核设施实物保护系统需满足等保三级要求，请说明数据安全（如用户数据、监控录像）的防护措施，包括数据分类、加密存储、访问控制、审计日志等。

1) 【一句话结论】
核设施实物保护系统的数据安全需通过数据分类、加密存储、精细化访问控制及全流程审计日志，确保等保三级合规，保障用户数据与监控录像的机密性、完整性和可用性。

2) 【原理/概念讲解】

• 数据分类：根据数据敏感度（公开、内部、秘密、机密）划分，类比“给文件贴不同级别的标签，敏感度高的标签更严格”，如监控录像属于“秘密”级（需授权访问），用户身份信息属于“机密”级（高敏感）。
• 加密存储：采用对称加密（如AES-256，速度快，适合大量数据）或非对称加密（如RSA，适合密钥交换），密钥存储于硬件安全模块（HSM），类比“给数据上锁，锁的钥匙（密钥）存放在保险柜（HSM）里，防止被窃取”。
• 访问控制：基于角色（RBAC，如管理员、操作员）或属性（ABAC，如时间、位置、用户行为），限制数据访问，类比“门禁系统，不同角色的人（管理员、操作员）只能进入对应权限的区域（访问对应数据）”。
• 审计日志：记录所有数据操作（如访问、修改、删除），存储于安全区域，保留至少6个月（等保要求），类比“监控录像，记录所有行为，便于事后追溯”。

3) 【对比与适用场景】

模型/等级	定义	特性	使用场景	注意点
数据分类等级	根据敏感度划分	敏感度越高，保护要求越高	监控录像、用户数据	未明确等级会导致加密不足
加密算法	对称加密（AES） vs 非对称加密（RSA）	对称加密速度快，非对称加密适合密钥交换	大量数据存储 vs 密钥传输	对称加密需密钥管理，非对称加密计算开销大
访问控制模型	RBAC（基于角色） vs ABAC（基于属性）	RBAC静态角色，ABAC动态属性	传统系统 vs 智能系统	RBAC权限绑定过死，ABAC属性定义复杂

4) 【示例】

• 数据分类与加密存储示例：用户登录时，系统将用户数据（如身份信息、操作记录）分类为“机密”等级，存储时用AES-256加密，密钥从HSM获取，同时用RSA-2048加密密钥，确保密钥安全。
• 访问控制示例：管理员登录后，系统根据角色分配权限，可访问所有区域监控录像；操作员只能访问本区域（如1号门）的录像，且只能查看，不能修改。
• 加密存储伪代码（伪代码）：

  # 数据分类与加密存储
  def store_user_data(user_data, data_level):
      if data_level == "秘密":
          key = get_hsm_key("user_data_key")
          encrypted_data = encrypt(user_data, key, "AES-256")
      elif data_level == "机密":
          key = get_hsm_key("user_data_key")
          encrypted_data = encrypt(user_data, key, "AES-256")
          rsa_key = get_hsm_key("rsa_key")
          encrypted_key = encrypt(key, rsa_key, "RSA-2048")
      return encrypted_data, encrypted_key  # 机密级额外返回密钥加密结果
  

5) 【面试口播版答案】
“核设施实物保护系统的数据安全需从多维度保障等保三级合规。首先，数据分类：根据敏感度分为公开、内部、秘密、机密，比如监控录像属于秘密级，用户身份信息属于机密级，不同等级采用不同加密强度。其次，加密存储：对秘密级数据用AES-256加密，密钥存于硬件安全模块（HSM），机密级数据额外用RSA-2048加密密钥，确保密钥安全。然后，访问控制：采用基于角色的访问控制（RBAC），管理员可访问全量数据，操作员仅限本区域，同时结合属性访问控制（ABAC），如限制特定时间段的访问。最后，审计日志：记录所有数据操作，包括谁在何时访问了什么数据，日志存储于安全区域，保留至少6个月，便于事后追溯。通过这些措施，确保用户数据与监控录像的机密性、完整性和可用性，满足等保三级要求。”

6) 【追问清单】

• 问题1：数据分类的依据是什么？
  回答要点：依据数据敏感度（如公开、内部、秘密、机密），结合国家相关标准（如《信息安全技术 网络安全等级保护基本要求》），以及业务需求（如监控录像涉及实物保护，敏感度高，属于秘密级）。
• 问题2：加密密钥如何管理？
  回答要点：密钥存储于硬件安全模块（HSM），密钥生成、存储、使用、销毁均由HSM控制，确保密钥安全，符合等保三级对密钥管理的严格要求。
• 问题3：访问控制如何动态调整？
  回答要点：采用ABAC模型，结合用户行为、时间、位置等属性，动态调整权限，例如，当用户在非工作时间访问监控录像时，系统可限制访问范围或要求二次认证。
• 问题4：审计日志的存储与保留期限？
  回答要点：审计日志存储于安全区域（如加密存储），保留至少6个月（等保三级要求），定期备份，防止日志被篡改或删除。
• 问题5：如何防止数据泄露？
  回答要点：除了加密和访问控制，还采用数据脱敏（如敏感信息部分隐藏）、数据备份（定期备份至异地），以及安全传输（如HTTPS加密传输数据）。

7) 【常见坑/雷区】

• 数据分类不明确：未根据敏感度划分等级，导致加密强度不足，如将监控录像归为内部数据，未采用高强度加密。
• 加密强度不足：使用弱加密算法（如DES），或密钥管理不当（如密钥明文存储），导致数据易被破解。
• 访问控制静态：仅基于角色分配权限，未考虑用户行为或属性，导致权限过大，如操作员可修改核心配置。
• 审计日志不完整：未记录所有关键操作（如数据删除、密钥修改），或日志存储不安全，导致无法追溯。
• 密钥管理漏洞：密钥未存于HSM，或密钥轮换不及时，导致密钥泄露风险。