进入DT云时代的“数据安全”策略

在开始介绍DT时代的“数据安全”策略之前有几个问题请大家思考:
1) 你所负责的企业最宝贵的资产除了钱还有什么, 是多年积累下来的“数据“吗?
2) 如果是数据,谁对保管这些资产负责?
3) 数据保管员,如何对“数据安全”负责?

阿里云云栖大会上海站在上海科技馆举办,互联网+云计算+大数据, 满满的技术论坛,似乎已然让这些80后、90后进入了一个新的时代:DT时代!
当大家对这个新时代满怀好奇,整装待发的时候,那么我们对这个时代最宝贵的生产资料“数据”的安全有全副武装吗?

数据在我家里,很安全!这是真的吗? 我们来看一些案例:

一、数据篡改
在伊朗签订《不扩散核武器条约》之前,美国一直在尝试削弱伊朗的U235生产能力。通过侵入并修改伊朗用来分离U235的离心器参数,成功阻碍了核原料的生产。
如果这种技术并不是用来修改离心器的参数,而是用来修改航空管制信息,或者是银行账号里面的余额?

二、恶意操作
2015年互联网行业发生了很多劳资纠纷,其中有多起员工用技术手段报复公司的事件,甚至有一起是发生在某F轮融资成功的公司。研发可以加入隐藏的Bug,或者删掉代码。运维可以关掉服务器,或者删掉数据。最终对业务带来致命的伤害。

三、程序漏洞
已经有二十年历史的SQL注入至今仍是大量互联网数据泄漏的元凶:
2009年,一名黑客通过SQL注入获取了修改NASA官网内容和评论的权限,漏洞至今存在。
2012年,五名黑客通过SQL注入从Carrefour、Discover Bank、Dow Jones和NASDAQ获取了1.6亿个信用卡号码,直接经济损失3亿美金。

以上这些出问题的企业或者单位,都有极强的技术能力,但最后无一幸免。
所以,对于数据安全绝对不是放在自己家里就安全了。而是我们需要去真正的重视他,用规则来保证,用机制去检查!

数据安全“四大法则”

一、让数据处于私有地带
也就是别让“资产“放在公共区域。
在云上,如果你的数据库是大家都可以被访问到的一定的很危险,所以 :
1) 将数据库的“公网地址“关掉。
2) 尽可能使用VPC网络,让数据库与应用服务器用于一个安全网络里。
当然这只是第一步而已,要是你由于架构原因或者维护需要,不得不开公网,那你一定要记得加上“合法访问验证”。

二、合法访问验证
即使是在私有地带,由于你的数据太宝贵,所以一定还会有人想尽办法来找到你。
所以你的数据库必须配有“保安“,他手上会有一个白名单。 白名单一般包括: 访问来源IP白名单和权限白名单。
1) 访问来源IP,可以有效控制访问来源范围。一般线上环境只有应用服务器需要访问你的数据库, 运维需要也许还有监控服务器,其他都应该拒绝。
2) 权限,对指定的数据访问帐号配置“够用“的权限即可,一般配置到表级别的权限。
3) 合法SQL,对一些非法的SQL进入主动拦截,防止SQL注入的发生 。

比如: select * from t1 where id = 12 or 1=1 ; 这是一个最简单的注入SQL。
云数据库应该要有能力承担这个“保安”的职责, 所以用户要做的事情是“配置白名单”就好了。
对于SQL注入规则,需要有强有力的经验规则库,云数据库RDS的规则库截止今天已经达数十万条。

三、加密存储和存储加密
也许你还没来得及配置严格的规则,有人已经进到你的房间找到你的钱包。在这里也许你有两个办法 :
1) 你的钱(数据)是加了水印的, 别人用不了
这一规则一般对业务的入侵较多,但灵活性也很高。 如果业务愿意投入,可以对敏感的数据进入加密存储,比如身份证号把330104198811092211加密成sfdlkjsflweoi23923938进行存储,这样一般人拿到也不能识别。
2) 把钱(数据)放在保险箱里
也许数据加密过了别人一下子看不懂, 但作为企业总不想把数据泄露出来的。所以一个保险箱是有必要的, 保险箱一定会有密码保护, 这也是云数据库需要做到的“存储加密”。 他是基于存储数据块的加密,能够做到即使数据块被复制出去,数据是不会加载或是打不开的。

四、事后审计
不管多强的保安和“规则”都还可能有漏洞。也许是配置层的疏忽,也许是没有执行到位。 所以必要的检查机制是需要的, 检查不是去Review一下规则是否正确,而是一个反向证明过程,这里可以是:
1) 检查非应用服务器的IP地址访问记录。
2) 根据非法IP和访问时间 ,获得访问SQL记录明细(包括源IP,用户帐户, SQL语句,获取的数据行数等)
3) 检查SQL注入防护的拦截记录
4) 敏感数据加密算法是否为已经公开的,密钥的保管策略等

再次提醒:数据,不是简单的放在自己家里就安全了!
而是需要一整套安全能力,包括规则和机制来保证!

  1. da shang
    donate-alipay
               donate-weixin weixinpay

发表评论↓↓