数据围栏简述

数据安全对企业生存发展有着举足轻重的影响，近年来，企业由于自身的安全防护机制不严谨，引发的数据安全事件频发，数据资产的外泄、破坏都会导致企业无可挽回的经济损失和核心竞争力缺失，而往往绝大多数中小企业侧重的是业务的快速发展，忽略了数据安全重要性。

数据围栏是一套数据安全防护整体解决方案，提供发现、识别、分类、匿名化、脱敏等相关敏感数据监测能力，防止数据外泄、盗用等问题，造成企业信誉、资金等相关损失。数据围栏策略包括不限于如下方式：

1、数据库的安全策略

目前企业的数据库有自建数据库和使用云数据库两种。作为企业的重要资产，数据库一旦出现丢失、损毁，后果将不堪设想，建议无论是自建还是使用云产品都要做好备份。对于已经在使用自建数据库的用户，应急方案需要将通过binlog或者其他备份文件进行恢复的详细步骤记录在案，并且能够定期做到演练，保证这样的方案在问题真正发生时能够真正跑通。另外，需要有联系好的第三方较专业的数据恢复公司，以免发生备份文件也被删除的情况下从磁盘恢复数据的能力。

针对云服务器自建服务器的场景，需要结合云厂商提供的定期云盘快照功能来做数据恢复。而针对云数据库场景，不用太过担心数据丢失的问题，但是要能够熟练掌握云上数据库回档的方法。

2、做好账号权限管控

账号管理权限管控，可以帮助客户安全管理腾讯云账户下的资源的访问权限。用户通过CAM 创建、管理和销毁用户(组)，并使用身份管理和策略管理控制其他用户使用云资源的权限，使云账户下的资源访问权限粒度可控，降低误操作或非必要操作引起的数据损坏、丢失的风险，资源、访问权限、用户都可以批量打包，从而做到精细化的权限管理。

3、对重要数据实施分级管理并做好加密

在数据安全保护层面，从网络为中心转向以数据为中心的全生命周期保护策略。即实施数据分类分级，对数据生命周期状态进行梳理，根据不同的数据敏感等级以及数据使用状态，统筹规划相应的数据加密、脱敏、审计等数据保护策略，确保数据安全全程可控。

针对影响业务运营的核心重要数据，应在数据的产生、流动、存储、使用及销毁过程中应用密码技术进行保护，并实施资源级细粒度的身份认证和访问控制，防止外部黑客攻击以及内部的非授权人员访问带来的业务数据安全风险问题。

4、建立全生命周期的数据安全防护计划

数据生命周期涵盖数据的创建、存储、使用、共享、归档到销毁等多个阶段，面对来自外部攻击，内部泄露与大数据共享等多方面的威胁。不同威胁的防护手段千差万别。

针对外部攻击，采用身份认证，数据库审计，加密网关保护核心数据不受外部攻击的威胁；

针对内部数据泄露，采用4A与DLP等安全能力，全面保护企业运维，办公，数据分析等场景的数据防泄漏风险；针对大数据共享中的数据泄露问题，建设脱敏，水印，加密，审计与权限管控等安全能力。因此，企业需要从整体上梳理风险点，进而进行统筹和联动防御。并对外部、内部、大数据等不同场景建设不同解决方案。

堡垒机作为数据运维的统一入口，具备账号权限管理、密码管理、命令管理能力。能够为企业杜绝绝大多数越权操作、删库等恶意命令执行方面的风险。由于采用了集中式管理模式，运维人员必须通过堡垒机统一认证后才能操作服务器与数据库。因此只要在堡垒机设置好安全策略，即可轻松实现阻断，将数据丢失风险大幅度降低。