8月24日阿里云數(shù)據(jù)庫技術峰會上，安華金和云安全事業(yè)部專家肖志昱帶來云數(shù)據(jù)安全的思考。本文主要從安全事件實例開始談起，進而分析了我們需要什么樣的安全，最后分享了如何才能做到安全。

數(shù)據(jù)安全，緣何雷聲大雨點小

云數(shù)據(jù)安全的聲音很多，各種消息層出不窮，但從市場的反響來看，遠遠沒有想象的那么熱鬧。在我們安全圈廠商流行一句話：說時---重要；做時---次要；忙時---不要。出事時---“哎呦，我要！我還要?。?！”

安全事件

無論是個人信息泄露還是企業(yè)等其他數(shù)據(jù)泄露，都不僅僅是損失錢，甚至危及生命財產(chǎn)安全。那么，為什么安全這么重要，但市場反響不特別熱烈呢？主要有以下兩種原因：

1.僥幸心理。我的數(shù)據(jù)沒多少，應該沒人偷；網(wǎng)上那么多應用，那么多數(shù)據(jù)，哪會輪到我；公司數(shù)據(jù)丟了就丟了，與我有啥關系。

2.茫然心理。我有多少個數(shù)據(jù)庫?有多少敏感數(shù)據(jù)？我的數(shù)據(jù)值多少錢？數(shù)據(jù)如果泄露了會有多大危害？

2017年6月1日，網(wǎng)絡安全法發(fā)布了，作為網(wǎng)絡安全的基本法，它讓網(wǎng)絡安全工作 有

法可依 ，同時也要求人們 有法必依 。對企業(yè)來講，可能面臨罰款、停業(yè)整頓和吊銷執(zhí)照，對個人來講，也可能面臨罰款、拘役和從業(yè)資格限制。

我們需要什么樣的安全

數(shù)據(jù)安全面臨的問題概括為兩點，一是防外賊，一是防內鬼。外賊包括SQL注入、拖庫，內鬼包括內部運維人員、第三方開發(fā)人員。從實際了解情況來看，內鬼的危害更大。

有了WAF 、 抗DDos ，為什么還需要防外賊？

傳統(tǒng)安全方案缺陷有以下幾點：

1. 網(wǎng)絡防火墻產(chǎn)品不對數(shù)據(jù)庫通訊協(xié)議進行控制

2. IPS/IDS/網(wǎng)絡審計并不能防范那些看起來合法的數(shù)據(jù)訪問

3. WAF系統(tǒng)僅針對HTTP協(xié)議進行檢測控制，繞過WAF有150多種方法

4. 核心數(shù)據(jù)庫防護措施被忽略。

大多數(shù)系統(tǒng)前端層面的安全保護措施并無法覆蓋所有的安全攻擊和竊取——必須引入數(shù)據(jù)層面的保護作為最后一道安全防線。

我們?yōu)槭裁匆纼裙砟兀?/p>

如果DBA刪庫跑路，會導致公司損失慘重。

對我們來說，數(shù)據(jù)庫運維面臨很多安全隱患。比如：

數(shù)據(jù)庫口令暴露：運維、開發(fā)知曉數(shù)據(jù)庫口令；任意客戶端登錄；無統(tǒng)一訪問出入口

存在高危操作：隨意操作數(shù)據(jù)庫對象；惡意操作行為；誤操作、高危操作

用戶身份不清：公用設備、公用賬戶

怎樣去解決呢？安全運維需要規(guī)范運維行為，具體包括三點：

1.身份識別：解決口令外泄，區(qū)分人員身份

2.訪問審批：預防高危操作，避免越權操作

3.流程管理：規(guī)范流程管理，有效追責定責

怎么做才安全

雖然云計算的概念出現(xiàn)了十多年，云計算的發(fā)展也經(jīng)過了幾年，但是云應用的時間并不長，大家對云的理解不太一樣，云的高學習曲線讓一般用戶對安全建設無從著手。

這是一個真實的數(shù)據(jù)梳理案例（某大型行業(yè)云典型數(shù)據(jù)梳理成果），實際梳理結果比客戶認知結果多很多，這存在著極大的安全威脅。

基于以上情況，我們提出了數(shù)據(jù)安全治理框架的理念。首先幫助用戶進行數(shù)據(jù)安全狀況的摸底，幫助用戶梳理敏感數(shù)據(jù)，了解數(shù)據(jù)安全現(xiàn)狀；根據(jù)梳理結果和敏感數(shù)據(jù)等級，有針對性的實施合理的數(shù)據(jù)保護；同時做好防護過程的監(jiān)控，稽核與審計，確保數(shù)據(jù)保護效果，進一步優(yōu)化數(shù)據(jù)保護措施，及時發(fā)現(xiàn)問題、解決問題。

目前，在云上的數(shù)據(jù)安全治理產(chǎn)品線如圖所示。

梳理產(chǎn)品和數(shù)據(jù)庫掃描產(chǎn)品是前期狀況摸底，可以幫助用戶了解到底有多少個數(shù)據(jù)庫，多少敏感數(shù)據(jù)，核心資產(chǎn)有多少；漏洞掃描能看到現(xiàn)在數(shù)據(jù)庫到底有多少風險，什么樣的風險， 中間的產(chǎn)品分別針對性的進行數(shù)據(jù)防護，比如防黑客攻擊、數(shù)據(jù)泄露追蹤溯源等；數(shù)據(jù)庫安全審計是對所有數(shù)據(jù)庫訪問行為的監(jiān)控。

圖中可以看出云數(shù)據(jù)安全合規(guī)性實踐與網(wǎng)絡安全法的契合點。

我們所有產(chǎn)品都已經(jīng)適配多云環(huán)境，目前產(chǎn)品已經(jīng)在 阿里云、騰訊云、華為云、青云、Azure、百度、AWS陸續(xù)上架。云上典型用戶包括人人聚財、萬盈金融、利民網(wǎng)等多個企業(yè)。

我們的理念是：不能幫用戶解決實際問題的方案，就是耍流氓！我們的口號是拼產(chǎn)品、拼服務，做中國最好的云數(shù)據(jù)安全提供商。

原文鏈接