收藏!企业数据安全防护5条建议

引言:数据安全对企业生存发展有着举足轻重的影响,数据资产的外泄、破坏都会导致企业无可挽回的经济损失和核心竞争力缺失,而往往绝大多数中小企业侧重的是业务的快速发展,忽略了数据安全重要性。近年来,企业由于自身的安全防护机制不严谨,引发的数据安全事件频发。抛开事件本身的人为因素不谈,如何从技术角度避免类似的事件发生,才是我们需要认真总结的。

一、当前企业面临的数据安全现状

数据安全是企业CIO、CTO、IT 管理员以及老板在选择使用任何IT产品时最需要考虑的问题之一,在当下云时代,公有云,私有云或者IDC哪个选择更加安全,一直是企业管理者必要考量的因素之一。

对于这个问题,其实很多人的认知存在一个误区,即认为只有硬件是自己的,里面的数据才是自己可控的,这样才是安全的。但其实不然,数据本身和实物有很大的区别,数据是由二进制的0和1构成,是不是在身边并不能决定数据安全与否,因为数据的泄露或者改动根本不需要成本,只需要一次网络的传输就完成了。

其次,分析一个安全事件背后的原因,往往都和技术、流程以及人的因素有关。比如,如果技术方面选型不当,数据没有物理备份或者异地备份,往往会造成不可恢复的影响;制度与流程方面给予单人权限过高,先不说故意破坏,误操作也是致命的;人为因素包括误操作,小到崩溃一个服务器,大到删除核心数据库,这些都是经常发生的事情。当然,也存在外部的威胁,比如黑客入侵,友商的恶意网络攻击等。

所以,无论是把业务部署在自有的IDC,还是托管IDC里,只要暴露在公网下,也都是存在威胁。一台设备无论托管在IDC中,还是部署在公有云,只要是有公网入口的服务器,业务的安全都是需要投入大量资源与精力去保障维护的。

二、解决之道,如何避免数据安全事故的发生

数据安全保障的原则有很多,道理都懂,可为什么还是有很多企业选择自建设数据库系统,但是依旧忽略了数据安全?实际上,由于企业自身技术实力,管理水平,以及IT资源方面投入等因素,其实是很难实现上述提到的数据安全策略的 。

以分布式存储系统建设为例,开源和自建的成本都不小,采用开源方案,比如Ceph ,GlusterFS等,维护一套几十台服务器的集群,至少需要1 -2名资深存储工程师,且要能完全完全掌握全栈技术细节,国内也找不出几个人,数据丢失风险挑战不小。同样,要能维护好一套数据库的生产和备份集群,对普通DBA的要求也不低。选择商业私有化部署的产品,动辄几十万的投入也是一般企业难以承受的。

1、数据库的安全策略

目前企业的数据库有自建数据库和使用云数据库两种。作为企业的重要资产,数据库一旦出现丢失、损毁,后果将不堪设想,那么如果做才能让数据更安全呢?这里的建议是无论是自建还是使用云产品都要做好备份。

对于已经在使用自建数据库的用户,应急方案需要将通过binlog或者其他备份文件进行恢复的详细步骤记录在案,并且能够定期做到演练,保证这样的方案在问题真正发生时能够真正跑通。另外,需要有联系好的第三方较专业的数据恢复公司,以免发生备份文件也被删除的情况下从磁盘恢复数据的能力。针对云服务器自建服务器的场景,需要结合云厂商提供的定期云盘快照功能来做数据恢复。而针对云数据库场景,不用太过担心数据丢失的问题,但是要能够熟练掌握云上数据库回档的方法。

抛开成本不说,相比自建数据库,云数据库在安全以及性价比方面优势要更加明显。云数据库在简化运维操作的同时也可以极大程度的保护业务数据。结合冷备和binlog,云数据库可以提供7-732天内任意时间点数据回档能力。在数据遭遇被极端破坏的情况下,可以直接使用云数据库的回档功能,将数据恢复到被破坏时间点之前。

2、快照、快照,云主机要定期快照

快照指的是数据集合在某个时间点(拷贝开始的时间点)的完整拷贝或者镜像,当生产系统数据丢失时,可通过快照完整的恢复到快照时间点,是一种重要的数据容灾手段。

快照的主要用途在于容灾,对生产系统的milestone进行备份。通过对指定云硬盘进行完全可用的拷贝,使该备份独立于云硬盘的生命周期。快照包括硬盘在拷贝开始的时间点的数据,并且不占据用户的存储空间。以腾讯云来说,将以冗余的方式把用户创建的快照存储在对象存储中,从而进一步确保了备份的可靠性。快照的增量备份,意味着仅保存更改的数据,这将尽可能缩短创建快照所需的时间,且可以节省存储成本。

3、做好云账号权限管控

云账号管理权限管控,可以帮助客户安全管理腾讯云账户下的资源的访问权限。用户通过 CAM 创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用云资源的权限,使云账户下的资源访问权限粒度可控,降低误操作或非必要操作引起的数据损坏、丢失的风险。

CAM 通过以下功能支持权限清晰、安全可控方案,比如,可以在主账号里创建子账号,给子账号分配主账号下资源的管理权限,而不需要分享主账号的相关的身份凭证。

另外,可以针对不同的资源,授权给不同的人员不同的访问权限。例如,可以允许某些子账号拥有某个 COS 存储桶的读权限,而另外一些子账号或者主账号可以拥有某个 COS 存储对象的写权限等。这里的资源、访问权限、用户都可以批量打包,从而做到精细化的权限管理。

4、对重要数据实施分级管理并做好加密

在数据安全保护层面,从网络为中心转向以数据为中心的全生命周期保护策略。即实施数据分类分级,对数据生命周期状态进行梳理,根据不同的数据敏感等级以及数据使用状态,统筹规划相应的数据加密、脱敏、审计等数据保护策略,确保数据安全全程可控。针对影响业务运营的核心重要数据,应在数据的产生、流动、存储、使用及销毁过程中应用密码技术进行保护,并实施资源级细粒度的身份认证和访问控制,防止外部黑客攻击以及内部的非授权人员访问带来的业务数据安全风险问题。

5、建立全生命周期的数据安全防护

数据生命周期涵盖数据的创建、存储、使用、共享、归档到销毁等多个阶段,面对来自外部攻击,内部泄露与大数据共享等多方面的威胁。不同威胁的防护手段千差万别。

  1. 针对外部攻击,采用身份认证,数据库审计,加密网关保护核心数据不受外部攻击的威胁;
  2. 针对内部数据泄露,采用4A与DLP等安全能力,全面保护企业运维,办公,数据分析等场景的数据防泄漏风险;
  3. 针对大数据共享中的数据泄露问题,建设脱敏,水印,加密,审计与权限管控等安全能力。

因此,企业需要从整体上梳理风险点,进而进行统筹和联动防御。并对外部、内部、大数据等不同场景建设不同解决方案。

堡垒机作为云上数据运维的统一入口,具备账号权限管理、密码管理、命令管理能力。能够为企业杜绝绝大多数越权操作、删库等恶意命令执行方面的风险。由于采用了集中式管理模式,运维人员必须通过堡垒机统一认证后才能操作服务器与数据库。因此只要在堡垒机设置好安全策略,即可轻松实现阻断,将数据丢失风险大幅度降低。

三、公有云对数据安全保障措施有哪些

在全面上云的趋势下,云计算厂商在多年的实践中积累了丰富的数据安全防护经验,并正在通过产品化输出到公有云上,企业用户可以拿来即用。

1. 云硬盘CBS,提供实时快照、秒级恢复能力

腾讯云硬盘采用分布式块存储架构,每个数据块在可用区都有3副本,可以规避物理磁盘,宕机故障导致的数据损坏。另外,通过云硬盘的快照技术,可以实现数据“秒级”恢复到一小时内的状态。

 

2. 云对象存储 COS,版本回退,异地灾备

对象存储COS可以开启版本控制功能,实现对象存储的版本控制,开启版本控制配置后,删除操作等同于新增一项删除标记;可以通过指定版本号访问过去任意版本的数据,可实现数据的回滚操作,解决数据误删和覆盖的风险。

 

此外,对象存储还提供了跨地域复制的功能,帮助用户将所有增量文件通过专线复制到其他城市的数据中心,实现异地容灾的作用。当主存储桶中的数据被删除时,可从备份存储桶中通过批量拷贝的方式恢复数据。

 

3. 云数据库MySQL,为结构化数据提供灵活,可靠的灾备方案

云数据库MySQL在实现服务高可用的架构情况下,也实现了丰富的数据备份和恢复功能,确保数据能回滚到任意时间线。同时,所有的高可用实例,默认开启7天内数据备份和实例回收站保留策略,确保人为误操作,能得到保底的数据恢复。此外,通过对实例配置异地灾备实例,云数据库MySQL实时进行数据复制,可以轻松实现数据异地灾备,规避区域性故障带来的数据丢失风险。

4. 腾讯云数据产品系列,低门槛实现安全监控与审计

腾讯云数据安全产品系列可以实现对安全事件的全面监控、告警、事后审计等功能。腾讯云堡垒机结合人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密。

5. CAM云权限管理,为云上资产合理建立权限控制制度

对上云企业来说,账号安全和资源合理授权是构筑立体防护体系的第一道门锁。云上资源管理的授权应该规避如下风险:

  1. 使用腾讯云云主账号进行日常操作
  2. 为员工建了子账号,但是授权过大
  3. 对高权限子账号用户和高危操作没有访问条件控制
  4. 没有定期审计用户的权限和登录信息
  5. 缺乏权限的管理制度和流程

这里以COS的数据访问权限控制为例:为公司中的不同团队授予子账户,通过访问方式、账户权限隔离来分级控制不同账户的资源操作范围。高危操作(如删除数据)权限可剖离出来,仅允许控制台操作,同时通过MFA校验来进行二次认证。

 

结语

通过梳理近年来层出不穷的数据安全事件不难发现:既有黑客的攻击,更有内部工作人员的信息贩卖、离职员工的删库、开发测试人员误操作等,多种原因导致的数据安全事件背后折射出的是,仅仅依靠单点防护难以达到真正的安全防护效果,而构建基于全生命周期的安全防护成为必然选择。值得一提的是,企业上云大潮的趋势下,讨论数据安全绝大部分要从云环境出发,云原生的数据保护技术和策略也将成为当下及未来的主要手段。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/519074.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

容器安全拾遗 - Rootless Container初探

近期Docker 19.03中发布了一个重要的特性 “Rootless Container支持”。趁着五一假期,快速验证一下。本文参考了Experimenting with Rootless Docker 一文的内容,并且补充了更多的细节和上手内容。 Rootless容器背景与架构 Docker和Kubernetes已经成为…

android 参数 attrs.xml,使用attrs.xml自定义属性

控件有很多属性,如android:id、android:layout_width、android:layout_height等,但是这些属性都是系统自带的属性。使用attrs.xml文件,可以自己定义属性。本文在Android自定义控件的基础上,用attrs.xml文件自己定义了属性。首先&a…

直面PHP微服务架构挑战

在4月20日的阿里云栖开发者沙龙PHP技术专场上,云智慧Technical VP高驰涛为大家介绍了微服务的前世今生,分享了微服务架构实践中所面对的诸多挑战以及相应的应对策略。 本次直播视频精彩回顾,戳这里! 直播回顾:https://…

5亿整数的大文件,怎么排序 ?面试被问傻!

来源 | 程序员追风编辑 | Carol出品| CSDN云计算(ID:CSDNcloud)最近一家公司,面试官一上来,就问了我这么一个问题,我一脸懵逼,决定记录一下。问题给你1个文件bigdata,大小4663M&…

RabbitMQ 的延时队列和镜像队列原理与实战

在阿里云栖开发者沙龙PHP技术专场上,掌阅资深后端工程师、掘金小测《Redis深度历险》作者钱文品为大家介绍了RabbitMQ的延时队列和镜像队列的原理与实践,重点比较了RabbitMQ提供的消息可靠与不可靠模式,同时介绍了生产环境下如何使用RabbitMQ…

深入浅出网络编程与Swoole内核

在阿里云PHP技术沙龙专场中,阿里云邀请到php-nsq作者,pecl、Swoole开发组成员吴振宇分享了Swoole进程模型的原理与Swoole协程实现的原理。并结合具体开发案例讲解了Swoole在网络编程中的应用。 本次直播视频精彩回顾,戳这里! 直播…

Spark大数据分布式机器学习处理实战 | 博文精选

作者| 数挖小飞飞编辑 | Carol出品| CSDN云计算(ID:CSDNcloud)Spark是一种大规模、快速计算的集群平台,本文试图通过学习Spark官网的实战演练笔记提升作者实操能力以及展现Spark的精彩之处。本文的参考配置为:Deepin 1…

五四,阿里巴巴新青年了解下?

今天,橙子挖掘了几位程序员小哥的故事,他们是淘宝技术节上涌现出的“高手”。为了追求极致,代码也能成为一种艺术,看完之后也许你会对技术人有完全不同的认识。 1 伯灵:“技术作品代表我对技术的态度:解决…

多场景下的AI疫情防控“天网”:解读云边端联动下的全栈 AI 技术

在全民抗疫的特殊时期下,伴随着春运返潮,企业陆续复工,从重点防控的机场、火车站,到学校、企业、社区等密集型场所,都是不能忽视的地点。除了人工逐一测量体温排查外,我们还发现,在人员复杂、流…

Twitter 宣布抛弃 Mesos,全面转向Kubernetes

美国西部时间 5 月 2 日下午 7 点,Twitter 公司在旧金山总部举行了一次技术发布会兼 Meetup。会上,Twitter 计算平台(Twitter Computing Platform)产品与技术负责人 David McLaughlin 正式宣布,Twitter 的基础而设施将…

Guns整合log4j2

文章目录一、排除内置logback1. 删除logback.xml2. 排除内置的logback二、整合log4j22.1. 依赖log4j22.2. 配置文件中配置2.3. log4j2日志文件2.4. 效果图2.5. 输出要素Sringboot 开源框架默认logback日志框架,Guns开源项目也是用logback日志框架 一、排除内置logba…

蚂蚁金服生产级 Raft 算法库存储模块剖析 | SOFAJRaft 实现原理

前言 SOFAJRaft 是一个基于 Raft 一致性算法的生产级高性能 Java 实现,支持 MULTI-RAFT-GROUP,适用于高负载低延迟的场景。 SOFAJRaft 存储模块分为: Log 存储记录 Raft 配置变更和用户提交任务日志;Meta 存储即元信息存储记录…

android studio 调用c++,android studio配置opencv,调用c++,处理图像

一、下载安卓的opencv sdk这里下载release版的,下载后解压二、新建工程三、编写界面布局(工程等下上传到github)四、添加Module,Android Studio菜单-->File-->New-->Import Module添加完成五、加入依赖此时Sync报错,需要修改文件修改…

Guns mybatisplus只输出sql不输出结果集

文章目录1. yml配置2. 效果图今天给大家讲一下在数据量特别大的场景下,Guns开源项目怎样实现只输出sql不输出结果集列表。 1. yml配置 mybatis-plus:typeAliasesPackage: cn.stylefeng.guns.modular.system.modelmapper-locations:- classpath*:cn/stylefeng/guns/…

AWS还是Firebase?在移动应用后端应该使用哪个?

作者| Dhananjay Trivedi翻译 | 天道酬勤,编辑 | Carol出品| CSDN云计算(ID:CSDNcloud)我们将按以下顺序比较这两种服务:它们有什么共同点?如何将它们与你的前端集成?它们的优势。它们的价格。创…

对话鲁直:蚂蚁金服中间件的开源头羊 | 穿山甲专访

谈话中,鲁直反问的“你为什么不开源?”这句话让我印象深刻。-- 老王 二月初春,在西子湖畔的细雨中,我拜访了蚂蚁金服中间件团队,和 SOFA 技术负责人鲁直做了一次深入交谈,更妙的是,鲁直也是负责…

与时间赛跑:微盟的数据恢复为什么需要这么长时间

作者| 茹炳晟责编 | Carol出品| CSDN云计算(ID:CSDNcloud)微盟“删库跑路“事件已经过去好几天了,据悉,微盟的服务已经全部恢复,对于新用户,已经能够正常开始所有相关的业务活动了,但…

阿里开发者招聘节 | 面试题08:NAS(Network Attached Storage)协议NFS和SMB相关问题

为帮助开发者们提升面试技能、有机会入职阿里,云栖社区特别制作了这个专辑——阿里巴巴资深技术专家们结合多年的工作、面试经验总结提炼而成的面试真题这一次将陆续放出(面试题官方参考答案将在专辑结束后统一汇总分享,点此进入答题并围观他…

android studio n3710,英特尔奔腾N3710性能跑分和评测 | ZMMOO

英特尔奔腾N3710 是针对入门级笔记本电脑,它的频率为1.1- 2.56 GHz。由于采用三栅极晶体管的新型14纳米低功耗工艺(P1273),与其前代Bay Trail(例如奔腾 N3520)相比,能效得到了显着提升 。除了CPU内核之外,SoC还提供支持DirectX 11…

淘宝千万级并发架构的十四次演进

责编 | Carol来源 | 架构师技术联盟概述本文以淘宝作为例子,介绍从一百个到千万级并发情况下服务端的架构的演进过程,同时列举出每个演进阶段会遇到的相关技术,让大家对架构的演进有一个整体的认知,文章最后汇总了一些架构设计的原…