的需求，且能够根据不同的业务对网络性能需求制定有效的可用性安全防护方案。

基于上述定义，以及对应充分定义级的要求，6.2节将对网络可用性管理的相关内容进一步展开讲解，并给出实践指南。 DImQn0im0EfWP9o4PB0Mv2HZs4w0y1afP3eOBa7fGQShTFfBCbShCflQW6f5F1DI