企業(yè)落地和建設(shè)數(shù)據(jù)安全最佳實踐_第1頁
企業(yè)落地和建設(shè)數(shù)據(jù)安全最佳實踐_第2頁
企業(yè)落地和建設(shè)數(shù)據(jù)安全最佳實踐_第3頁
企業(yè)落地和建設(shè)數(shù)據(jù)安全最佳實踐_第4頁
企業(yè)落地和建設(shè)數(shù)據(jù)安全最佳實踐_第5頁
已閱讀5頁,還剩1頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

企業(yè)落地和建設(shè)數(shù)據(jù)安全最佳實踐

來自twt社區(qū)同行交流,供大家參考企業(yè)如何落地和建設(shè)數(shù)據(jù)安全?最近數(shù)據(jù)安全法出臺發(fā)布了,但是在建設(shè)和落地的過程中缺少經(jīng)驗,期待共同討論數(shù)據(jù)安全的建設(shè)和落地。問題來自社區(qū)會員,歡迎大家來探討。其實信息化安全也好。數(shù)據(jù)安全也好。都存在一個問題。那就是每個企業(yè)的實際環(huán)境不同。雖然同行業(yè)的成功案例可以作為參考。但仍然難以作為本企業(yè)的一個執(zhí)行標(biāo)準(zhǔn)。所謂的經(jīng)驗。其實更多的時候不能像其他行業(yè)一樣照搬。比如同樣是金融行業(yè)。但有的規(guī)模大。有的規(guī)模小。在信息化和數(shù)據(jù)安全上的投入差異巨大。業(yè)務(wù)的重要性也不同。導(dǎo)致最終在實際落地中可能采用完全不同的技術(shù)方案。對于企業(yè)自身要實際落地建設(shè)數(shù)據(jù)安全系統(tǒng)。我覺得首先就是對自己整體信息化的完全了解并作出一個長期的規(guī)劃,在有限的資金支持下逐步執(zhí)行,資金緊張就先對整個數(shù)據(jù)架構(gòu)進(jìn)行規(guī)整,便于后期的防護(hù),審計,有了好的架構(gòu)才能讓后期數(shù)據(jù)安全建設(shè)時可以靈活的插入各種設(shè)備而對整體業(yè)務(wù)影響最少。數(shù)據(jù)安全不僅僅是吧數(shù)據(jù)保護(hù)起來,監(jiān)控起來,還要結(jié)合實際業(yè)務(wù),實際的信息化架構(gòu),進(jìn)行整體的設(shè)計,做到既是一個獨立的系統(tǒng)。又能夠和整體的架構(gòu)完美的匹配。JanXCnec系統(tǒng)架構(gòu)師:數(shù)據(jù)安全主要包括四個部分:數(shù)據(jù)安全的基本特性、數(shù)據(jù)保護(hù)、數(shù)據(jù)庫安全和其他數(shù)據(jù)安全等。(1)與信息安全的五大特性(完整性、保密性、可用性、不可否認(rèn)性、可控性)相配合,數(shù)據(jù)安全的三大特性為,可用性、完整性和保密性:①數(shù)據(jù)的可用性是指經(jīng)授權(quán)的合法用戶必須得到系統(tǒng)和網(wǎng)絡(luò)提供的正常服務(wù)。不可因為保護(hù)數(shù)據(jù)泄露而拒合法使用者于千里之外。數(shù)據(jù)安全必須為合法使用者提供便捷的服務(wù)。②數(shù)據(jù)的完整性是指數(shù)據(jù)未經(jīng)授權(quán)不得進(jìn)行修改,確保數(shù)據(jù)在存儲和傳輸過程中不被篡改、破壞、盜用、丟失。這需要在加密的基礎(chǔ)上,運用多種方案和技術(shù)來實現(xiàn)。完整性是數(shù)據(jù)安全的核心。要保障數(shù)據(jù)的完整性,必須設(shè)置部門人員權(quán)限和文件密級。這樣可以嚴(yán)格控制文件的流向,監(jiān)控文件訪問人員的操作行為,從源頭上控制數(shù)據(jù)泄露。此外,鑒于黑客攻擊的目標(biāo)通常是高權(quán)限賬戶,系統(tǒng)建立了完善的日志審計體系。全面記錄對文件的操作行為,特別是高權(quán)限賬戶。通過監(jiān)控和分析,實時呈現(xiàn)整體安全態(tài)勢,并及時識別威脅行為,杜絕數(shù)據(jù)泄露的發(fā)生。③數(shù)據(jù)的保密性是指對數(shù)據(jù)進(jìn)行加密,只有授權(quán)者方可使用,并保證數(shù)據(jù)在流通環(huán)節(jié)不被竊取。這包括網(wǎng)絡(luò)傳輸保密和數(shù)據(jù)存儲保密。這一特性,要求加密技術(shù)必須自動、實時、精確、可靠。(2)圍繞數(shù)據(jù)安全基本特性即數(shù)據(jù)安全的基本要求,進(jìn)行數(shù)據(jù)保護(hù)。實際上數(shù)據(jù)保護(hù)可以細(xì)分為防誤刪、防篡改、防泄漏以及配合的數(shù)據(jù)加解密手段。①防誤刪。應(yīng)當(dāng)通過安全設(shè)備、安全策略或系統(tǒng)自身功能防止數(shù)據(jù)被惡意刪除。防止數(shù)據(jù)被惡意刪除有三個層面值得防護(hù):應(yīng)用系統(tǒng)層面、操作系統(tǒng)層面和數(shù)據(jù)庫層面。對這三個層面的操作權(quán)限進(jìn)行嚴(yán)格的控制,并且杜絕物理刪除,只允許邏輯刪除,并且保留日志記錄,日志應(yīng)當(dāng)詳細(xì)的記錄整個刪除操作,包括刪除時間、刪除人員、刪除對象、刪除前內(nèi)容等。另外對于防誤刪,應(yīng)當(dāng)制定相應(yīng)的備份策略,并且對備份集嚴(yán)加管控,確保數(shù)據(jù)即使被刪,也快通過技術(shù)手段進(jìn)行挽回。②防篡改。應(yīng)當(dāng)通過安全設(shè)備、安全策略或系統(tǒng)自身提供的功能,防止數(shù)據(jù)被惡意篡改。防止數(shù)據(jù)被惡意篡改包括數(shù)據(jù)傳輸過程中的被惡意篡改和數(shù)據(jù)存儲使用過程中被惡意篡改。與數(shù)據(jù)防誤刪一致,應(yīng)當(dāng)在不同的層面進(jìn)行權(quán)限控制、日志記錄和制定備份策略等方式,防止數(shù)據(jù)被惡意篡改。另外防止數(shù)據(jù)被惡意篡改,還應(yīng)提供數(shù)據(jù)加密、數(shù)據(jù)水印、數(shù)據(jù)校驗等手段進(jìn)行檢測和防護(hù)。③防泄漏。數(shù)據(jù)泄漏的渠道非常多,應(yīng)當(dāng)針對不同的渠道采用科學(xué)、合理、完善的措施防止數(shù)據(jù)被泄露。常用的安全設(shè)備有:終端DLP、網(wǎng)絡(luò)DLP、硬盤加密、文件加密、移動介質(zhì)加密、水印、github監(jiān)控gitminer等,其中尤其注意gitminer,可以幫忙監(jiān)控企業(yè)在github是是否由泄露敏感代碼或數(shù)據(jù)信息等。對于數(shù)據(jù)防泄漏這一塊,要做到兩點,第一是防止數(shù)據(jù)被泄露出去,第二就是當(dāng)數(shù)據(jù)泄露出去時,應(yīng)當(dāng)快速的調(diào)查出是由誰、什么時間、什么方式、什么終端泄露至什么地方等關(guān)鍵信息,同時配套的網(wǎng)絡(luò)安全管理方面應(yīng)當(dāng)有管理制度和懲罰機制。(3)數(shù)據(jù)庫安全數(shù)據(jù)庫作為承載數(shù)據(jù)最重要的載體之一,數(shù)據(jù)庫的安全防護(hù)至關(guān)重要。對于數(shù)據(jù)庫的安全防護(hù)可從三個方面進(jìn)行:數(shù)據(jù)庫高可用及災(zāi)備、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫審計等。首先應(yīng)當(dāng)通過數(shù)據(jù)庫的高可用架構(gòu)保障數(shù)據(jù)庫能夠穩(wěn)定的運行,避免單點故障,與高可用架構(gòu)想配合的有災(zāi)備方案,包括數(shù)據(jù)中心災(zāi)備、存儲災(zāi)備等,數(shù)據(jù)庫的高可用方案也有多種選擇,如主從同步(如Oracle的DG、MySQL的replication等)、集群(如Oracle的Rac、MySQL的Cluster等)等;其次是數(shù)據(jù)庫防火墻。數(shù)據(jù)庫防火墻系統(tǒng),串聯(lián)部署在數(shù)據(jù)庫服務(wù)器之前,解決數(shù)據(jù)庫應(yīng)用側(cè)和運維側(cè)兩方面的問題,是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫安全防護(hù)系統(tǒng)。DBFirewall基于主動防御機制,實現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險操作阻斷、可疑行為審計。以mysql為例,可以使用dbproxy實現(xiàn)防火墻的功能,實際上dbproxy的位置與數(shù)據(jù)庫防火墻的位置是一致的,所以二者功能相結(jié)合是不錯的選擇。最后是數(shù)據(jù)庫審計。能夠?qū)崟r記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動,對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計的合規(guī)性管理,對數(shù)據(jù)庫遭受到的風(fēng)險行為進(jìn)行告警,對攻擊行為進(jìn)行阻斷。它通過對用戶訪問數(shù)據(jù)庫行為的記錄、分析和匯報,用來幫助用戶事后生成合規(guī)報告、事故追根溯源,同時加強內(nèi)外部數(shù)據(jù)庫網(wǎng)絡(luò)行為記錄,提高數(shù)據(jù)資產(chǎn)安全。以MySQL為例,開源的審計工具有mysql-audit、mysqlsniffer,還有其自身的審計功能。實際上,數(shù)據(jù)庫安全除了上述主要的三個方面外,還有數(shù)據(jù)庫漏掃、數(shù)據(jù)庫加密、數(shù)據(jù)脫敏等內(nèi)容。常見的數(shù)據(jù)庫安全風(fēng)險包括:刷庫、拖庫、撞庫等,數(shù)據(jù)庫安全攻擊最常用的手段是SQL注入攻擊。通過數(shù)據(jù)庫安全設(shè)備和數(shù)據(jù)庫安全策略以及數(shù)據(jù)庫自身的安全框架,數(shù)據(jù)庫高可用等,共同對數(shù)據(jù)庫安全進(jìn)行重要防護(hù)。(4)其他數(shù)據(jù)安全數(shù)據(jù)安全域的主要保護(hù)對象是數(shù)據(jù),實際上除了應(yīng)用系統(tǒng)的數(shù)據(jù)外,還包括公司辦公文件、會議紀(jì)要、公司logo、知識產(chǎn)權(quán)物等內(nèi)容,同時這些內(nèi)容這也是內(nèi)容安全域的重要組成部分之一。這一部分

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論