企业数据安全自查Checklist!
快来对照表单,看看你的数据安全及格了吗?
一、京东云安全Checklist建议
京东云安全拥有业界领先的安全研究团队,经过多年实践与经验积累,京东云已面向不同业务场景制定了完善详细的安全配置Checklist。京东云安全Checklist可以根据用户的需求进行补充和调整,用户也可以基于该Checklist进行自定义。
1、网络设备安全Checklist
网络设备安全配置检查包含但不限于以下内容:
OS安全
帐号和口令管理
认证和授权策略
网络与服务
访问控制策略
通讯协议、路由协议
日志审核策略
加密管理
设备其他安全配置
……
2、主机操作系统Checklist
主机操作系统安全配置检查包含但不限于以下内容:
系统漏洞补丁管理
帐号和口令管理
认证、授权策略
网络与服务、进程和启动
文件系统权限
访问控制
通讯协议
日志审核功能
防DDoS攻击
剩余信息保护
其他安全配置
……
3、数据库Checklist
数据库安全配置检查包含但不限于以下内容:
漏洞补丁管理
帐号和口令管理
认证、授权策略
访问控制
通讯协议
日志审核功能
其他安全配置
……
4、中间件及网络服务Checklist
中间件及常见网络服务安全配置检查包含但不限于以下内容:
漏洞补丁管理
帐号和口令管理
认证、授权策略
通讯协议
日志审核功能
其他安全配置
……
“rm -rf /*”
在Unix/linux系统的服务器上,删库的代码虽然只有短短一行,但若使用不当,后果可是“瞬间毁灭”级别的存在。
二、数据安全威胁要素
在美国德克萨斯州大学的一份调查中显示:“只有6%的公司可以在数据丢失后生存下来,43%的公司会彻底关门,51%的公司会在两年之内消失。
1、数据安全问题
通常情况下,数据安全风险来自企业内网,是以非法占用网络资源、系统资源和数据资源为目的,利用云上业务系统或资产弱点进行恶意入侵和渗透,进而提升权限以非法获取数据资源,实施诸如数据窃取、数据篡改、数据下载、拖库和删除等行为。
2、运维安全问题
随着信息化的发展,企事业单位 IT 系统不断发展,网络规模迅速扩大、设备数量激增,建设重点逐步从网络平台建设,转向以深化应用、提升效益为特征的运行维护阶段, IT 系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益,构建一个强健的 IT 运维安全管理体系对企业信息化的发展至关重要,对运维的安全性提出了更高要求。
三、数据安全管理实践
根据权威机构调查统计数据表示,57%的公司认为数据库是内部攻击最脆弱的资产。数据库的安全性是指保护数据库以防止不合法使用所造成的数据泄露、更改或损坏。安全保护措施是否有效是数据库系统的主要技术指标,我们可以将数据安全看做一个木桶,整个防护体系是否坚固其实取决于短板。
回顾近年来发生的多起重大安全事件,发现这类事件几乎都与数据安全有关——无论是数据泄露,还是对数据进行删除破坏的勒索病毒皆是如此,因此,企业需要在数据全生命周期不同阶段从多个方面进行监测、防御和治理,企业不仅需要针对来自外部的威胁给予管控,同时也应预防内部的恶意员工、恶意行为以及因为各类失误造成的数据损毁,并做到快速止损、追踪溯源和准确的调查取证。由于数字经济时代的全面来临,企业的业务也逐步由数据所驱动,因此对企业数据的安全保护将会成为企业赖以生存和发展的重要基石。
接下来将根据京东云在数据安全管理方面的经验总结出在数据生命周期不同阶段的数据安全管理实践方法:
1、建立数据全生命周期安全管理闭环
目前,互联网业务创新带来了新的风险,比如数据去隐私化处理以及数据上云后的主管权问题。因此,对于数据的保护不应该只是静态的保护,而要注重流动数据的保护。京东云根据自身多年时间经验提出了纵深防御策略。
初期安全洞察
对于事前的预警要做到威胁的发现以及对数据的梳理,从隐患来源以及数据库自身的弱点,先找到数据库的潜在攻击威胁。另外,需要对不同的数据有不同的分类,通过对不同的规范、大数据保护指南、对企业自身业务的敏感性和价值等角度,对数据进行不同的标签分类,从而对不同类型以及重要度的数据,进行不同的保护措施。通过这种方式,京东云可帮助用户更有效、更低成本地对数据进行事前的保护以及预警。
数据安全可防可控
对于外部攻击,云通过对SQL或者noSQL注入的特征,对相关的访问行为进行监测和保护,并采用虚拟补丁对整个数据库进行漏洞保护。同时,强调了来自内部的“攻击”。由于人是操作的最后执行者和系统的使用者,大量的问题都是出现在操作者端——无论是误操作还是有意的攻击。因此,京东云采用了数据库操作审计和权限审批的措施,做到内部的数据可控。
打造安全软胄甲
在运维管理场景中,京东云通过运维审计管理平台提供“从登陆到退出”的全程审计与管控措施,不但能够针对运维操作行为进行跟踪、审计、记录,还可针对恶意操作、误操作进行实时拦截,从根本上杜绝前述重大数据安全事故的发生。
因此,即使京东云的数据发生泄露,攻击者也无法获取真实信息,即做到看不懂、拿不走、用不了。由于企业对于数据很可能会进行分析,或者在开发、测试环境中进行利用,因此数据在第三方传输和使用中进行脱敏处理就成了必要工作。京东云对这些数据进行随机/部分替换以及掩码处理,确保数据在离开数据库进行其他处理时不会泄露,并针对在数据库中的数据进行国密算法的加密。
如果企业真的收到了安全攻击,那么在事件发生后,快速响应并且在事后进行分析追责是重中之重。京东云对整个数据库的运行提供审计、追溯以及分析的服务,能够确保在事后通过详细的数据库行为日志确定事件源头、识别定位风险、分析业务系统中的bug以及故障。
2、典型场景实践:如何构建数据库安全护城河
近年来,越来越多的企业摒弃了原先的自建数据库转而选择购买云数据库作为公司的数据存储工具。何为云数据库?云数据库是指被优化或部署到公有云端的全托管型数据库,可以实现按需付费、按需扩展、服务高可用性、数据高可靠等优势。而这些优势恰恰解决了传统自建数据库的痛点:资源利用率低,服务水平依赖专业DBA人员,运维成本高以及硬件采购等问题。
2020年的开年,几乎对全球所有行业都带来了不小的冲击。但有一个行业例外:受疫情影响,游戏等娱乐产品的流水反而屡创新高。大量的玩家涌入游戏会使服务器变得拥堵不堪,而依托云数据库MongoDB完善的备份机制和根据备份创建实例的能力,可快速实现游戏等分区类应用场景滚服和合服中对数据迁移的需求;针对传统数据库运维成本高的问题,京东云提供了LAMP网站所必须的云主机和MySQL云数据库产品,便于企业用户将网站部署在京东云上,同时,监控备份,安全防护等多项辅助运维能力和天生的主备高可用架构,使用户无需为云数据库运维工作伤神,专注于网站发展。
目前,京东云是市场上唯一一家免费向用户提跨地域备份同步功能的厂商,帮助客户搭建异地的数据库灾备中心。当某个地域的数据库因为自然灾害等不可抗因素无法提供服务时,跨地域同步备份服务可以快速在异地搭建新的云数据库服务,满足用户异地容灾的需求。此外,京东云平台的MFA(多因子认证)功能,可以在用户执行删除实例等重要操作前,以验证码的方式进行二次校验后,确认无误后方可操作;云数据库内置的操作审计功能可以对用户行为进行审计记录,帮助追溯安全事件,快速确认问题根源。
同时,京东云免费提供了DTS(Data Transformation Service)以快捷高效的帮助用户将数据迁移上云。目前已支持将用户的源数据库迁入京东云数据库RDS和MongoDB.同时在数据迁移过程中,源数据库可正常对外提供能服务,用户可以通过控制台随时查看数据迁移进度,并在完成迁移后进行数据校验进一步保证数据完整上云。
3、典型场景实践:运维安全审计管理与追溯
优秀的运维管理平台不仅应该及时捕捉危险的运维指令,还应该为使用者提供简单易用的管理方式,不但能够提升运维效率、还能降低因较大运维管理压力导致的误操作,使安全管理人员和运维人员的精力得到有效释放,进一步降低生产运营成本。
浏览器兼容
提供基于 B/S 架构的 Web 访问能力,只需要一个浏览器即可访问目标设备,支持目前主流的浏览器,包括:Chrome、FireFox、Edge、Safari、IE11。
客户端兼容
能够与第三方客户端工具无缝适配,包括:RDP、SSH、SFTP、HTTP/HTTPS等协议的客户端工具软件,如SecurCRT、putty、Xshell、Mstsc、Winscp、Xsftp等,不改变运维人员的操作习惯。
跨平台兼容
京东云-运维审计管理平台具有跨平台运维行为管控能力,可覆盖多种主流主机操作系统、网络设备和运维协议,包括不限于:
协议类型——SSH、RDP、SFTP、HTTP、HTTPS等;
操作系统类型——RedHat Linux、Windows等。