這份資料安全自查checklist請拿好,幫你補齊安全短板的妙招全在裡面!

京東科技開發者發表於2020-04-06

企業資料安全自查Checklist!

快來對照表單,看看你的資料安全及格了嗎?


一、京東雲安全Checklist建議

京東雲安全擁有業界領先的安全研究團隊,經過多年實踐與經驗積累,京東雲已面向不同業務場景制定了完善詳細的安全配置Checklist。京東雲安全Checklist可以根據使用者的需求進行補充和調整,使用者也可以基於該Checklist進行自定義。

1、網路裝置安全Checklist

網路裝置安全配置檢查包含但不限於以下內容:

  • OS安全
  • 帳號和口令管理
  • 認證和授權策略
  • 網路與服務
  • 訪問控制策略
  • 通訊協議、路由協議
  • 日誌稽核策略
  • 加密管理
  • 裝置其他安全配置
  • ……


2、主機作業系統Checklist

主機作業系統安全配置檢查包含但不限於以下內容:

  • 系統漏洞補丁管理
  • 帳號和口令管理
  • 認證、授權策略
  • 網路與服務、程式和啟動
  • 檔案系統許可權
  • 訪問控制
  • 通訊協議
  • 日誌稽核功能
  • 防DDoS攻擊
  • 剩餘資訊保護
  • 其他安全配置
  • ……


3、資料庫Checklist

資料庫安全配置檢查包含但不限於以下內容:

  • 漏洞補丁管理
  • 帳號和口令管理
  • 認證、授權策略
  • 訪問控制
  • 通訊協議
  • 日誌稽核功能
  • 其他安全配置
  • ……


4、中介軟體及網路服務Checklist

中介軟體及常見網路服務安全配置檢查包含但不限於以下內容:

  • 漏洞補丁管理
  • 帳號和口令管理
  • 認證、授權策略
  • 通訊協議
  • 日誌稽核功能
  • 其他安全配置
  • ……

“rm -rf /*”

在Unix/linux系統的伺服器上,刪庫的程式碼雖然只有短短一行,但若使用不當,後果可是“瞬間毀滅”級別的存在。


二、資料安全威脅要素

在美國德克薩斯州大學的一份調查中顯示:“只有6%的公司可以在資料丟失後生存下來,43%的公司會徹底關門,51%的公司會在兩年之內消失。


1、資料安全問題

通常情況下,資料安全風險來自企業內網,是以非法佔用網路資源、系統資源和資料資源為目的,利用雲上業務系統或資產弱點進行惡意入侵和滲透,進而提升許可權以非法獲取資料資源,實施諸如資料竊取、資料篡改、資料下載、拖庫和刪除等行為。


常見的易導致資料安全風險的因素有:

image.png


2、運維安全問題

隨著資訊化的發展,企事業單位 IT 系統不斷髮展,網路規模迅速擴大、裝置數量激增,建設重點逐步從網路平臺建設,轉向以深化應用、提升效益為特徵的執行維護階段, IT 系統運維與安全管理正逐漸走向融合。資訊系統的安全執行直接關係企業效益,構建一個強健的 IT 運維安全管理體系對企業資訊化的發展至關重要,對運維的安全性提出了更高要求。

image.png



三、資料安全管理實踐

根據權威機構調查統計資料表示,57%的公司認為資料庫是內部攻擊最脆弱的資產。資料庫的安全性是指保護資料庫以防止不合法使用所造成的資料洩露、更改或損壞。安全保護措施是否有效是資料庫系統的主要技術指標,我們可以將資料安全看做一個木桶,整個防護體系是否堅固其實取決於短板。


回顧近年來發生的多起重大安全事件,發現這類事件幾乎都與資料安全有關——無論是資料洩露,還是對資料進行刪除破壞的勒索病毒皆是如此,因此,企業需要在資料全生命週期不同階段從多個方面進行監測、防禦和治理,企業不僅需要針對來自外部的威脅給予管控,同時也應預防內部的惡意員工、惡意行為以及因為各類失誤造成的資料損毀,並做到快速止損、追蹤溯源和準確的調查取證。由於數字經濟時代的全面來臨,企業的業務也逐步由資料所驅動,因此對企業資料的安全保護將會成為企業賴以生存和發展的重要基石。


接下來將根據京東雲在資料安全管理方面的經驗總結出在資料生命週期不同階段的資料安全管理實踐方法:

image.png


1、建立資料全生命週期安全管理閉環

目前,網際網路業務創新帶來了新的風險,比如資料去隱私化處理以及資料上雲後的主管權問題。因此,對於資料的保護不應該只是靜態的保護,而要注重流動資料的保護。京東雲根據自身多年時間經驗提出了縱深防禦策略。


初期安全洞察

對於事前的預警要做到威脅的發現以及對資料的梳理,從隱患來源以及資料庫自身的弱點,先找到資料庫的潛在攻擊威脅。另外,需要對不同的資料有不同的分類,透過對不同的規範、大資料保護指南、對企業自身業務的敏感性和價值等角度,對資料進行不同的標籤分類,從而對不同型別以及重要度的資料,進行不同的保護措施。透過這種方式,京東雲可幫助使用者更有效、更低成本地對資料進行事前的保護以及預警。


資料安全可防可控

對於外部攻擊,雲透過對SQL或者noSQL隱碼攻擊的特徵,對相關的訪問行為進行監測和保護,並採用虛擬補丁對整個資料庫進行漏洞保護。同時,強調了來自內部的“攻擊”。由於人是操作的最後執行者和系統的使用者,大量的問題都是出現在操作者端——無論是誤操作還是有意的攻擊。因此,京東雲採用了資料庫操作審計和許可權審批的措施,做到內部的資料可控。


打造安全軟冑甲

在運維管理場景中,京東雲透過運維審計管理平臺提供“從登陸到退出”的全程審計與管控措施,不但能夠針對運維操作行為進行跟蹤、審計、記錄,還可針對惡意操作、誤操作進行實時攔截,從根本上杜絕前述重大資料安全事故的發生。

image.png


因此,即使京東雲的資料發生洩露,攻擊者也無法獲取真實資訊,即做到看不懂、拿不走、用不了。由於企業對於資料很可能會進行分析,或者在開發、測試環境中進行利用,因此資料在第三方傳輸和使用中進行脫敏處理就成了必要工作。京東雲對這些資料進行隨機/部分替換以及掩碼處理,確保資料在離開資料庫進行其他處理時不會洩露,並針對在資料庫中的資料進行國密演算法的加密。


如果企業真的收到了安全攻擊,那麼在事件發生後,快速響應並且在事後進行分析追責是重中之重。京東雲對整個資料庫的執行提供審計、追溯以及分析的服務,能夠確保在事後透過詳細的資料庫行為日誌確定事件源頭、識別定位風險、分析業務系統中的bug以及故障。


2、典型場景實踐:如何構建資料庫安全護城河

近年來,越來越多的企業摒棄了原先的自建資料庫轉而選擇購買雲資料庫作為公司的資料儲存工具。何為雲資料庫?雲資料庫是指被最佳化或部署到公有云端的全託管型資料庫,可以實現按需付費、按需擴充套件、服務高可用性、資料高可靠等優勢。而這些優勢恰恰解決了傳統自建資料庫的痛點:資源利用率低,服務水平依賴專業DBA人員,運維成本高以及硬體採購等問題。


2020年的開年,幾乎對全球所有行業都帶來了不小的衝擊。但有一個行業例外:受疫情影響,遊戲等娛樂產品的流水反而屢創新高。大量的玩家湧入遊戲會使伺服器變得擁堵不堪,而依託雲資料庫MongoDB完善的備份機制和根據備份建立例項的能力,可快速實現遊戲等分割槽類應用場景滾服和合服中對資料遷移的需求;針對傳統資料庫運維成本高的問題,京東雲提供了LAMP網站所必須的雲主機和MySQL雲資料庫產品,便於企業使用者將網站部署在京東雲上,同時,監控備份,安全防護等多項輔助運維能力和天生的主備高可用架構,使使用者無需為雲資料庫運維工作傷神,專注於網站發展。


目前,京東雲是市場上唯一一家免費向使用者提跨地域備份同步功能的廠商,幫助客戶搭建異地的資料庫災備中心。當某個地域的資料庫因為自然災害等不可抗因素無法提供服務時,跨地域同步備份服務可以快速在異地搭建新的雲資料庫服務,滿足使用者異地容災的需求。此外,京東雲平臺的MFA(多因子認證)功能,可以在使用者執行刪除例項等重要操作前,以驗證碼的方式進行二次校驗後,確認無誤後方可操作;雲資料庫內建的操作審計功能可以對使用者行為進行審計記錄,幫助追溯安全事件,快速確認問題根源。


同時,京東雲免費提供了DTS(Data Transformation Service)以快捷高效的幫助使用者將資料遷移上雲。目前已支援將使用者的源資料庫遷入京東雲資料庫RDS和MongoDB.同時在資料遷移過程中,源資料庫可正常對外提供能服務,使用者可以透過控制檯隨時檢視資料遷移進度,並在完成遷移後進行資料校驗進一步保證資料完整上雲。


3、典型場景實踐:運維安全審計管理與追溯

優秀的運維管理平臺不僅應該及時捕捉危險的運維指令,還應該為使用者提供簡單易用的管理方式,不但能夠提升運維效率、還能降低因較大運維管理壓力導致的誤操作,使安全管理人員和運維人員的精力得到有效釋放,進一步降低生產運營成本。


瀏覽器相容

提供基於 B/S 架構的 Web 訪問能力,只需要一個瀏覽器即可訪問目標裝置,支援目前主流的瀏覽器,包括:Chrome、FireFox、Edge、Safari、IE11。


客戶端相容

能夠與第三方客戶端工具無縫適配,包括:RDP、SSH、SFTP、HTTP/HTTPS等協議的客戶端工具軟體,如SecurCRT、putty、Xshell、Mstsc、Winscp、Xsftp等,不改變運維人員的操作習慣。


跨平臺相容

京東雲-運維審計管理平臺具有跨平臺運維行為管控能力,可覆蓋多種主流主機作業系統、網路裝置和運維協議,包括不限於:


協議型別——SSH、RDP、SFTP、HTTP、HTTPS等;

作業系統型別——RedHat Linux、Windows等。


相關文章