关于数据库:这份数据安全自查checklist请拿好帮你补齐安全短板的妙招全在里面

26次阅读

共计 3590 个字符,预计需要花费 9 分钟才能阅读完成。

企业数据安全自查 Checklist!

快来对照表单,看看你的数据安全及格了吗?

一、京东云平安 Checklist 倡议

京东云平安领有业界当先的平安钻研团队,通过多年实际与教训积攒,京东云已面向不同业务场景制订了欠缺具体的平安配置 Checklist。京东云平安 Checklist 能够依据用户的需要进行补充和调整,用户也能够基于该 Checklist 进行自定义。

1、网络设备平安 Checklist

网络设备平安配置查看蕴含但不限于以下内容:

OS 平安
帐号和口令治理
认证和受权策略
网络与服务
拜访控制策略
通信协定、路由协定
日志审核策略
加密治理
设施其余平安配置
……

2、主机操作系统 Checklist

主机操作系统平安配置查看蕴含但不限于以下内容:

零碎漏洞补丁治理
帐号和口令治理
认证、受权策略
网络与服务、过程和启动
文件系统权限
访问控制
通信协定
日志审核性能
防 DDoS 攻打
残余信息爱护
其余平安配置
……

3、数据库 Checklist

数据库安全配置查看蕴含但不限于以下内容:

漏洞补丁治理
帐号和口令治理
认证、受权策略
访问控制
通信协定
日志审核性能
其余平安配置
……

4、中间件及网络服务 Checklist

中间件及常见网络服务平安配置查看蕴含但不限于以下内容:

漏洞补丁治理
帐号和口令治理
认证、受权策略
通信协定
日志审核性能
其余平安配置
……

“rm -rf /*”

在 Unix/linux 零碎的服务器上,删库的代码尽管只有短短一行,但若使用不当,结果可是“霎时覆灭”级别的存在。

二、数据安全威逼因素

在美国德克萨斯州大学的一份考察中显示:“只有 6% 的公司能够在数据失落后生存下来,43% 的公司会彻底关门,51% 的公司会在两年之内隐没。

1、数据安全问题

通常状况下,数据安全危险来自企业内网,是以非法占用网络资源、系统资源和数据资源为目标,利用云上业务零碎或资产弱点进行歹意入侵和浸透,进而晋升权限以非法获取数据资源,施行诸如数据窃取、数据篡改、数据下载、拖库和删除等行为。

常见的易导致数据安全危险的因素有:

2、运维平安问题

随着信息化的倒退,企事业单位 IT 零碎一直倒退,网络规模迅速扩充、设施数量激增,建设重点逐渐从网络平台建设,转向以深入利用、晋升效益为特色的运行维护阶段,IT 零碎运维与平安治理正逐步走向交融。信息系统的平安运行间接关系企业效益,构建一个健壮的 IT 运维平安管理体系对企业信息化的倒退至关重要,对运维的安全性提出了更高要求。

三、数据安全治理实际

依据权威机构考察统计数据示意,57%的公司认为数据库是外部攻打最软弱的资产。数据库的安全性是指爱护数据库以避免不非法应用所造成的数据泄露、更改或损坏。平安保护措施是否无效是数据库系统的次要技术指标,咱们能够将数据安全看做一个木桶,整个防护体系是否坚硬其实取决于短板。

回顾近年来产生的多起重大安全事件,发现这类事件简直都与数据安全无关——无论是数据泄露,还是对数据进行删除毁坏的勒索病毒皆是如此,因而,企业须要在数据全生命周期不同阶段从多个方面进行监测、进攻和治理,企业不仅须要针对来自内部的威逼给予管控,同时也应预防外部的歹意员工、歹意行为以及因为各类失误造成的数据损毁,并做到疾速止损、追踪溯源和精确的调查取证。因为数字经济时代的全面降临,企业的业务也逐渐由数据所驱动,因而对企业数据的平安爱护将会成为企业赖以生存和倒退的重要基石。

接下来将依据京东云在数据安全治理方面的经验总结出在数据生命周期不同阶段的数据安全治理实际办法:

1、建设数据全生命周期平安治理闭环

目前,互联网业务翻新带来了新的危险,比方数据去隐衷化解决以及数据上云后的主管权问题。因而,对于数据的爱护不应该只是动态的爱护,而要重视流动数据的爱护。京东云依据本身多年工夫教训提出了纵深进攻策略。

初期平安洞察

对于事先的预警要做到威逼的发现以及对数据的梳理,从隐患起源以及数据库本身的弱点,先找到数据库的潜在攻打威逼。另外,须要对不同的数据有不同的分类,通过对不同的标准、大数据保护指南、对企业本身业务的敏感性和价值等角度,对数据进行不同的标签分类,从而对不同类型以及重要度的数据,进行不同的保护措施。通过这种形式,京东云可帮忙用户更无效、更低成本地对数据进行事先的爱护以及预警。

数据安全可防可控

对于内部攻打,云通过对 SQL 或者 noSQL 注入的特色,对相干的拜访行为进行监测和爱护,并采纳虚构补丁对整个数据库进行破绽爱护。同时,强调了来自外部的“攻打”。因为人是操作的最初执行者和零碎的使用者,大量的问题都是呈现在操作者端——无论是误操作还是无意的攻打。因而,京东云采纳了数据库操作审计和权限审批的措施,做到外部的数据可控。

打造平安软胄甲

在运维治理场景中,京东云通过运维审计治理平台提供“从登陆到退出”的全程审计与管控措施,岂但可能针对运维操作行为进行跟踪、审计、记录,还可针对歹意操作、误操作进行实时拦挡,从根本上杜绝前述重大数据安全事变的产生。

因而,即便京东云的数据产生泄露,攻击者也无奈获取实在信息,即做到看不懂、拿不走、用不了。因为企业对于数据很可能会进行剖析,或者在开发、测试环境中进行利用,因而数据在第三方传输和应用中进行脱敏解决就成了必要工作。京东云对这些数据进行随机 / 局部替换以及掩码解决,确保数据在来到数据库进行其余解决时不会泄露,并针对在数据库中的数据进行国密算法的加密。

如果企业真的收到了平安攻打,那么在事件产生后,疾速响应并且在预先进行剖析追责是重中之重。京东云对整个数据库的运行提供审计、追溯以及剖析的服务,可能确保在预先通过具体的数据库行为日志确定事件源头、辨认定位危险、剖析业务零碎中的 bug 以及故障。

2、典型场景实际:如何构建数据库安全护城河

近年来,越来越多的企业摒弃了原先的自建数据库转而抉择购买云数据库作为公司的数据存储工具。何为云数据库?云数据库是指被优化或部署到私有云端的全托管型数据库,能够实现按需付费、按需扩大、服务高可用性、数据高牢靠等劣势。而这些劣势恰好解决了传统自建数据库的痛点:资源利用率低,服务水平依赖业余 DBA 人员,运维老本高以及硬件洽购等问题。

2020 年的开年,简直对寰球所有行业都带来了不小的冲击。但有一个行业例外:受疫情影响,游戏等娱乐产品的流水反而屡翻新高。大量的玩家涌入游戏会使服务器变得拥挤不堪,而依靠云数据库 MongoDB 欠缺的备份机制和依据备份创立实例的能力,可疾速实现游戏等分区类利用场景滚服和合服中对数据迁徙的需要;针对传统数据库运维老本高的问题,京东云提供了 LAMP 网站所必须的云主机和 MySQL 云数据库产品,便于企业用户将网站部署在京东云上,同时,监控备份,平安防护等多项辅助运维能力和天生的主备高可用架构,使用户无需为云数据库运维工作伤神,专一于网站倒退。

目前,京东云是市场上惟一一家收费向用户提跨地区备份同步性能的厂商,帮忙客户搭建异地的数据库灾备核心。当某个地区的数据库因为自然灾害等不可抗因素无奈提供服务时,跨地区同步备份服务能够疾速在异地搭建新的云数据库服务,满足用户异地容灾的需要。此外,京东云平台的 MFA(多因子认证)性能,能够在用户执行删除实例等重要操作前,以验证码的形式进行二次校验后,确认无误前方可操作;云数据库内置的操作审计性能能够对用户行为进行审计记录,帮忙追溯安全事件,疾速确认问题本源。

同时,京东云收费提供了 DTS(Data Transformation Service)以快捷高效的帮忙用户将数据迁徙上云。目前已反对将用户的源数据库迁入京东云数据库 RDS 和 MongoDB. 同时在数据迁徙过程中,源数据库可失常对外提供能服务,用户能够通过控制台随时查看数据迁徙进度,并在实现迁徙后进行数据校验进一步保证数据残缺上云。

3、典型场景实际:运维平安审计治理与追溯

优良的运维治理平台不仅应该及时捕获危险的运维指令,还应该为使用者提供简略易用的治理形式,岂但可能晋升运维效率、还能升高因较大运维治理压力导致的误操作,使平安管理人员和运维人员的精力失去无效开释,进一步降低生产经营老本。

浏览器兼容

提供基于 B/S 架构的 Web 拜访能力,只须要一个浏览器即可拜访指标设施,反对目前支流的浏览器,包含:Chrome、FireFox、Edge、Safari、IE11。

客户端兼容

可能与第三方客户端工具无缝适配,包含:RDP、SSH、SFTP、HTTP/HTTPS 等协定的客户端工具软件,如 SecurCRT、putty、Xshell、Mstsc、Winscp、Xsftp 等,不扭转运维人员的操作习惯。

跨平台兼容

京东云 - 运维审计治理平台具备跨平台运维行为管控能力,可笼罩多种支流主机操作系统、网络设备和运维协定,包含不限于:

协定类型——SSH、RDP、SFTP、HTTP、HTTPS 等;

操作系统类型——RedHat Linux、Windows 等。

正文完
 0