数据库,作为一种数据的结合体,由于它的结构性和系统性,必将成为未来企业甚至是国家最常使用的数据集合存在形式,对于它的防护,我们必须一步一个脚印,做到缜密而又细致的防护才能避免这个数据堡垒从内部崩塌。同时对于那些敏感的数据,采用具有本源防护效果的加密软件无疑是最佳的选择!信息时代,我们的身边充斥各种数据。在信息处理终端和传输、交流的互联网上,数据更是当之无愧的主角。在数据中,有一种综合体,它是数据的堡垒,同时也是个人、企业甚至是国家最依赖的数据综合体——数据库。数据库的形成让人们调用数据,处理数据、分类数据变得更容易。而数据库的重要性也使得它的防护变得异常重要。
数据泄漏的安全问题正迅速增长
据统计,发生在2012年的数据泄露事件达到了前所未有的高度,共计1428起。然而,就在三年之前,此类事件只有727起。
很显然,与以往任何时候相比,各类机构如今更容易遭遇大规模数据泄露的侵袭。原因何在?越来越多的数据以在线形式出现在越来越多的地方,从而更加容易被访问。黑客们在获取数据方面变得更加成熟与有效。与此同时,网络变得更加复杂也更加容易被渗透。为了保护数据,各个机构需要掌握更多安全知识并付出更多努力。
意图染指数据库的犯罪份子正蠢蠢欲动
对于网络犯罪分子来说,数据库(包括结构化数据)是他们梦寐以求的猎物。对于心怀不轨的人们来说,安全性不足的数据库能够让他们梦想成真。然而,遭遇数据泄露的机构面对的却是一场成本高昂的可怕的噩梦。在保护重要数据方面,很多机构并不完全了解自己掌握哪些数据、如何储存、数据动向及其使用者的情况。最近一份数据泄露调查报告显示,92% 以上记录在案的数据泄露事件都与数据库有关。
数据库本身的性能问题导致了安全防护优先级的“不被重视”
将数据库安全搁置在优先名单最下方的合理原因有很多。数据库的可用性要求非常高,因此补丁周期很长而且对于传统的 DBA (数据库管理) 安全软件不甚友好。理想的安全解决方案需要有效保护结构化数据并且不能对数据功能与可用性造成明显的影响。
而一个几乎普遍存在的问题就是:人们未能了解机密信息并对其进行合理的分类从而有效预防各类数据损失。很多 DLP(数据丢失防护)解决方案能够处理数据库中储存的结构数据格式,例如社会保险或银行账户号码。然而,健康记录或病例这样的自定义数据格式怎么办?诸如电邮、文本、PDF 与图形等非结构性敏感数据的快速增长更是造成了严峻的挑战。2011 IDC 研究表明,非结构化数据的增速超过了结构化数据并且将在未来十年内占到所有数据的 90%。此类数据在企业内部流转并且经过多种设备进行储存与访问。
数据库的监管力度问题也是一大隐患
有时候,人们很难确定敏感数据是否遭遇了危险或者流转到了何地。机密数据的拷贝份量往往超过组织所知晓的数字。数据库经常被拷贝后用于测试与研发并且添加或升级新代码。
这些数据库在哪里?它们是否打上了补丁或者经过了升级?漫不经心的安全 *** 作可能使得人们无法有效追查此类情况。了解数据库弱点的网络犯罪分子能够利用这些恶意数据库发起网络攻击。
“任谁可以访问数据库”成了数据安全问题的症结之一
另外一个被人们忽视的数据安全问题就是数据访问——什么人可以访问数据,他们如何使用数据。如今,重要数据可供员工与“值得信任”的他人使用:合约商、供应商与合作伙伴。大家都希望可以随时在任何地方访问数据。通常,DBA (数据库管理员)为用户提供授权,而后者就能够接触到工作所需以外的更多信息。更为理想的数据安全需要采用“最少权限”原则——也就是根据角色或工作职能需要来授予权限。
专家支招 三步走提高数据库安全防护
【发现】对于 DLP(数据丢失防护)来说,首先,数据发现至关重要。这其中包括确定文件所有人以及他们掌握文件的原因和使用方法。确认文件使用者以及文件是否得到保护的最佳方法就是扫描服务器、数据库、硬盘与网络设备。这样便可以知道数据在网络中的生成、储存、访问、更改与传送的方法,进而探测、识别、分析与了解静态数据与动态数据的情况。
【分级】其次,必须通过政策与控制找到储存在资料库中的静态数据并且对其进行分级与保护。高级数据库探查软件能够搜索整个网络从而找到数据生产情况与恶意数据库并扫描资料库。人们应该定期进行网络扫描,从而查找那些违反政策规定的行为并且发送警报以立刻进行纠正。能够对数据进行索引与分级的解决方案使得人们可以更加轻松地去询问与了解敏感数据及其使用情况、所有者、储存地与扩增情况。此外,数据库中的数据应该得到加密与备份。
【防护】我们还需要明白那些在网络中流转的动态数据也是有效数据探查的重要内容。捕捉技术能够收集与记录数周、甚至数月的网络流量。它们分析数据类型从而确定标准数据与专有数据,然后制定有效的政策以防止和控制数据内容流传到网络之外。如果想要防止内部人士恶意破坏网络,那么就必须要对数据进行加密。当设备损失或失窃时,还要防止他人进行未授权访问。
对于数据库或者数据本身来说,各种防护策略最好的选择就是加密。因为加密的特殊性,数据即使由于种种原因泄漏,加密防护依然存在,真实内容也不会暴露,可以说是一种彻底、长久的防护之法。在现今多样的安全环境和防护需求的背景下,使用国际先进的多模加密技术无疑是最好的选择。
1.数据脱敏
数据脱敏是保证数据安全的最基本的手段,脱敏方法有很多,最常用的就是使用可逆加密算法,对入仓每一个敏感字段都需要加密。比如手机号,邮箱,身份z号,yhk号等信息
2.数据权限控制
需要开发一套完善的数据权限控制体系,最好是能做到字段级别,有些表无关人员是不需要查询的,所以不需要任何权限,有些表部分人需要查询,除数据工程师外,其他人均需要通过OA流程进行权限审批,需要查看哪些表的哪些字段,为什么需要这个权限等信息都需要审批存档。
3.程序检查
有些字段明显是敏感数据,比如身份z号,手机号等信息,但是业务库并没有加密,而且从字段名来看,也很难看出是敏感信息,所以抽取到数据仓库后需要使用程序去统一检测是否有敏感数据,然后根据检测结果让对应负责人去确认是否真的是敏感字段,是否需要加密等。
4.流程化 *** 作
流程化主要是体现在公司内部取数或者外部项目数据同步,取数的时候如果数据量很大或者包含了敏感信息,是需要提OA 审批流程的,让大家知道谁要取这些数据,取这些数据的意义在哪,出了问题可以回溯,快速定位到责任人。开发外部项目的时候,不同公司之间的数据同步,是需要由甲方出具同意书的,否则的话风险太大。
5.敏感SQL实时审查及 *** 作日志分析
及时发现敏感sql的执行并询问责任人,事后分析 *** 作日志,查出有问题的 *** 作。
6.部门重视数据安全
把数据安全当做一项KPI去考核,让大家积极的参与到数据安全管理当中去。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)