基础设施项目涉及大量敏感数据（如工程图纸、财务信息），请设计数据传输与存储的安全方案，包括加密、访问控制、等保合规措施。

1) 【一句话结论】采用“传输加密+存储加密+访问控制+等保合规”的分层安全架构，通过加密技术保障数据在传输和存储过程中的机密性，通过访问控制限制未授权访问，并满足等保要求，全面保障敏感数据安全。

2) 【原理/概念讲解】老师口吻，解释关键概念：

• 数据加密：传输加密（如TLS/SSL）用于保护数据在网络传输中的机密性和完整性，类比“给数据包贴上密码锁，只有指定接收方能解开”；存储加密（如AES-256）用于保护数据在数据库或文件系统中的机密性，类比“给存储的文件上保险箱，即使物理存储介质被盗，数据也无法被读取”。
• 访问控制：基于角色的访问控制（RBAC）或基于属性的访问控制（ABAC），通过身份认证（如双因素认证）和授权策略，确保只有授权用户能访问数据，类比“给数据设门禁，只有持有效证件（身份认证）且门禁权限（授权）的用户才能进入”。
• 等保合规：根据《网络安全等级保护条例》，根据数据敏感程度划分安全等级（如工程图纸为重要数据，属于第二级保护），制定对应的安全措施，如安全区域划分、安全审计、应急响应等，类比“给数据安全做体检，根据等级制定不同的防护措施”。

3) 【对比与适用场景】

类别	传输加密	存储加密
定义	保护数据在网络传输过程中的安全，防止中间人攻击	保护数据在静态存储（如数据库、文件）时的安全，防止数据泄露
常用技术	TLS 1.3（传输层安全协议）、SSL	AES（高级加密标准）、SM4（国密算法）
使用场景	API调用、文件传输、远程登录	数据库表字段加密、文件系统加密、云存储加密
注意点	需要考虑握手效率、证书管理	需要考虑加密解密性能、密钥管理复杂度

4) 【示例】

• 传输加密（TLS）：客户端发起TLS握手，服务器验证证书，协商加密算法，建立安全连接，数据通过加密通道传输。
  示例请求：GET /api/project/drawing?id=123 HTTP/1.1，实际传输为加密后的数据包。
• 存储加密（AES）：数据写入数据库前，用AES-256加密，密钥存储在密钥管理系统（KMS），查询时解密后返回。
  伪代码：SELECT AES_DECRYPT(encrypted_data, key) FROM project_drawings WHERE id=123;

5) 【面试口播版答案】
“面试官您好，针对基础设施项目敏感数据的安全，我设计了一套分层安全方案。核心思路是采用‘传输加密+存储加密+访问控制+等保合规’的组合策略。首先，数据传输时用TLS 1.3加密，确保网络传输的机密性和完整性，防止中间人攻击；数据存储时用AES-256加密，保护静态数据，即使存储介质被盗，数据也无法被读取。其次，访问控制方面，采用基于角色的访问控制（RBAC），结合双因素认证（如短信验证码+密码），确保只有授权人员能访问数据，并记录所有操作日志。最后，等保合规方面，根据工程图纸和财务信息属于重要数据，属于网络安全等级保护第二级，我们按照等保要求划分安全区域，部署防火墙、入侵检测系统，定期进行安全审计和应急演练。这样，从传输、存储到访问控制，再到合规要求，全方位保障敏感数据安全。”

6) 【追问清单】

• 问题1：等保具体等级划分依据是什么？如何确定数据的安全等级？
  回答要点：根据《网络安全等级保护基本要求》，根据数据的重要性和影响程度划分，如工程图纸涉及项目核心设计，属于重要数据，属于第二级保护；财务信息涉及公司资产，属于重要数据，属于第二级保护。
• 问题2：加密密钥如何管理？如何防止密钥泄露？
  回答要点：密钥存储在云密钥管理系统（KMS），采用密钥轮换策略，定期更新密钥，访问密钥需要多因素认证，同时记录密钥操作日志。
• 问题3：访问控制中，如何实现最小权限原则？如何避免权限滥用？
  回答要点：采用RBAC，为不同角色分配最小必要权限，如项目经理只能查看和编辑自己负责的图纸，财务人员只能访问财务模块，同时定期审查权限，及时撤销不再需要的权限。
• 问题4：数据泄露后的应急响应措施有哪些？
  回答要点：建立应急响应预案，包括事件检测、隔离、分析、恢复、通知等步骤，定期演练，确保在数据泄露时能快速响应，减少损失。
• 问题5：传输加密和存储加密是否需要统一密钥？如何平衡性能和安全性？
  回答要点：传输加密和存储加密通常使用不同密钥，传输加密用会话密钥，存储加密用主密钥，会话密钥临时生成，避免长期存储；同时，选择高效加密算法（如AES-GCM），平衡性能和安全性。

7) 【常见坑/雷区】

• 坑1：只强调加密而忽略密钥管理。错误示例：只说用AES加密，但密钥存储在明文文件中，导致密钥泄露。
• 坑2：访问控制仅考虑权限分配，未考虑最小权限原则。错误示例：给所有员工开放所有数据访问权限，违反最小权限。
• 坑3：等保合规仅说等级，未具体说明措施。错误示例：说数据属于第二级，但未提及具体的安全技术（如防火墙、入侵检测）和管理措施（如安全审计）。
• 坑4：传输加密和存储加密混淆。错误示例：认为传输加密可以替代存储加密，或者存储加密可以替代传输加密。
• 坑5：未考虑数据生命周期。错误示例：只保护传输和存储，未考虑数据销毁时的安全，如删除后数据残留。