聚焦2019數據安全痛點 構建企業安全防禦體系

2019年5月8日，由 IT168 旗下 ITPUB 企業社區平台主辦的第十屆中國資料庫技術大會(DTCC 2019)在北京開幕。在第三天(10日)的大會中，「數據安全」專場的嘉賓們為參會人員帶來了當今面臨的新型安全威脅和攻擊手段以及黑色產業鏈發展的新趨勢、各類數據泄露事件解讀與怎樣加固資料庫、基於網路空間大數據的安全攻防技術實踐等精彩演講。

以下是數據安全專場的部分精彩內容：

以數據資產為核心的京東安全縱深防禦體系

京東 技術總監 洪敬風

京東技術總監洪敬風在演講中提到，互聯網的應用行業越來越發達，很多人把個人信息用於網路註冊。僅19年，已統計的全球較大的數據泄露事件達八十多起，涉及到用戶的隱私數據甚至達到50億條以上。用戶數據泄露已經形成了一條包括數據倒賣、利用用戶數據盈利的黑色產業鏈。

由於要支撐百萬千萬級用戶的並發訪問，很多大型互聯網公司的技術架構都會進行升級迭代，無論是最底層的硬體資產還是上層資料庫技術或者中間件技術等等都是如此。然而，升級迭代也會帶來更大的隱患，因為升級之後反而會有更大的攻擊面。資產的體量越大，數據和企業面臨的風險也就更多更大。

洪敬風認為，要想做好數據的安全工作，首先要做好風險評估。其次就是要做好主動防禦、監控攔截、緊急響應以及溯源打擊工作，這是一個完整的數據安全防禦周期。京東的安全防禦策略是「邊界防護、監控響應、許可權管控、加密脫敏」。實施縱深防禦體系，做到「黑客進不來，進來看得見，進來拿不走，拿走不可用」的防禦效果。

資料庫泄露事件解讀與 PostgreSQL 安全防護

太陽塔科技 CTO 趙振平

太陽塔科技CTO趙振平在演講中共介紹了七種資料庫安全防護方法，其中包括網路隔離、禁止遠程訪問、禁止使用trust連接、傳輸通道加密、資料庫加密等。

網路隔離技術的核心是物理隔離，並通過專用硬體和安全協議來確保兩個鏈路層斷開的網路能夠實現數據信息在可信網路環境中進行交互、共享。網路隔離技術的關鍵點是如何有效控制網路通信中的數據信息，即通過專用硬體和安全協議來完成內外網間的數據交換，以及利用訪問控制、身份認證、加密簽名等安全機制來實現交換數據的機密性、完整性、可用性、可控性。

傳輸通道加密應用的是SSL原理，SSL要求建立在可靠的傳輸層協議(TCP)之上，能使用戶/伺服器應用之間的通信不被攻擊者竊聽，並且始終對伺服器進行認證，還可選擇對用戶進行認證。SSL協議的優勢在於它是與應用層協議獨立無關的，高層的應用層協議(例如：HTTP，FTP，TELNET等)能透明地建立於SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密演算法、通信密鑰的協商及伺服器認證工作。在此之後應用層協議所傳送的數據都會被加密，從而保證通信的私密性。

58到家集團數據安全建設探索與實踐

58到家 安全負責人 劉歡

58到家安全負責人劉歡指出了當下創業型互聯網企業面對的安全管理、網路隔離、安全審計和數據風險等數據安全痛點。

針對業務人員的管控問題，58到家首先對員工做了身份統一處理。從員工入職開始就匹配人員角色，分配角色許可權並增加統一認證。同時，在運行過程中會有監控規則，比如說涉及敏感數據許可權時，需要特殊的補充規則並進行審批，如果不進行相關操作，就無法進入數據系統。員工離職時，其相應的角色許可權也會被一併清除。

數據泄露問題一直是很多互聯網公司的安全痛點，無論是主動構建防禦系統還是被動解決安全威脅，保證數據安全都是未來所有企業必須面對的問題。如果說企業是一艘船，那安全防禦系統就是這艘船的帆。只有建立安全牢固的防禦體系，才能為企業的未來發展保駕護航。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！