数据安全概述



在传统的信息安全领域,存在三个基本的安全要素,这三个要素分别是:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),缩写为CIA

这三个要素的基本定义如下:

  •  保密性(Confidentiality):指信息在存储、使用和传输过程中的保密性,要确保信息在这些环节中不会泄漏给非授权方;

  •  完整性(Integrity):指信息在存储、使用和传输过程中不会被非授权用户篡改、变更,同时需要防止授权用户对系统及信息进行非授权篡改,保持信息在整个过程中内外的一致性;

  •  可用性(Availability):信息系统因其服务使命,必须在用户需要时,可以被正常访问,授权用户或实体对信息系统的正常使用不应被异常拒绝或中断,应当允许其可靠、及时地访问和获取信息及资源。高可用系统要求所有时间可用,要确保系统不因电源故障、硬件故障和系统升级等因素影响服务的可用性。

 security01.png

信息安全的三要素是对安全的概括和提炼,不同机构和组织,因为需求不同,对CIA的侧重也会有所不同,随着信息安全的发展,CIA经过细化和补充,增加了许多新的内容,包括可追溯性(Accountability)、抗抵赖性(Non-repudiation)、真实性(Authenticity)、可控性(Controllable)等;与CIA 三元组相反的一个概念是DAD三元组,即泄漏(Disclosure)、篡改(Alteration) 和破坏(Destruction),实际上DAD就是信息安全面临的最普遍的三类风险,是信息安全实践活动最终应该解决的问题。


而随着企业信息化和电子商务的高速发展,数据应用的核心性和广泛性将数据安全问题凸显出来。业界的用户数据泄露案例屡见不鲜,如“某邮箱帐户信息泄露”、“某旅游网站用户信息被拖库”等案件,这些都凸显数据安全的重要,缺乏数据安全服务的数据环境是危险的。 根据统计数据,当出现数据安全问题后,81%的企业会遭受企业形象和口碑的损失,这是任何一家有责任的企业都不能允许出现的情况:

Picture1.png

保障数据安全,保护用户隐私,已经成为所有企业信息化建设的重要一环,尤其是当欧盟的GDPR法案生效之后,数据的安全问题成为了新的关注焦点。

 

数据安全


信息安全的核心是数据安全。

在数据安全的范畴内,也包含信息安全的诸多方面,根据多年的服务经验与思考,云和恩墨将安全划分为五大方面,分别是:软件安全、备份安全、访问安全、防护安全、管理安全。

在企业数据安全中,这五大方面是相辅相成、互有交叉、共同存在的。


在这五大安全方向中,可能出现两种性质的安全问题,第一,由于内部管理不善而导致的数据安全问题;第二,由于外部恶意攻击入侵所带来的安全安问题。通常我们把安全问题狭义化为后者,这实际上是片面的,在数据安全问题上,前者造成的数据损失、数据损毁,其发生率和影响度都远远超过后者。

 

下面我们对数据安全的五大方面做一下简要的分析和探讨:

1. 软件安全是指我们选择的数据库产品、版本是否稳定安全;厂商所能提供的补丁集和BUG修正是否及时、基础硬件与操作系统是否经过认证。很多用户在部署数据库软件时,仅仅选择了最容易获得的初始发布版本(如Oracle Database 10.2.0.1或者Oracle Database 11.2.0.1等),遗漏了可能已经存在的补丁修正,并且在运行维护中并不能够及时跟踪软件更新,也无法获得BUG信息、补丁修正和安全告警,这就使得软件本身的很多风险隐患得不到修正。如果软件安全无法保证,数据库安全的基础也就丧失了。

2. 备份安全是指用户数据能否得到及时有效的备份保全,能否在故障灾难之后获得及时的恢复和挽救。在数据库运行期,最为重要的就是备份安全,如果没有可靠的备份,将数据集中起来就只能是等待数据灾难,所以我们将备份安全提升到核心地位,备份以及随之衍生的容灾安全等,都是企业整体数据架构应该考虑的因素。很多企业在数据灾难之后因为缺乏有效备份而一蹶不振,根据Gartner 2007年的一份调查报告显示,在经历了数据完全丢失而导致系统停运的企业中,有2/5再也没能恢复运营,余下的企业也有1/3在两年内宣告破产,由此可见,由于备份安全问题导致的企业伤害可能远远大于黑客攻击。

3. 访问安全是指用户数据库的访问来源和访问方式是否安全可控。通常数据库系统处于IT系统的核心,其安全架构涉及主机、系统、存储、网络等诸多方面,如果没有明确的访问控制,缺乏足够的访问分析与管理,那么数据库的安全将是混乱和无法控制的。在应用软件使用和访问数据库时,要正确设置权限,控制可靠的访问来源,保证数据库的访问安全,唯有保证访问安全才能够确保数据不被越权使用、不被误操作所损害,通常最基本的访问安全要实现程序控制、网络隔离、来源约束等。

4. 安全防范是指通过主动的安全手段对数据库通讯、传输等进行增强、监控、防护、屏蔽或阻断,诸如数据加密、审计、数据防火墙等技术都在这一范畴之内。我们必须认识到,在IT技术高度发展的今天,风险是无处不在、层出不穷的,可能我们从未思考过的安全问题,每天都在不断涌现,所以在数据库环境中采取主动式防护,可以帮助我们监控分析和屏蔽很多未知风险,已经有很多成熟的产品和技术可以用于安全防范。

5. 管理安全是指在企业数据的日常管理维护范畴内,能否充分保证数据安全以及服务的高可用连续提供。诸如DBA的维护、文件的管理、参数或数据结构的变更等等都可能引入数据风险,管理安全要求我们通过规范、制度以及技术手段去确保维护管理安全;另外,基于硬件、电力等基础平台的故障都可能影响数据库服务的高可用性,在管理中要通过监控手段及时预警,通过集群、备库等切换与服务分担保障服务的连续性。


数据安全解决方案


云和恩墨结合多年的行业经验,可以为用户提供完备的数据安全服务,具体的服务内容包括: 

      •  安全评估:帮助企业评估现有系统的安全状况,分析安全风险; 

      •  安全加固方案:针对企业现状,设计满足企业需要的安全增强方案,全面提升企业的数据安全级别; 

      •  实施安全方案:帮助用户实施既定的安全方案,实现安全增强; 


通过在安全领域的不断积累,云和恩墨愿将国际国内领先的安全解决方案带给广大用户,为提升数据安全做出不懈努力。


通过数据安全服务,企业将得到众多好处,以下这些都是数据安全服务的价值所在:

      •  业务系统运行效率提升,直接导致客户运营效率的提升;

      •  有效防止数据库系统中恶意的非法入侵与篡改;

      •  保证了国家军事政治等机密安全,防止了商业企业间机密的泄露;

      •  实现用户对目标数据库系统操作的及时监控和审计;

      •  数据安全性明显提升,充分保障了企业数据信息的完整性、可用性、可靠性;

      •  用户体验的直观感受,带来使用者的高度认可和信任。


加强数据安全,需要不断提高安全意识,云和恩墨愿和用户一起为提升数据安全而付出不懈的努力。


相关案例
中国联合网络通信集团有限公司
行 业:通信运营
项 目:软件安全评估及保障
服务价值:针对“软件安全”中涉及的问题,准确判断,保障了用户数据库系统的稳定安全,为用户的活动提供了有力的支持保障。