网络安全法下的云数据安全思考与实践

简介: 8月24日阿里云数据库技术峰会上,安华金和云安全事业部专家肖志昱带来云数据安全的思考。本文主要从安全事件实例开始谈起,进而分析了我们需要什么样的安全,最后分享了如何才能做到安全。

8月24日阿里云数据库技术峰会上,安华金和云安全事业部专家肖志昱带来云数据安全的思考。本文主要从安全事件实例开始谈起,进而分析了我们需要什么样的安全,最后分享了如何才能做到安全。

 

数据安全,缘何雷声大雨点小

云数据安全的声音很多,各种消息层出不穷,但从市场的反响来看,远远没有想象的那么热闹。在我们安全圈厂商流行一句话:说时---重要;做时---次要;忙时---不要。出事时---“哎呦,我要!我还要!!!”

安全事件

ac0b602817ccd5011d04cf6c48ab13c6161dc40a

无论是个人信息泄露还是企业等其他数据泄露,都不仅仅是损失钱,甚至危及生命财产安全。那么,为什么安全这么重要,但市场反响不特别热烈呢?主要有以下两种原因:

1.         侥幸心理。我的数据没多少,应该没人偷;网上那么多应用,那么多数据,哪会轮到我;公司数据丢了就丢了,与我有啥关系。

2.         茫然心理。我有多少个数据库?有多少敏感数据?我的数据值多少钱?数据如果泄露了会有多大危害?

2017年6月1日,网络安全法发布了,作为网络安全的基本法,它让网络安全工作 有

法可依 ,同时也要求人们 有法必依 。对企业来讲,可能面临罚款、停业整顿和吊销执照,对个人来讲,也可能面临罚款、拘役和从业资格限制。

 

我们需要什么样的安全

数据安全面临的问题概括为两点,一是防外贼,一是防内鬼。外贼包括SQL注入、拖库,内鬼包括内部运维人员、第三方开发人员。从实际了解情况来看,内鬼的危害更大。

有了WAF 、 抗DDos ,为什么还需要防外贼?

9ed130fb306f69c2dde57356d151aaf0f4fc0d86

传统安全方案缺陷有以下几点:

1. 网络防火墙产品不对数据库通讯协议进行控制

2. IPS/IDS/网络审计并不能防范那些看起来合法的数据访问

3. WAF系统仅针对HTTP协议进行检测控制,绕过WAF有150多种方法

4. 核心数据库防护措施被忽略。

大多数系统前端层面的安全保护措施并无法覆盖所有的安全攻击和窃取——必须引入数据层面的保护作为最后一道安全防线。

我们为什么要防内鬼呢?

5af306990841370a4491d9003e7976a3d9fca4ac

如果DBA删库跑路,会导致公司损失惨重。

f17933b66f1bb37ca4d4fe6d78de1b65449bf21e

对我们来说,数据库运维面临很多安全隐患。比如:

  • 数据库口令暴露:运维、开发知晓数据库口令;任意客户端登录;无统一访问出入口
  • 存在高危操作:随意操作数据库对象;恶意操作行为;误操作、高危操作
  • 用户身份不清:公用设备、公用账户

怎样去解决呢?安全运维需要规范运维行为,具体包括三点:

1.         身份识别:解决口令外泄,区分人员身份

2.         访问审批:预防高危操作,避免越权操作

3.         流程管理:规范流程管理,有效追责定责

 

怎么做才安全

虽然云计算的概念出现了十多年,云计算的发展也经过了几年,但是云应用的时间并不长,大家对云的理解不太一样,云的高学习曲线让一般用户对安全建设无从着手。

5fb1b9a4db8cc032c30d4b5548f4ca7e4355d53c

这是一个真实的数据梳理案例(某大型行业云典型数据梳理成果),实际梳理结果比客户认知结果多很多,这存在着极大的安全威胁。

591c9da29302cc962733acd2f33550f22a771a7c

基于以上情况,我们提出了数据安全治理框架的理念。首先帮助用户进行数据安全状况的摸底,帮助用户梳理敏感数据,了解数据安全现状;根据梳理结果和敏感数据等级,有针对性的实施合理的数据保护;同时做好防护过程的监控,稽核与审计,确保数据保护效果,进一步优化数据保护措施,及时发现问题、解决问题。

eafe597967a2bcc5b1746e238130d8cb6f52d197

目前,在云上的数据安全治理产品线如图所示。

9c7e2bf0bd69de9c671d971d51eaa9a7bb441853

梳理产品和数据库扫描产品是前期状况摸底,可以帮助用户了解到底有多少个数据库,多少敏感数据,核心资产有多少;漏洞扫描能看到现在数据库到底有多少风险,什么样的风险, 中间的产品分别针对性的进行数据防护,比如防黑客攻击、数据泄露追踪溯源等;数据库安全审计是对所有数据库访问行为的监控。

2dd9a8ec49a0b67211bb858daeeb384447869517

图中可以看出云数据安全合规性实践与网络安全法的契合点。

我们所有产品都已经适配多云环境,目前产品已经在 阿里云、腾讯云、华为云、青云、Azure、百度、AWS陆续上架。云上典型用户包括人人聚财、万盈金融、利民网等多个企业。

我们的理念是:不能帮用户解决实际问题的方案,就是耍流氓!我们的口号是拼产品、拼服务,做中国最好的云数据安全提供商。

 

 

相关文章
|
1天前
|
网络协议 网络架构 Python
Python 网络编程基础:套接字(Sockets)入门与实践
【5月更文挑战第18天】Python网络编程中的套接字是程序间通信的基础,分为TCP和UDP。TCP套接字涉及创建服务器套接字、绑定地址和端口、监听、接受连接及数据交换。UDP套接字则无连接状态。示例展示了TCP服务器和客户端如何使用套接字通信。注意选择唯一地址和端口,处理异常以确保健壮性。学习套接字可为构建网络应用打下基础。
18 7
|
2天前
|
机器学习/深度学习 算法
揭秘深度学习中的对抗性网络:理论与实践
【5月更文挑战第18天】 在深度学习领域的众多突破中,对抗性网络(GANs)以其独特的机制和强大的生成能力受到广泛关注。不同于传统的监督学习方法,GANs通过同时训练生成器与判别器两个模型,实现了无监督学习下的高效数据生成。本文将深入探讨对抗性网络的核心原理,解析其数学模型,并通过案例分析展示GANs在图像合成、风格迁移及增强学习等领域的应用。此外,我们还将讨论当前GANs面临的挑战以及未来的发展方向,为读者提供一个全面而深入的视角以理解这一颠覆性技术。
|
2天前
|
人工智能 安全 网络安全
构筑安全防线:云计算中的网络安全策略与实践
【5月更文挑战第17天】 随着云计算的迅猛发展,企业纷纷将数据和应用迁移至云端以提升效率和降低成本。然而,这一转变也带来了前所未有的安全挑战。本文深入探讨了在动态且复杂的云环境中,如何通过一系列创新的网络安全策略和技术手段来确保数据的保密性、完整性和可用性。我们将从云服务模型出发,分析不同服务层次的安全风险,并提出相应的防御机制。接着,文章将聚焦于网络安全的最新趋势,包括使用人工智能进行威胁检测、区块链在数据完整性保护中的应用,以及零信任网络架构的实现。最后,本文将讨论信息安全管理的最佳实践,强调安全意识培训和持续监控的重要性。
|
2天前
|
前端开发 网络安全
【XSS平台】使用,网络安全开发必学
【XSS平台】使用,网络安全开发必学
|
2天前
|
前端开发 网络安全
【XSS平台】使用(1),网络安全插件化+模块化+组件化+热修复
【XSS平台】使用(1),网络安全插件化+模块化+组件化+热修复
|
3天前
|
监控 安全 网络安全
构建安全防线:云计算环境下的网络安全策略
【5月更文挑战第17天】随着企业数字化转型步伐的加快,云计算已成为支撑现代业务架构的关键基石。然而,云服务的广泛应用同时带来了前所未有的安全挑战。本文旨在探讨云计算环境中的网络安全问题,并提出一系列创新的安全策略,以保障数据完整性、确保服务可用性并抵御网络威胁。我们将深入分析云服务模型(IaaS, PaaS, SaaS)与相应的安全考量,探讨加密技术、身份认证、访问控制以及入侵检测等关键技术在云环境中的应用,并讨论如何通过多层次防御策略和持续监控来强化整体安全性。
|
3天前
|
监控 安全 网络安全
云端防御:云计算环境下的网络安全策略与实践
【5月更文挑战第16天】 随着企业逐渐将数据和服务迁移至云平台,云计算环境的安全性成为了业界关注的焦点。本文深入探讨了在复杂多变的云服务模型中,如何通过创新的网络安全技术和策略来确保信息的完整性、机密性和可用性。文章分析了云计算环境中存在的安全挑战,并提出了相应的解决方案和最佳实践,以帮助组织构建一个既灵活又安全的云基础设施。
|
3天前
|
存储 安全 网络安全
云端守卫:云计算环境下的网络安全策略与实践
【5月更文挑战第16天】 随着企业和个人用户对计算资源的需求不断增长,云计算以其灵活性、可扩展性和成本效益成为了首选解决方案。然而,云服务的广泛采用也带来了新的安全挑战。本文旨在探讨在动态复杂的云计算环境中维护网络安全的策略和最佳实践。通过分析云服务模式(IaaS、PaaS、SaaS)的安全需求,结合最新的加密技术、访问控制机制以及合规性要求,本文提出了一系列创新的网络安全框架和应对措施,以保障数据的安全性和完整性,确保企业在享受云计算带来的便利同时,能够有效防御网络威胁和攻击。
|
3天前
|
监控 安全 算法
网络安全与信息安全:防范之道与实践策略
【5月更文挑战第16天】在数字化时代,网络安全和信息安全已成为个人和企业不可忽视的议题。本文将深入探讨网络安全漏洞的概念、加密技术的重要性以及提升安全意识的必要性,旨在为读者提供一套综合性的网络安全防护策略。通过对常见网络威胁的分析,我们揭示了安全漏洞的本质及其对信息系统的潜在影响。同时,文章还将详细介绍加密技术的基本原理和应用场景,以及如何通过教育和培训提高用户的安全意识,从而构建更为坚固的信息防线。
|
5天前
|
SQL 安全 网络安全
构建安全防线:云计算环境中的网络安全策略与实践
【5月更文挑战第14天】 随着企业逐渐将关键业务流程迁移到云端,云计算服务的安全性成为不容忽视的重要议题。本文深入探讨了在动态且复杂的云环境中实施有效的网络安全措施的策略和技术。通过分析当前云计算模型中的安全挑战,我们提出了一系列创新的安全框架和防御机制,旨在保护数据完整性、确保业务连续性并抵御不断演变的网络威胁。文中不仅涵盖了理论分析和案例研究,还对未来云计算安全技术的发展趋势进行了预测。

热门文章

最新文章