這份數據安全自查checklist請拿好,幫你補齊安全短板的妙招全在裏面!
企業數據安全自查Checklist!
快來對照表單,看看你的數據安全及格了嗎?
一、京東雲安全Checklist建議
京東雲安全擁有業界領先的安全研究團隊,經過多年實踐與經驗積累,京東雲已面向不同業務場景制定了完善詳細的安全配置Checklist。京東雲安全Checklist可以根據用戶的需求進行補充和調整,用戶也可以基於該Checklist進行自定義。
1、網絡設備安全Checklist
網絡設備安全配置檢查包含但不限於以下內容:
- OS安全
- 帳號和口令管理
- 認證和授權策略
- 網絡與服務
- 訪問控制策略
- 通訊協議、路由協議
- 日誌審核策略
- 加密管理
- 設備其他安全配置
- ……
2、主機操作系統Checklist
主機操作系統安全配置檢查包含但不限於以下內容:
- 系統漏洞補丁管理
- 帳號和口令管理
- 認證、授權策略
- 網絡與服務、進程和啟動
- 文件系統權限
- 訪問控制
- 通訊協議
- 日誌審核功能
- 防DDoS攻擊
- 剩餘信息保護
- 其他安全配置
- ……
3、數據庫Checklist
數據庫安全配置檢查包含但不限於以下內容:
- 漏洞補丁管理
- 帳號和口令管理
- 認證、授權策略
- 訪問控制
- 通訊協議
- 日誌審核功能
- 其他安全配置
- ……
4、中間件及網絡服務Checklist
中間件及常見網絡服務安全配置檢查包含但不限於以下內容:
- 漏洞補丁管理
- 帳號和口令管理
- 認證、授權策略
- 通訊協議
- 日誌審核功能
- 其他安全配置
- ……
「rm -rf /*」
在Unix/linux系統的服務器上,刪庫的代碼雖然只有短短一行,但若使用不當,後果可是「瞬間毀滅」級別的存在。
二、數據安全威脅要素
在美國德克薩斯州大學的一份調查中顯示:「只有6%的公司可以在數據丟失後生存下來,43%的公司會徹底關門,51%的公司會在兩年之內消失。
1、數據安全問題
通常情況下,數據安全風險來自企業內網,是以非法佔用網絡資源、系統資源和數據資源為目的,利用雲上業務系統或資產弱點進行惡意入侵和滲透,進而提升權限以非法獲取數據資源,實施諸如數據竊取、數據篡改、數據下載、拖庫和刪除等行為。
常見的易導致數據安全風險的因素有:
2、運維安全問題
隨着信息化的發展,企事業單位 IT 系統不斷發展,網絡規模迅速擴大、設備數量激增,建設重點逐步從網絡平台建設,轉向以深化應用、提升效益為特徵的運行維護階段, IT 系統運維與安全管理正逐漸走向融合。信息系統的安全運行直接關係企業效益,構建一個強健的 IT 運維安全管理體系對企業信息化的發展至關重要,對運維的安全性提出了更高要求。
三、數據安全管理實踐
根據權威機構調查統計數據表示,57%的公司認為數據庫是內部攻擊最脆弱的資產。數據庫的安全性是指保護數據庫以防止不合法使用所造成的數據泄露、更改或損壞。安全保護措施是否有效是數據庫系統的主要技術指標,我們可以將數據安全看做一個木桶,整個防護體系是否堅固其實取決於短板。
回顧近年來發生的多起重大安全事件,發現這類事件幾乎都與數據安全有關——無論是數據泄露,還是對數據進行刪除破壞的勒索病毒皆是如此,因此,企業需要在數據全生命周期不同階段從多個方面進行監測、防禦和治理,企業不僅需要針對來自外部的威脅給予管控,同時也應預防內部的惡意員工、惡意行為以及因為各類失誤造成的數據損毀,並做到快速止損、追蹤溯源和準確的調查取證。由於數字經濟時代的全面來臨,企業的業務也逐步由數據所驅動,因此對企業數據的安全保護將會成為企業賴以生存和發展的重要基石。
接下來將根據京東雲在數據安全管理方面的經驗總結出在數據生命周期不同階段的數據安全管理實踐方法:
1、建立數據全生命周期安全管理閉環
目前,互聯網業務創新帶來了新的風險,比如數據去隱私化處理以及數據上雲後的主管權問題。因此,對於數據的保護不應該只是靜態的保護,而要注重流動數據的保護。京東雲根據自身多年時間經驗提出了縱深防禦策略。
初期安全洞察
對於事前的預警要做到威脅的發現以及對數據的梳理,從隱患來源以及數據庫自身的弱點,先找到數據庫的潛在攻擊威脅。另外,需要對不同的數據有不同的分類,通過對不同的規範、大數據保護指南、對企業自身業務的敏感性和價值等角度,對數據進行不同的標籤分類,從而對不同類型以及重要度的數據,進行不同的保護措施。通過這種方式,京東雲可幫助用戶更有效、更低成本地對數據進行事前的保護以及預警。
數據安全可防可控
對於外部攻擊,雲通過對SQL或者noSQL注入的特徵,對相關的訪問行為進行監測和保護,並採用虛擬補丁對整個數據庫進行漏洞保護。同時,強調了來自內部的「攻擊」。由於人是操作的最後執行者和系統的使用者,大量的問題都是出現在操作者端——無論是誤操作還是有意的攻擊。因此,京東雲採用了數據庫操作審計和權限審批的措施,做到內部的數據可控。
打造安全軟胄甲
在運維管理場景中,京東雲通過運維審計管理平台提供「從登陸到退出」的全程審計與管控措施,不但能夠針對運維操作行為進行跟蹤、審計、記錄,還可針對惡意操作、誤操作進行實時攔截,從根本上杜絕前述重大數據安全事故的發生。
因此,即使京東雲的數據發生泄露,攻擊者也無法獲取真實信息,即做到看不懂、拿不走、用不了。由於企業對於數據很可能會進行分析,或者在開發、測試環境中進行利用,因此數據在第三方傳輸和使用中進行脫敏處理就成了必要工作。京東雲對這些數據進行隨機/部分替換以及掩碼處理,確保數據在離開數據庫進行其他處理時不會泄露,並針對在數據庫中的數據進行國密算法的加密。
如果企業真的收到了安全攻擊,那麼在事件發生後,快速響應並且在事後進行分析追責是重中之重。京東雲對整個數據庫的運行提供審計、追溯以及分析的服務,能夠確保在事後通過詳細的數據庫行為日誌確定事件源頭、識別定位風險、分析業務系統中的bug以及故障。
2、典型場景實踐:如何構建數據庫安全護城河
近年來,越來越多的企業摒棄了原先的自建數據庫轉而選擇購買雲數據庫作為公司的數據存儲工具。何為雲數據庫?雲數據庫是指被優化或部署到公有雲端的全託管型數據庫,可以實現按需付費、按需擴展、服務高可用性、數據高可靠等優勢。而這些優勢恰恰解決了傳統自建數據庫的痛點:資源利用率低,服務水平依賴專業DBA人員,運維成本高以及硬件採購等問題。
2020年的開年,幾乎對全球所有行業都帶來了不小的衝擊。但有一個行業例外:受疫情影響,遊戲等娛樂產品的流水反而屢創新高。大量的玩家湧入遊戲會使服務器變得擁堵不堪,而依託雲數據庫MongoDB完善的備份機制和根據備份創建實例的能力,可快速實現遊戲等分區類應用場景滾服和合服中對數據遷移的需求;針對傳統數據庫運維成本高的問題,京東雲提供了LAMP網站所必須的雲主機和MySQL雲數據庫產品,便於企業用戶將網站部署在京東雲上,同時,監控備份,安全防護等多項輔助運維能力和天生的主備高可用架構,使用戶無需為雲數據庫運維工作傷神,專註於網站發展。
目前,京東雲是市場上唯一一家免費向用戶提跨地域備份同步功能的廠商,幫助客戶搭建異地的數據庫災備中心。當某個地域的數據庫因為自然災害等不可抗因素無法提供服務時,跨地域同步備份服務可以快速在異地搭建新的雲數據庫服務,滿足用戶異地容災的需求。此外,京東雲平台的MFA(多因子認證)功能,可以在用戶執行刪除實例等重要操作前,以驗證碼的方式進行二次校驗後,確認無誤後方可操作;雲數據庫內置的操作審計功能可以對用戶行為進行審計記錄,幫助追溯安全事件,快速確認問題根源。
同時,京東雲免費提供了DTS(Data Transformation Service)以快捷高效的幫助用戶將數據遷移上雲。目前已支持將用戶的源數據庫遷入京東雲數據庫RDS和MongoDB.同時在數據遷移過程中,源數據庫可正常對外提供能服務,用戶可以通過控制台隨時查看數據遷移進度,並在完成遷移後進行數據校驗進一步保證數據完整上雲。
3、典型場景實踐:運維安全審計管理與追溯
優秀的運維管理平台不僅應該及時捕捉危險的運維指令,還應該為使用者提供簡單易用的管理方式,不但能夠提升運維效率、還能降低因較大運維管理壓力導致的誤操作,使安全管理人員和運維人員的精力得到有效釋放,進一步降低生產運營成本。
瀏覽器兼容
提供基於 B/S 架構的 Web 訪問能力,只需要一個瀏覽器即可訪問目標設備,支持目前主流的瀏覽器,包括:Chrome、FireFox、Edge、Safari、IE11。
客戶端兼容
能夠與第三方客戶端工具無縫適配,包括:RDP、SSH、SFTP、HTTP/HTTPS等協議的客戶端工具軟件,如SecurCRT、putty、Xshell、Mstsc、Winscp、Xsftp等,不改變運維人員的操作習慣。
跨平台兼容
京東雲-運維審計管理平台具有跨平台運維行為管控能力,可覆蓋多種主流主機操作系統、網絡設備和運維協議,包括不限於:
協議類型——SSH、RDP、SFTP、HTTP、HTTPS等;
操作系統類型——RedHat Linux、Windows等。
