企业如果落地和建设数据安全?
最近数据安全法出台发布了,但是在建设和落地的过程中缺少经验,需要共同讨论数据安全的建设和落地
收起查看其它 1 个回答zhanxuechao的回答
数据安全主要包括四个部分:数据安全的基本特性、数据保护、数据库安全和其他数据安全等。
(1) 与信息安全的五大特性(完整性、保密性、可用性、不可否认性、可控性)相配合,数据安全的三大特性为,可用性、完整性和保密性:
① 数据的可用性 是指经授权的合法用户必须得到系统和网络提供的正常服务。不可因为保护数据泄露而拒合法使用者于千里之外。数据安全必须为合法使用者提供便捷的服务。
② 数据的完整性 是指数据未经授权不得进行修改,确保数据在存储和传输过程中不被篡改、破坏、盗用、丢失。这需要在加密的基础上,运用多种方案和技术来实现。完整性是数据安全的核心。要保障数据的完整性,必须设置部门人员权限和文件密级。这样可以严格控制文件的流向,监控文件访问人员的操作行为,从源头上控制数据泄露。此外,鉴于黑客攻击的目标通常是高权限账户,系统建立了完善的日志审计体系。全面记录对文件的操作行为,特别是高权限账户。通过监控和分析,实时呈现整体安全态势,并及时识别威胁行为,杜绝数据泄露的发生。
③ 数据的保密性 是指对数据进行加密,只有授权者方可使用,并保证数据在流通环节不被窃取。这包括网络传输保密和数据存储保密。这一特性,要求加密技术必须自动、实时、精确、可靠。
(2)围绕数据安全基本特性即数据安全的基本要求,进行数据保护。实际上数据保护可以细分为防误删、防篡改、防泄漏以及配合的数据加解密手段。
① 防误删。 应当通过安全设备、安全策略或系统自身功能防止数据被恶意删除。防止数据被恶意删除有三个层面值得防护:应用系统层面、操作系统层面和数据库层面。对这三个层面的操作权限进行严格的控制,并且杜绝物理删除,只允许逻辑删除,并且保留日志记录,日志应当详细的记录整个删除操作,包括删除时间、删除人员、删除对象、删除前内容等。另外对于防误删,应当制定相应的备份策略,并且对备份集严加管控,确保数据即使被删,也快通过技术手段进行挽回。
② 防篡改。 应当通过安全设备、安全策略或系统自身提供的功能,防止数据被恶意篡改。防止数据被恶意篡改包括数据传输过程中的被恶意篡改和数据存储使用过程中被恶意篡改。与数据防误删一致,应当在不同的层面进行权限控制、日志记录和制定备份策略等方式,防止数据被恶意篡改。另外防止数据被恶意篡改,还应提供数据加密、数据水印、数据校验等手段进行检测和防护。
③ 防泄漏。 数据泄漏的渠道非常多,应当针对不同的渠道采用科学、合理、完善的措施防止数据被泄露。常用的安全设备有:终端DLP、网络DLP、硬盘加密、文件加密、移动介质加密、水印、github监控gitminer等,其中尤其注意gitminer,可以帮忙监控企业在github是是否由泄露敏感代码或数据信息等。对于数据防泄漏这一块,要做到两点,第一是防止数据被泄露出去,第二就是当数据泄露出去时,应当快速的调查出是由谁、什么时间、什么方式、什么终端泄露至什么地方等关键信息,同时配套的网络安全管理方面应当有管理制度和惩罚机制。
(3)数据库安全
数据库作为承载数据最重要的载体之一,数据库的安全防护至关重要。对于数据库的安全防护可从三个方面进行:数据库高可用及灾备、数据库防火墙、数据库审计等。
首先应当通过 数据库的高可用架构 保障数据库能够稳定的运行,避免单点故障,与高可用架构想配合的有灾备方案,包括数据中心灾备、存储灾备等,数据库的高可用方案也有多种选择,如主从同步(如Oracle的DG、MySQL的replication等)、集群(如Oracle的Rac、MySQL的Cluster等)等;
其次是 数据库防火墙 。数据库防火墙系统,串联部署在数据库服务器之前,解决数据库应用侧和运维侧两方面的问题,是一款基于数据库协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。以mysql为例,可以使用db proxy实现防火墙的功能,实际上db proxy的位置与数据库防火墙的位置是一致的,所以二者功能相结合是不错的选择。
最后是 数据库审计 。能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对 攻击行为 进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。 以MySQL为例,开源的审计工具有mysql-audit、mysql sniffer,还有其自身的审计功能。
实际上,数据库安全除了上述主要的三个方面外,还有数据库漏扫、数据库加密、数据脱敏等内容。常见的数据库安全风险包括:刷库、拖库、撞库等,数据库安全攻击最常用的手段是SQL注入攻击。通过数据库安全设备和数据库安全策略以及数据库自身的安全框架,数据库高可用等,共同对数据库安全进行重要防护。
(4)其他数据安全
数据安全域的主要保护对象是数据,实际上除了应用系统的数据外,还包括公司办公文件、会议纪要、公司logo、知识产权物等内容,同时这些内容这也是内容安全域的重要组成部分之一。这一部分数据的安全,结合数据防泄漏的产品设备和策略进行防护,同时还应加强安全管理管控,提升全员安全意识。
回归数据安全域,数据作为企业的重要核心资产之一,一定要加强对数据的防护。同时在防护过程中,也要准确识别不同级别、不同类型的数据资产,分级别防护,做到数据安全收益的最大化。