企业数据安全如何作，专家给你5条建议

引言：数据安全对企业生存发展有着举足轻重的影响，数据资产的外泄、破坏都会致使企业无可挽回的经济损失和核心竞争力缺失，而每每绝大多数中小企业侧重的是业务的快速发展，忽略了数据安全重要性。近年来，企业因为自身的安全防御机制不严谨，引起的数据安全事件频发。抛开事件自己的人为因素不谈，如何从技术角度避免相似的事件发生，才是咱们须要认真总结的。

 

1、当前企业面临的数据安全现状

 

数据安全是企业CIO、CTO、IT 管理员以及老板在选择使用任何IT产品时最须要考虑的问题之一，在当下云时代，公有云，私有云或者IDC哪一个选择更加安全，一直是企业管理者必要考量的因素之一。

 

对于这个问题，其实不少人的认知存在一个误区，即认为只有硬件是本身的，里面的数据才是本身可控的，这样才是安全的。但其实否则，数据自己和实物有很大的区别，数据是由二进制的0和1构成，是否是在身边并不能决定数据安全与否，由于数据的泄露或者改动根本不须要成本，只须要一次网络的传输就完成了。

 

其次，分析一个安全事件背后的缘由，每每都和技术、流程以及人的因素有关。好比，若是技术方面选型不当，数据没有物理备份或者异地备份，每每会形成不可恢复的影响；制度与流程方面给予单人权限太高，先不说故意破坏，误操做也是致命的；人为因素包括误操做，小到崩溃一个服务器，大到删除核心数据库，这些都是常常发生的事情。固然，也存在外部的威胁，好比黑客入侵，友商的恶意网络攻击等。

 

因此，不管是把业务部署在自有的IDC，仍是托管IDC里，只要暴露在公网下，也都是存在威胁。一台设备不管托管在IDC中，仍是部署在公有云，只要是有公网入口的服务器，业务的安全都是须要投入大量资源与精力去保障维护的。

 

2、解决之道，如何避免数据安全事故的发生

 

数据安全保障的原则有不少，道理都懂，可为何仍是有不少企业选择自建设数据库系统，可是依旧忽略了数据安全？实际上，因为企业自身技术实力，管理水平，以及IT资源方面投入等因素，实际上是很难实现上述提到的数据安全策略的 。

 

以分布式存储系统建设为例，开源和自建的成本都不小，采用开源方案，好比Ceph ，GlusterFS等，维护一套几十台服务器的集群，至少须要1 -2名资深存储工程师，且要能彻底彻底掌握全栈技术细节，国内也找不出几我的，数据丢失风险挑战不小。一样，要能维护好一套数据库的生产和备份集群，对普通DBA的要求也不低。选择商业私有化部署的产品，动辄几十万的投入也是通常企业难以承受的。

 

一、数据库的安全策略

 

目前企业的数据库有自建数据库和使用云数据库两种。做为企业的重要资产，数据库一旦出现丢失、损毁，后果将不堪设想，那么若是作才能让数据更安全呢？这里的建议是不管是自建仍是使用云产品都要作好备份。

 

对于已经在使用自建数据库的用户，应急方案须要将经过binlog或者其余备份文件进行恢复的详细步骤记录在案，而且可以按期作到演练，保证这样的方案在问题真正发生时可以真正跑通。另外，须要有联系好的第三方较专业的数据恢复公司，以避免发生备份文件也被删除的状况下从磁盘恢复数据的能力。

 

针对云服务器自建服务器的场景，须要结合云厂商提供的按期云盘快照功能来作数据恢复。而针对云数据库场景，不用太过担忧数据丢失的问题，可是要可以熟练掌握云上数据库回档的方法。

 

抛开成本不说，相比自建数据库，云数据库在安全以及性价比方面优点要更加明显。云数据库在简化运维操做的同时也能够极大程度的保护业务数据。结合冷备和binlog，云数据库能够提供7-732天内任意时间点数据回档能力。在数据遭遇被极端破坏的状况下，能够直接使用云数据库的回档功能，将数据恢复到被破坏时间点以前。

 

二、快照、快照，云主机要按期快照

 

快照指的是数据集合在某个时间点（拷贝开始的时间点）的完整拷贝或者镜像，当生产系统数据丢失时，可经过快照完整的恢复到快照时间点，是一种重要的数据容灾手段。

快照的主要用途在于容灾，对生产系统的milestone进行备份。经过对指定云硬盘进行彻底可用的拷贝，使该备份独立于云硬盘的生命周期。快照包括硬盘在拷贝开始的时间点的数据，而且不占据用户的存储空间。以腾讯云来讲，将以冗余的方式把用户建立的快照存储在对象存储中，从而进一步确保了备份的可靠性。快照的增量备份，意味着仅保存更改的数据，这将尽量缩短建立快照所需的时间，且能够节省存储成本。

 

三、作好云帐号权限管控

 

云帐号管理权限管控，能够帮助客户安全管理腾讯云帐户下的资源的访问权限。用户经过CAM 建立、管理和销毁用户(组)，并使用身份管理和策略管理控制其余用户使用云资源的权限，使云帐户下的资源访问权限粒度可控，下降误操做或非必要操做引发的数据损坏、丢失的风险。

 

CAM 经过如下功能支持权限清晰、安全可控方案，好比，能够在主帐号里建立子帐号，给子帐号分配主帐号下资源的管理权限，而不须要分享主帐号的相关的身份凭证。

 

另外，能够针对不一样的资源，受权给不一样的人员不一样的访问权限。例如，能够容许某些子帐号拥有某个COS 存储桶的读权限，而另一些子帐号或者主帐号能够拥有某个COS 存储对象的写权限等。这里的资源、访问权限、用户均可以批量打包，从而作到精细化的权限管理。

 

 

四、对重要数据实施分级管理并作好加密

 

在数据安全保护层面，从网络为中心转向以数据为中心的全生命周期保护策略。即实施数据分类分级，对数据生命周期状态进行梳理，根据不一样的数据敏感等级以及数据使用状态，统筹规划相应的数据加密、脱敏、审计等数据保护策略，确保数据安全全程可控。

 

针对影响业务运营的核心重要数据，应在数据的产生、流动、存储、使用及销毁过程当中应用密码技术进行保护，并实施资源级细粒度的身份认证和访问控制，防止外部黑客攻击以及内部的非受权人员访问带来的业务数据安全风险问题。

 

 

五、创建全生命周期的数据安全防御

 

数据生命周期涵盖数据的建立、存储、使用、共享、归档到销毁等多个阶段，面对来自外部攻击，内部泄露与大数据共享等多方面的威胁。不一样威胁的防御手段千差万别。

 

针对外部攻击，采用身份认证，数据库审计，加密网关保护核心数据不受外部攻击的威胁；
针对内部数据泄露，采用4A与DLP等安全能力，全面保护企业运维，办公，数据分析等场景的数据防泄漏风险；
针对大数据共享中的数据泄露问题，建设脱敏，水印，加密，审计与权限管控等安全能力。
 

所以，企业须要从总体上梳理风险点，进而进行统筹和联动防护。并对外部、内部、大数据等不一样场景建设不一样解决方案。

 

堡垒机做为云上数据运维的统一入口，具有帐号权限管理、密码管理、命令管理能力。可以为企业杜绝绝大多数越权操做、删库等恶意命令执行方面的风险。因为采用了集中式管理模式，运维人员必须经过堡垒机统一认证后才能操做服务器与数据库。所以只要在堡垒机设置好安全策略，便可轻松实现阻断，将数据丢失风险大幅度下降。

 

3、公有云对数据安全保障措施有哪些

 

在全面上云的趋势下，云计算厂商在多年的实践中积累了丰富的数据安全防御经验，并正在经过产品化输出到公有云上，企业用户能够拿来即用。

 

1. 云硬盘CBS，提供实时快照、秒级恢复能力

 

腾讯云硬盘采用分布式块存储架构，每一个数据块在可用区都有3副本，能够规避物理磁盘，宕机故障致使的数据损坏。另外，经过云硬盘的快照技术，能够实现数据“秒级”恢复到一小时内的状态。

 

2. 云对象存储COS，版本回退，异地灾备

 

对象存储COS能够开启版本控制功能，实现对象存储的版本控制，开启版本控制配置后，删除操做等同于新增一项删除标记；能够经过指定版本号访问过去任意版本的数据，可实现数据的回滚操做，解决数据误删和覆盖的风险。

 

此外，对象存储还提供了跨地域复制的功能，帮助用户将全部增量文件经过专线复制到其余城市的数据中心，实现异地容灾的做用。当主存储桶中的数据被删除时，可从备份存储桶中经过批量拷贝的方式恢复数据。

 

3. 云数据库MySQL，为结构化数据提供灵活，可靠的灾备方案。

 

云数据库MySQL在实现服务高可用的架构状况下，也实现了丰富的数据备份和恢复功能，确保数据能回滚到任意时间线。同时，全部的高可用实例，默认开启7天内数据备份和实例回收站保留策略，确保人为误操做，能获得保底的数据恢复。此外，经过对实例配置异地灾备实例，云数据库MySQL实时进行数据复制，能够轻松实现数据异地灾备，规避区域性故障带来的数据丢失风险。

 

4. 腾讯云数据产品系列，低门槛实现安全监控与审计

 

腾讯云数据安全产品系列能够实现对安全事件的全面监控、告警、过后审计等功能。腾讯云堡垒机结合人工智能技术，为企业提供运维人员操做审计，对异常行为进行告警，防止内部数据泄密。

 

5. CAM云权限管理，为云上资产合理创建权限控制制度

 

对上云企业来讲，帐号安全和资源合理受权是构筑立体防御体系的第一道门锁。云上资源管理的受权应该规避以下风险：

 

使用腾讯云云主帐号进行平常操做
为员工建了子帐号，可是受权过大
对高权限子帐号用户和高危操做没有访问条件控制
没有按期审计用户的权限和登陆信息
缺少权限的管理制度和流程
 

这里以COS的数据访问权限控制为例：为公司中的不一样团队授予子帐户，经过访问方式、帐户权限隔离来分级控制不一样帐户的资源操做范围。高危操做（如删除数据）权限可剖离出来，仅容许控制台操做，同时经过MFA校验来进行二次认证。

 

 

结语：

 

经过梳理近年来层出不穷的数据安全事件不难发现：既有黑客的攻击，更有内部工做人员的信息贩卖、离职员工的删库、开发测试人员误操做等，多种缘由致使的数据安全事件背后折射出的是，仅仅依靠单点防御难以达到真正的安全防御效果，而构建基于全生命周期的安全防御成为必然选择。值得一提的是，企业上云大潮的趋势下，讨论数据安全绝大部分要从云环境出发，云原生的数据保护技术和策略也将成为当下及将来的主要手段。