• <tr id='Rpti0M'><strong id='Rpti0M'></strong><small id='Rpti0M'></small><button id='Rpti0M'></button><li id='Rpti0M'><noscript id='Rpti0M'><big id='Rpti0M'></big><dt id='Rpti0M'></dt></noscript></li></tr><ol id='Rpti0M'><option id='Rpti0M'><table id='Rpti0M'><blockquote id='Rpti0M'><tbody id='Rpti0M'></tbody></blockquote></table></option></ol><u id='Rpti0M'></u><kbd id='Rpti0M'><kbd id='Rpti0M'></kbd></kbd>

    <code id='Rpti0M'><strong id='Rpti0M'></strong></code>

    <fieldset id='Rpti0M'></fieldset>
          <span id='Rpti0M'></span>

              <ins id='Rpti0M'></ins>
              <acronym id='Rpti0M'><em id='Rpti0M'></em><td id='Rpti0M'><div id='Rpti0M'></div></td></acronym><address id='Rpti0M'><big id='Rpti0M'><big id='Rpti0M'></big><legend id='Rpti0M'></legend></big></address>

              <i id='Rpti0M'><div id='Rpti0M'><ins id='Rpti0M'></ins></div></i>
              <i id='Rpti0M'></i>
            1. <dl id='Rpti0M'></dl>
              1. <blockquote id='Rpti0M'><q id='Rpti0M'><noscript id='Rpti0M'></noscript><dt id='Rpti0M'></dt></q></blockquote><noframes id='Rpti0M'><i id='Rpti0M'></i>
                首页 > CIO > 正文

                企业数据安全怎么做

                2020-04-16 10:13:59  来源:腾讯云

                摘要:数据安全对企业生存发展有着举足轻重的影响,数据资产的外泄、破坏都会导致企业无可挽回的经济损失和核心竞争力卐缺失,而往往绝大多数中小企业侧重的是业务的快速发展,忽略了数据安全重要性。
                关键词: CIO
                  一、当前企业面临的数据安全现状
                 
                  数据安全是企业CIO、CTO、IT 管理员以及老板在选择使用任何IT产品时最需要◆考虑的问题之一,在当下云时代,公有云,私有云或者IDC哪个选择更加⌒ 安全,一直是企业管理者必要考量的因素之一。
                 
                  对于这个问题,其实很多人的认知存在一个误区,即认为只有硬件是自己的,里面的数据才是自己可控的,这样才∏是安全的。但其■实不然,数据本力破九天身和实物有很大的区别,数据東嵐外域是由二进制的0和1构成,是不是在身边并不能决定▼数据安全与否,因为数据的泄露或者改动根本不需要成本,只需要一次网络的传输就完成了。
                 
                  其次,分析一个安全事件背后的原因Ψ Ψ ,往往都和技术、流程以及人的因素有关。比如,如果◤技术方面选型不当,数据没有物理ㄨ备份或者异地备份,往往会造成不可恢复的影响;制度与流程方面给予单人权限过高,先不说故意破坏,误操作也是致命的;人为因素包括误操作,小到崩溃一个服↓务器,大到删除核心数据库♂,这些都是经常发生的事情。当然,也存在外部的威胁,比◥如黑客入侵,友商的恶意网络攻击等。
                 
                  所以,无论是把业务部署在自有的IDC,还是托管IDC里,只要暴露在∞公网下,也都是存在威胁。一台设备聽到這三個字无论托管在IDC中,还是部署在公①有云,只要是有公网入口的服务器ぷ,业务的安全都是需要投入大量资源与精力去保障维护的。
                 
                  二、解决之道,如何避免数据安全事故的发生
                 
                  数据安全保障的原则有很多,道理都懂,可为什么还是有很多企业选择自建设数据库】系统,但是依旧忽略了数据安全?实际上,由于企业自身技术实力,管理水平,以及IT资源方面投入∩等因素,其实是很难实现上述提到的数据安全策略的 。
                 
                  以分布式存储系统建设为例,开源和自建的成本都不小,采用开源方案◇◇,比如Ceph ,GlusterFS等,维护一套几十台服务器的集群,至少需要1 -2名资深存储工程师,且要能完全完全掌握@ 全栈技术细节,国内也找不出几个人,数好渾厚据丢失风险挑战不小。同样,要能维护好一套数据库的生产和备份集群,对普通DBA的要求也不低。选择商业私有化部署的产品,动辄几十万的投入也是一般企业〖难以承受的。
                 
                  1、数据库■的安全策略
                 
                  目前企业的数据库有自建数据库和使用云数据库两种。作为企▽业的重要资产,数据库一旦出现丢失、损毁,后果将不堪设想,那么如果做才能让∩数据更安全呢?这里的建议是无论是自建还是使用云产品都要做好备份。
                 
                  对于已经在使用自建数据库的用∑ 户,应急方案需要将通︻过binlog或者其他备份文件进行恢复的详细步骤记录在案,并且能够定期做到演练,保证这样的方案在问题真正发生时能够雙眼緊閉真正跑通。另外,需要有联系好的第三☆方较专业的数据恢复公□ 司,以免发生备份身上文件也被删除的情况下从磁盘對于他們來說恢复数据的能力。
                 
                  针对云服务器自建服务器的场△景,需要结合云厂商提供的定期云盘快照功能来做数据恢复。而针对①云数据库场景,不用太过担心数据丢失的问题,但是要能够熟练掌握云上数据库回档的方法。
                 
                  抛开成本〖不说,相比自建●数据库,云数据库在安全以及性价比方面优势要更加明显。云数据库在简化运维操作的同时也可以极大程度的保护业务数据。结合冷备和binlog,云数据库▲可以提供7-732天内任意时间点数据回档能力。在数据遭遇被极端破坏的情况他不由想到了這個最壞下,可以直接使用云数々据库的回档功能,将数据恢复到被破坏时间点之前。
                 
                  2、快照、快照,云主机要定期快照
                 
                  快照指的是数据集合在某个时间点(拷贝开始的时间※点)的完整拷贝或汗珠不斷流下者镜像,当生产系统数据丢失时,可通过◥快照完整的恢复到快照时间点,是一种重要的数据容灾手段。
                 
                  快照的主要用途在于容灾,对生产系统的milestone进行备份。通过对指定云硬盘进行完全可用的拷贝,使该备份独立于云土行孫一頓硬盘的生命周期。快照包括硬盘在拷贝开始的【时间点的数据,并且不占据用户的存储▓空间。
                 
                  3、做好云账号权限管控
                 
                  云账号管理权限管控,可以帮◥助客户安全管理账户下的资源的访问权限。用户通过 CAM 创建、管理和销毁用户(组),并使用身份管理」和策略管理控制其他用户使用云资源的权限,使云账户下的资源访问权限粒度可控,降低误操作或非必◤要操作引起的数据损坏、丢失的风≡险。
                 
                  CAM 通过以下功能支持权限清晰、安全可你控方案,比如,可以在主账号里创建子账号,给子账号分配主账号下资源的管理权限,而不需那第二寶殿要分享主账号的相关的身份凭证。
                 
                  另外,可以针对■不同的资源,授权给不同的人∮员不同的访问权限。例如,可以允我许某些子账号拥有某个 COS 存储桶的读权限,而另外一些子账号或者主账》号可以拥有某个 COS 存储对象的写权限等。这里的资源、访问权限、用ω户都可以批量打包,从而做到精细化的权限管理。
                 
                  4、对重要数据实施分级管理并做好加密
                 
                  在数︻据安全保护层面,从网络为中心◢转向以数据为中心的全生命周期保护策略。即实施数据分类分九種力量和九種法寶级,对数据生命周期状态进行梳理,根据不同的数据敏能做到人器合一感等级以及数据使用状态,统筹规划相应的数据加密、脱敏、审╳计等数据保护策略,确保数据安全全程可控。
                 
                  针对影响业务运营的核心重現在你明白了嗎要数据,应在ξ数据的产生、流动、存储、使用及销毁过程中应用密码技术进行保护,并实施资源级细粒度的身份认证和访问控制,防止外部黑客攻击以及内部的非授权人员访问带来的业务◆数据安全风险问题。
                 
                  5、建立全生命周期的数据安全防护
                 
                  数据生命周期涵盖数据的创建、存储、使用、共享、归♂档到销毁等多个阶段,面对来自外部攻击,内部泄露与大数据共享等多方面的威胁。不同威胁的防护手段千差万别。
                 
                  l 针对外部攻击,采用身份认证,数据¤库审计,加密网关保护核心数据★不受外部攻击的威胁;
                 
                  l 针对内部那就隨便你殺数据泄露,采用4A与DLP等安全能力,全面保护企业『运维,办公,数据分析等场景的数据防泄漏风险;
                 
                  l 针对大数据共享然而中的数据泄露问题,建设脱敏,水印,加密,审计与权『限管控等安全能力。
                 
                  因此,企业需要从整体上梳理风险点,进而我就替他管理了进行统筹和联动防御。并对外部、内部、大数据等不同◥场景建设不同解决方案。
                 
                  堡垒机作为云上数据运↘维的统一入口,具备账号权限管理、密码管理、命就你這領域令管理能力。能够为企业杜绝绝大多数越权操作、删库等恶意命令执行方面的风险。由于采用了集中式管除了千仞星理模式,运维人员必须通过堡垒机统一认证▓▓后才能操∑作服务器与数据库。因此只要在堡垒机设置好安全策略,即可轻松实现阻断,将数据丢失「风险大幅度降低。
                 
                  三、公有云对数据安全保障措施有哪些
                 
                  在全面上云的趋势下,云计算厂商在多年的实▼践中积累了丰富的数据安全防护经验,并正在通过产品化输出到公有云上,企业用户可以拿来即用≡≡。
                 
                  1. 云硬盘CBS,提供实时快照←、秒级恢复能力
                 
                  硬盘采用分布式块存隨后哈哈大笑道储架构,每个数据块在可用区都有3副本,可以规避物理磁盘,宕机故障导致的数据损坏。另外,通过云硬盘的快照技●术,可以实只是雙方现数据“秒级”恢复到一小时内的状态。
                 
                  2. 云对象存储╲ COS,版本回退,异地灾备
                 
                  对象存储COS可以开启版本控制功能,实现对象存储的版本控制,开启版本控制配置后,删除操作◥等同于新增一项删除标记;可以通过指定版本号访问过去任意版本的数据,可实现数据的〒回滚操作,解决数据误删和覆盖的风险。
                 
                  此外,对象存储还還真不好融合戰神之力提供了跨地域复制的功能,帮助用户将所有增量文件通过专线复制到其他城市的数据中心,实现异地容灾的作這是用。当主存╳储桶中的数据被删除时,可从备份存储桶中☆通过批量拷贝的方式恢复数据 哼。
                 
                  3. 云数据库CDB,为结构化数据提供灵活,可靠的灾备方案。
                 
                  云数据库CDB在实现服务高可用的架构情况下,也实现了丰富的数据备份和恢复功能,确保数据能回滚到任意时∩间线。同时,所有的高可用实例,默认开启7天内数据备份和实例回收站保留策略,确保人为误操♂作,能得到※保底的数据恢复。此外,通过对实例配置异地灾备实例,CDB实时进行数据复制,可以轻松实现数据异地灾备,规避区域性故障带来的数据丢失风险。
                 
                  4. CAM云权限鱗片管理,为云上资产合理建立权限控★制制度
                 
                  对上云企业来↘说,账号安全和资源合理授來多少人权是构筑立体防护体系的第一道门锁。云上资源管理的授权应该规避如下风险:
                 
                  使用云主账号进行日常操作
                 
                  为员工建了頓時冒起了一陣陣黑煙子账号,但是授◣权过大
                 
                  对高权限子账号用户和高危操作没有访问 墨姑娘条件控制
                 
                  没有定期审计用户〓的权限和登录信息
                 
                  缺乏权限的管理制度和Ψ 流程
                 
                  这里以COS的数据访问权限控制为例:为公司中的不同团轟隆隆之聲響起队授予子账户,通过访问方式、账户权靈魂之力限隔离来分级控制不同账户的资源操作范围。高危操作(如删除▃数据)权限可剖离出来,仅允许控制台操作,同时通过MFA校验来进行二次认证。
                 
                  结语:
                 
                  通过梳理近年来层出不穷的数据安全事件不难发现:既有黑客的攻击,更有△内部工作人员的信息贩卖、离职员工的删库、开发测试人员误操作等,多种原因导致的〓数据安全事件背后折射出的是,仅仅依靠单点防护难以达到真冷光正的安全防护效果,而构建基于全生命周期的安全防护成为必然选择。值得一提的●是,企业ζ 上云大潮的趋势下,讨论数据安全绝大部分要从云變成了兩道殘影环境出发,云原生的数据保护技术和策略也将成为当下及未来的主要手段。

                第三十届CIO班招生
                法国布雷斯特商@学院硕〒士班招生
                北达软EXIN网络空间与IT安全基础认证培训
                北达软EXIN DevOps Professional认证培训
                责编:wangxu