這份數據安全自查checklist請拿好，幫你補齊安全短板的妙招全在裏面！

2019年，數據庫的安全問題已躍至 CSO的工做內容象限榜首。不難看出，對於企業而言，在雲上構建縱深安全檢測與防護體系，提高安全事件響應和處置效率，打造持續、動態的安全運營管理閉環已顯得刻不容緩。2019年，數據庫的安全問題已躍至CSO的工做內容象限榜首。不難看出，對於企業而言，在雲上構建縱深安全檢測與防護體系，提高安全事件響應和處置效率，打造持續、動態的安全運營管理閉環已顯得刻不容緩。

根據LogicMonitor發佈的雲服務趨勢研究報告顯示，2020年，全部企業的工做量將有83%在雲上實現，各企業將持續增強雲上業務的建設與投入，更多業務和數據將會存放在雲上。互聯網業務創新帶來新機遇的同時，也對企業提出了新的挑戰。好比企業數據去隱私化處理以及數據上雲後的主管權問題。所以，對於數據的保護不該該只是靜態的保護，而要注重流動數據的保護。而流動數據的保護則面臨了四大問題，即：數據資產有多少？如何去隱私化？如何回溯？主管權如何劃分，如何實現權限分離和最小化？

僅2019年發生的大型安全事故所帶來的的損失就已經遠超咱們的想象：

• 超2億中國求職者簡歷疑泄露，數據「裸奔」將近一週，一個包含2.02億中國求職者簡歷信息的數據庫泄露，被稱爲中國有史以來最大的數據曝光之一；
• 我國部分政府部門和醫院等公立機構遭遇到國外黑客攻擊。這次攻擊中，黑客組織利用勒索病毒對上述機構展開郵件攻擊；
• 不法分子利用黑客技術侵入某著名遊戲企業研發的一款熱門遊戲後臺系統，盜取大量遊戲虛擬貨幣，案值約880萬元；
• 某知名互聯網公司的運維人員因操做不當，刪除了該公司的核心生產系統數據庫，使該公司業務全面停斷達數十小時，數百萬用戶受到影響，該公司市值一晚上之間蒸發12億港元

……

「rm -rf /*」

在Unix/linux系統的服務器上，刪庫的代碼雖然只有短短一行，但若使用不當，後果但是「瞬間毀滅」級別的存在。

數據安全威脅要素

在美國德克薩斯州大學的一份調查中顯示：「只有6%的公司能夠在數據丟失後生存下來，43%的公司會完全關門，51%的公司會在兩年以內消失。

一、數據安全問題

一般狀況下，數據安全風險來自企業內網，是以非法佔用網絡資源、系統資源和數據資源爲目的，利用雲上業務系統或資產弱點進行惡意入侵和滲透，進而提高權限以非法獲取數據資源，實施諸如數據竊取、數據篡改、數據下載、拖庫和刪除等行爲。

常見的易致使數據安全風險的因素有：

二、運維安全問題

隨着信息化的發展，企事業單位 IT 系統不斷髮展，網絡規模迅速擴大、設備數量激增，建設重點逐步從網絡平臺建設，轉向以深化應用、提高效益爲特徵的運行維護階段， IT 系統運維與安全管理正逐漸走向融合。信息系統的安全運行直接關係企業效益，構建一個強健的 IT 運維安全管理體系對企業信息化的發展相當重要，對運維的安全性提出了更高要求。

數據安全管理實踐

根據權威機構調查統計數據表示，57％的公司認爲數據庫是內部攻擊最脆弱的資產。數據庫的安全性是指保護數據庫以防止不合法使用所形成的數據泄露、更改或損壞。安全保護措施是否有效是數據庫系統的主要技術指標，咱們能夠將數據安全看作一個木桶，整個防禦體系是否堅固其實取決於短板。

回顧近年來發生的多起重大安全事件，發現這類事件幾乎都與數據安全有關——不管是數據泄露，仍是對數據進行刪除破壞的勒索病毒皆是如此，所以，企業須要在數據全生命週期不一樣階段從多個方面進行監測、防護和治理，企業不只須要針對來自外部的威脅給予管控，同時也應預防內部的惡意員工、惡意行爲以及由於各種失誤形成的數據損毀，並作到快速止損、追蹤溯源和準確的調查取證。因爲數字經濟時代的全面來臨，企業的業務也逐步由數據所驅動，所以對企業數據的安全保護將會成爲企業賴以生存和發展的重要基石。

接下來將根據京東智聯雲在數據安全管理方面的經驗總結出在數據生命週期不一樣階段的數據安全管理實踐方法：

一、創建數據全生命週期安全管理閉環

目前，互聯網業務創新帶來了新的風險，好比數據去隱私化處理以及數據上雲後的主管權問題。所以，對於數據的保護不該該只是靜態的保護，而要注重流動數據的保護。京東智聯雲根據自身多年時間經驗提出了縱深防護策略。

初期安全洞察

對於事前的預警要作到威脅的發現以及對數據的梳理，從隱患來源以及數據庫自身的弱點，先找到數據庫的潛在攻擊威脅。另外，須要對不一樣的數據有不一樣的分類，經過對不一樣的規範、大數據保護指南、對企業自身業務的敏感性和價值等角度，對數據進行不一樣的標籤分類，從而對不一樣類型以及重要度的數據，進行不一樣的保護措施。經過這種方式，京東智聯雲可幫助用戶更有效、更低成本地對數據進行事前的保護以及預警。

數據安全可防可控

對於外部攻擊，京東智聯雲經過對SQL或者noSQL注入的特徵，對相關的訪問行爲進行監測和保護，並採用虛擬補丁對整個數據庫進行漏洞保護。同時，強調了來自內部的「攻擊」。因爲人是操做的最後執行者和系統的使用者，大量的問題都是出如今操做者端——不管是誤操做仍是有意的攻擊。所以，京東智聯雲採用了數據庫操做審計和權限審批的措施，作到內部的數據可控。

打造安全軟冑甲

在運維管理場景中，京東智聯雲經過運維審計管理平臺提供「從登錄到退出」的全程審計與管控措施，不但可以針對運維操做行爲進行跟蹤、審計、記錄，還可針對惡意操做、誤操做進行實時攔截，從根本上杜絕前述重大數據安全事故的發生。

所以，經過構建以上安全防線，即便數據丟失或泄露，攻擊者也沒法獲取真實信息，即作到看不懂、拿不走、用不了。因爲企業對於數據極可能會進行分析，或者在開發、測試環境中進行利用，所以數據在第三方傳輸和使用中進行脫敏處理就成了必要工做。京東智聯雲對這些數據進行隨機/部分替換以及掩碼處理，確保數據在離開數據庫進行其餘處理時不會泄露，並針對在數據庫中的數據進行國密算法的加密。

若是企業真的收到了安全攻擊，那麼在事件發生後，快速響應而且在過後進行分析追責是重中之重。京東智聯雲對整個數據庫的運行提供審計、追溯以及分析的服務，可以確保在過後經過詳細的數據庫行爲日誌肯定事件源頭、識別定位風險、分析業務系統中的bug以及故障。

二、典型場景實踐：如何構建數據庫安全護城河

近年來，愈來愈多的企業摒棄了原先的自建數據庫轉而選擇購買雲數據庫做爲公司的數據存儲工具。何爲雲數據庫？雲數據庫是指被優化或部署到公有云端的全託管型數據庫，能夠實現按需付費、按需擴展、服務高可用性、數據高可靠等優點。而這些優點偏偏解決了傳統自建數據庫的痛點：資源利用率低，服務水平依賴專業DBA人員，運維成本高以及硬件採購等問題。

2020年的開年，幾乎對全球全部行業都帶來了不小的衝擊。但有一個行業例外：受疫情影響，遊戲等娛樂產品的流水反而屢創新高。大量的玩家涌入遊戲會使服務器變得擁堵不堪，而依託雲數據庫MongoDB完善的備份機制和根據備份建立實例的能力，可快速實現遊戲等分區類應用場景滾服和合服中對數據遷移的需求；針對傳統數據庫運維成本高的問題，京東智聯雲提供了LAMP網站所必須的雲主機和MySQL雲數據庫產品，便於企業用戶將網站部署在京東智聯雲上，同時，監控備份，安全防禦等多項輔助運維能力和天生的主備高可用架構，使用戶無需爲雲數據庫運維工做傷神，專一於網站發展。

目前，京東智聯雲是市場上惟一一家免費向用戶提跨地域備份同步功能的廠商，幫助客戶搭建異地的數據庫災備中心。當某個地域的數據庫由於天然災害等不可抗因素沒法提供服務時，跨地域同步備份服務能夠快速在異地搭建新的雲數據庫服務，知足用戶異地容災的需求。此外，京東智聯雲平臺的MFA（多因子認證）功能，能夠在用戶執行刪除實例等重要操做前，以驗證碼的方式進行二次校驗後，確認無誤後方可操做；雲數據庫內置的操做審計功能能夠對用戶行爲進行審計記錄，幫助追溯安全事件，快速確認問題根源。

同時，京東智聯雲免費提供了 DTS(Data Transformation Service) 以快捷高效的幫助用戶將數據遷移上雲。目前已支持將用戶的源數據庫遷入京東智聯雲數據庫RDS和MongoDB.同時在數據遷移過程當中，源數據庫可正常對外提供能服務，用戶能夠經過控制檯隨時查看數據遷移進度，並在完成遷移後進行數據校驗進一步保證數據完整上雲。

三、典型場景實踐：運維安全審計管理與追溯

優秀的運維管理平臺不只應該及時捕捉危險的運維指令，還應該爲使用者提供簡單易用的管理方式，不但可以提高運維效率、還能下降因較大運維管理壓力致使的誤操做，使安全管理人員和運維人員的精力獲得有效釋放，進一步下降生產運營成本。

瀏覽器兼容

提供基於 B/S 架構的 Web 訪問能力，只須要一個瀏覽器便可訪問目標設備，支持目前主流的瀏覽器，包括：Chrome、FireFox、Edge、Safari、IE11。

客戶端兼容

可以與第三方客戶端工具無縫適配，包括：RDP、SSH、SFTP、HTTP/HTTPS等協議的客戶端工具軟件，如SecurCRT、putty、Xshell、Mstsc、Winscp、Xsftp等，不改變運維人員的操做習慣。

跨平臺兼容

京東智聯雲-運維審計管理平臺具備跨平臺運維行爲管控能力，可覆蓋多種主流主機操做系統、網絡設備和運維協議，包括不限於：

協議類型——SSH、RDP、SFTP、HTTP、HTTPS等；

操做系統類型——RedHat Linux、Windows等。

---

以上，相信你們對於數據安全已經有了較爲全面的認識，咱們的技術專家還專門爲你們提供了一張企業數據安全自查Checklist！

點擊【閱讀】快來對照表單，看看你的數據安全及格了嗎？