《数据安全法》、《个人信息保护法》等相关的法律法规落地也有近1年的时间了,各个行业的敏感程度不尽相同,像是互联网、运营商、金融等行业在数据安全建设方面走的还是比较快,像是政府这类有强合规需求的客户也在快速加强数据安全的建设,而一些企业则主要还是由实际的需求来驱动。但是无论哪类客户,在数据安全建设上总会提出:我的数据安全应该如何建设?
其实数据安全的建设可以分为:数据安全管理体系、数据安全技术体系和数据安全运营体系,这里先说说对于技术体系建设的一些思考。
目录
一、数据安全风险的来源
1.账号带来的数据安全风险
账号带来的数据安全风险分为两大类:一类是特权账号;一类是业务账号。
特权账号:就是我们常说的管理员账号,拥有这类账号的人员往往是操作系统管理员、数据库管理员,由于其工作的需要使得其具备较高权限,像是微盟、链家和思科等事件,均是后台相关的人员删除数据或者相关资源给公司带来巨大的损失。
业务账号:就是各类系统的业务账号,一般的业务操作人员安全意识不足,可能存在账号共用、账号外借、违规滥用、违规操作等情况,尤其是对那些存在大量个人敏感信息、金融信息的重要系统,可能带来较大的影响。
2.系统及应用带来的数据安全风险
承载数据的环境以及与数据发生连接的应用同样会对数据的安全产生危险,如:操作系统、WEB应用、API服务接口、数据库自身等。
操作系统:操作系统是承载数据的基础环境,通过对操作系统的渗透与口令爆破等攻击,然后进行提权操作进而控制系统,其中存放的数据无非就是一个个的文件夹,在操作系统层面可以轻易的将数据文件删除或是拷贝泄漏。尤其是近期centos宣布停止更新之后,大量的企业、政府的系统基于centos开发,后期或将面临大量的漏洞被发现且难以修复的问题。
数据库:是数据存储和运行的重要环境,数据库本身也是一种应用,如果说数据库自身存在漏洞,或是数据库版本停止维护,而有些用户的系统短时间内很难迁移到新版本的数据库平台上,将会导致面临漏洞无法修复的情况;同时对于SQL注入攻击,进行提权之后可以建立账号、导出数据、篡改数据等操作。
应用:应用是前端用户访问后端数据的重要渠道,用户使用各类WEB或客户端应用访问后台数据库,各类应用开发的严谨性不同,在各类开发语言的框架下或多或少存在一定的漏洞,应用中往往存储着连接数据库的硬编码账号,通过应用漏洞拿到这些账号可以直接连接到数据库,因此带来较大的安全风险。
API服务接口:现在大家都在建设平台,把各个业务系统打通,通过平台统一调度对外提供服务等等,尤其像是数据中台类产品,大量的通信都依赖于API接口