企業數據安全如何作，專家給你5條建議

引言：數據安全對企業生存發展有着舉足輕重的影響，數據資產的外泄、破壞都會致使企業無可挽回的經濟損失和核心競爭力缺失，而每每絕大多數中小企業側重的是業務的快速發展，忽略了數據安全重要性。近年來，企業因爲自身的安全防禦機制不嚴謹，引起的數據安全事件頻發。拋開事件自己的人爲因素不談，如何從技術角度避免相似的事件發生，纔是咱們須要認真總結的。

 

1、當前企業面臨的數據安全現狀

 

數據安全是企業CIO、CTO、IT 管理員以及老闆在選擇使用任何IT產品時最須要考慮的問題之一，在當下雲時代，公有云，私有云或者IDC哪一個選擇更加安全，一直是企業管理者必要考量的因素之一。

 

對於這個問題，其實不少人的認知存在一個誤區，即認爲只有硬件是本身的，裏面的數據纔是本身可控的，這樣纔是安全的。但其實否則，數據自己和實物有很大的區別，數據是由二進制的0和1構成，是否是在身邊並不能決定數據安全與否，由於數據的泄露或者改動根本不須要成本，只須要一次網絡的傳輸就完成了。

 

其次，分析一個安全事件背後的緣由，每每都和技術、流程以及人的因素有關。好比，若是技術方面選型不當，數據沒有物理備份或者異地備份，每每會形成不可恢復的影響；制度與流程方面給予單人權限太高，先不說故意破壞，誤操做也是致命的；人爲因素包括誤操做，小到崩潰一個服務器，大到刪除核心數據庫，這些都是常常發生的事情。固然，也存在外部的威脅，好比黑客入侵，友商的惡意網絡攻擊等。

 

因此，不管是把業務部署在自有的IDC，仍是託管IDC裏，只要暴露在公網下，也都是存在威脅。一臺設備不管託管在IDC中，仍是部署在公有云，只要是有公網入口的服務器，業務的安全都是須要投入大量資源與精力去保障維護的。

 

2、解決之道，如何避免數據安全事故的發生

 

數據安全保障的原則有不少，道理都懂，可爲何仍是有不少企業選擇自建設數據庫系統，可是依舊忽略了數據安全？實際上，因爲企業自身技術實力，管理水平，以及IT資源方面投入等因素，實際上是很難實現上述提到的數據安全策略的 。

 

以分佈式存儲系統建設爲例，開源和自建的成本都不小，採用開源方案，好比Ceph ，GlusterFS等，維護一套幾十臺服務器的集羣，至少須要1 -2名資深存儲工程師，且要能徹底徹底掌握全棧技術細節，國內也找不出幾我的，數據丟失風險挑戰不小。一樣，要能維護好一套數據庫的生產和備份集羣，對普通DBA的要求也不低。選擇商業私有化部署的產品，動輒幾十萬的投入也是通常企業難以承受的。

 

一、數據庫的安全策略

 

目前企業的數據庫有自建數據庫和使用雲數據庫兩種。做爲企業的重要資產，數據庫一旦出現丟失、損毀，後果將不堪設想，那麼若是作才能讓數據更安全呢？這裏的建議是不管是自建仍是使用雲產品都要作好備份。

 

對於已經在使用自建數據庫的用戶，應急方案須要將經過binlog或者其餘備份文件進行恢復的詳細步驟記錄在案，而且可以按期作到演練，保證這樣的方案在問題真正發生時可以真正跑通。另外，須要有聯繫好的第三方較專業的數據恢復公司，以避免發生備份文件也被刪除的狀況下從磁盤恢復數據的能力。

 

針對雲服務器自建服務器的場景，須要結合雲廠商提供的按期雲盤快照功能來作數據恢復。而針對雲數據庫場景，不用太過擔憂數據丟失的問題，可是要可以熟練掌握雲上數據庫回檔的方法。

 

拋開成本不說，相比自建數據庫，雲數據庫在安全以及性價比方面優點要更加明顯。雲數據庫在簡化運維操做的同時也能夠極大程度的保護業務數據。結合冷備和binlog，雲數據庫能夠提供7-732天內任意時間點數據回檔能力。在數據遭遇被極端破壞的狀況下，能夠直接使用雲數據庫的回檔功能，將數據恢復到被破壞時間點以前。

 

二、快照、快照，雲主機要按期快照

 

快照指的是數據集合在某個時間點（拷貝開始的時間點）的完整拷貝或者鏡像，當生產系統數據丟失時，可經過快照完整的恢復到快照時間點，是一種重要的數據容災手段。

快照的主要用途在於容災，對生產系統的milestone進行備份。經過對指定雲硬盤進行徹底可用的拷貝，使該備份獨立於雲硬盤的生命週期。快照包括硬盤在拷貝開始的時間點的數據，而且不佔據用戶的存儲空間。以騰訊雲來講，將以冗餘的方式把用戶建立的快照存儲在對象存儲中，從而進一步確保了備份的可靠性。快照的增量備份，意味着僅保存更改的數據，這將盡量縮短建立快照所需的時間，且能夠節省存儲成本。

 

三、作好雲帳號權限管控

 

雲帳號管理權限管控，能夠幫助客戶安全管理騰訊雲帳戶下的資源的訪問權限。用戶經過CAM 建立、管理和銷燬用戶(組)，並使用身份管理和策略管理控制其餘用戶使用雲資源的權限，使雲帳戶下的資源訪問權限粒度可控，下降誤操做或非必要操做引發的數據損壞、丟失的風險。

 

CAM 經過如下功能支持權限清晰、安全可控方案，好比，能夠在主帳號裏建立子帳號，給子帳號分配主帳號下資源的管理權限，而不須要分享主帳號的相關的身份憑證。

 

另外，能夠針對不一樣的資源，受權給不一樣的人員不一樣的訪問權限。例如，能夠容許某些子帳號擁有某個COS 存儲桶的讀權限，而另一些子帳號或者主帳號能夠擁有某個COS 存儲對象的寫權限等。這裏的資源、訪問權限、用戶均可以批量打包，從而作到精細化的權限管理。

 

 

四、對重要數據實施分級管理並作好加密

 

在數據安全保護層面，從網絡爲中心轉向以數據爲中心的全生命週期保護策略。即實施數據分類分級，對數據生命週期狀態進行梳理，根據不一樣的數據敏感等級以及數據使用狀態，統籌規劃相應的數據加密、脫敏、審計等數據保護策略，確保數據安全全程可控。

 

針對影響業務運營的核心重要數據，應在數據的產生、流動、存儲、使用及銷燬過程當中應用密碼技術進行保護，並實施資源級細粒度的身份認證和訪問控制，防止外部黑客攻擊以及內部的非受權人員訪問帶來的業務數據安全風險問題。

 

 

五、創建全生命週期的數據安全防禦

 

數據生命週期涵蓋數據的建立、存儲、使用、共享、歸檔到銷燬等多個階段，面對來自外部攻擊，內部泄露與大數據共享等多方面的威脅。不一樣威脅的防禦手段千差萬別。

 

針對外部攻擊，採用身份認證，數據庫審計，加密網關保護核心數據不受外部攻擊的威脅；
針對內部數據泄露，採用4A與DLP等安全能力，全面保護企業運維，辦公，數據分析等場景的數據防泄漏風險；
針對大數據共享中的數據泄露問題，建設脫敏，水印，加密，審計與權限管控等安全能力。
 

所以，企業須要從總體上梳理風險點，進而進行統籌和聯動防護。並對外部、內部、大數據等不一樣場景建設不一樣解決方案。

 

堡壘機做爲雲上數據運維的統一入口，具有帳號權限管理、密碼管理、命令管理能力。可以爲企業杜絕絕大多數越權操做、刪庫等惡意命令執行方面的風險。因爲採用了集中式管理模式，運維人員必須經過堡壘機統一認證後才能操做服務器與數據庫。所以只要在堡壘機設置好安全策略，便可輕鬆實現阻斷，將數據丟失風險大幅度下降。

 

3、公有云對數據安全保障措施有哪些

 

在全面上雲的趨勢下，雲計算廠商在多年的實踐中積累了豐富的數據安全防禦經驗，並正在經過產品化輸出到公有云上，企業用戶能夠拿來即用。

 

1. 雲硬盤CBS，提供實時快照、秒級恢復能力

 

騰訊雲硬盤採用分佈式塊存儲架構，每一個數據塊在可用區都有3副本，能夠規避物理磁盤，宕機故障致使的數據損壞。另外，經過雲硬盤的快照技術，能夠實現數據「秒級」恢復到一小時內的狀態。

 

2. 雲對象存儲COS，版本回退，異地災備

 

對象存儲COS能夠開啓版本控制功能，實現對象存儲的版本控制，開啓版本控制配置後，刪除操做等同於新增一項刪除標記；能夠經過指定版本號訪問過去任意版本的數據，可實現數據的回滾操做，解決數據誤刪和覆蓋的風險。

 

此外，對象存儲還提供了跨地域複製的功能，幫助用戶將全部增量文件經過專線複製到其餘城市的數據中心，實現異地容災的做用。當主存儲桶中的數據被刪除時，可從備份存儲桶中經過批量拷貝的方式恢復數據。

 

3. 雲數據庫MySQL，爲結構化數據提供靈活，可靠的災備方案。

 

雲數據庫MySQL在實現服務高可用的架構狀況下，也實現了豐富的數據備份和恢復功能，確保數據能回滾到任意時間線。同時，全部的高可用實例，默認開啓7天內數據備份和實例回收站保留策略，確保人爲誤操做，能獲得保底的數據恢復。此外，經過對實例配置異地災備實例，雲數據庫MySQL實時進行數據複製，能夠輕鬆實現數據異地災備，規避區域性故障帶來的數據丟失風險。

 

4. 騰訊雲數據產品系列，低門檻實現安全監控與審計

 

騰訊雲數據安全產品系列能夠實現對安全事件的全面監控、告警、過後審計等功能。騰訊雲堡壘機結合人工智能技術，爲企業提供運維人員操做審計，對異常行爲進行告警，防止內部數據泄密。

 

5. CAM雲權限管理，爲雲上資產合理創建權限控制制度

 

對上雲企業來講，帳號安全和資源合理受權是構築立體防禦體系的第一道門鎖。雲上資源管理的受權應該規避以下風險：

 

使用騰訊云云主帳號進行平常操做
爲員工建了子帳號，可是受權過大
對高權限子帳號用戶和高危操做沒有訪問條件控制
沒有按期審計用戶的權限和登陸信息
缺少權限的管理制度和流程
 

這裏以COS的數據訪問權限控制爲例：爲公司中的不一樣團隊授予子帳戶，經過訪問方式、帳戶權限隔離來分級控制不一樣帳戶的資源操做範圍。高危操做（如刪除數據）權限可剖離出來，僅容許控制檯操做，同時經過MFA校驗來進行二次認證。

 

 

結語：

 

經過梳理近年來層出不窮的數據安全事件不難發現：既有黑客的攻擊，更有內部工做人員的信息販賣、離職員工的刪庫、開發測試人員誤操做等，多種緣由致使的數據安全事件背後折射出的是，僅僅依靠單點防禦難以達到真正的安全防禦效果，而構建基於全生命週期的安全防禦成爲必然選擇。值得一提的是，企業上雲大潮的趨勢下，討論數據安全絕大部分要從雲環境出發，雲原生的數據保護技術和策略也將成爲當下及將來的主要手段。