1.安全概述-01.docx - 墨天轮文档

1.安全概述-01.docx

兜灬兜

12页

0次

2024-11-30

25墨值下载

什么是安全？

“安全”一词是一个非常广泛的概念，可以指完全不同的程序和实现方法。了解安全对应用程序

意味着什么非常重要，因此可以执行适当的安全实践和程序来确保资产的安全。数据泄露通常

会导致经济损失、声誉受损、消费者信心瓦解、品牌侵蚀以及不遵守政府和行业法规。

因此，像数据库等基础设施软件的安全性更为重要，因为任何数据泄露都可能对全国或全市产

生影响，而这些影响通常很难完全恢复。

信息安全的核心是数据安全，而数据一旦泄露、丢失、被盗取可能会引发难以想象的灾难，所

以对数据的安全防护、对风险的预判防范就变得愈发重要。

安全性是一个很重要的话题。它不仅仅只存在于数据库中，整个 IT 系统中都是如此。然而数

据库有特殊的安全要求。数据库通常存放的是机密数据，因此数据得到合适的保护是有意义的。

安全事件

1.安全事件

看一下近几年发生的安全事件：

1. 超 5 万台 MongoDB 数据库实例被勒索

2017 年 1 月、9 月，黑客通过在互联网上扫描开放外部连接的 MongoDB 数据库，入侵了超

5 万台服务器，删除数据并留下勒索信息。

1. Gitlab 误删库事件

2017 年 1 月，“Gitlab 误删库事件”导致 300GB 数据被误删，差不多 6 小时的数据丢失, 影响

约 5000 个项目，5000 个评论和 700 个新用户账户。

1. 2.4 亿条酒店开房记录（疑似）被转卖

2018 年，国内某知名连锁酒店数据以 8 个比特币在暗网转卖，其中包含了 1.3 亿条个人信息、

2.4 亿条酒店入住登记信息。

1. 删库跑路事件

2020 年 2 月，因公司内部员工恶意破坏线上生产环境数据，导致服务不可用超过 120 小时，

股价暴跌 22%，市值缩水超 30 亿港元。

2.数据泄漏对企业的影响

看一下数据安全可能会给公司造成什么样的后果。

2020 年 IBM《数据泄露年度报告》显示，全球数据泄露事件达到 3932 起，泄露数据记录数

大概是 370 亿条，平均单次泄露事件造成的损失大概是 386 万美元，涉事上市公司平均股价

下跌 7.27%，基本可以算是暴跌。

各个国家针对安全事件也出了一些法律法规，如欧盟的《GDPR》以及中国的《数据安全法》、

《民法典》。

常见安全问题

用户问题：

1. 权限过多

2. 特权滥用

3. 弱用户认证

4. 密码强度低

数据问题：

1. 敏感数据不受管理和不受保护

2. 备份数据暴露

3. 硬盘被盗

4. 硬盘未加密

网络问题：

1. 防火墙规则

2. 链路未加密

3. 漏洞预防

4. 拒绝服务 (DOS) 攻击

漏洞问题：

1. 软件错误

2. 内存溢出

3. SQL 注入

4. 特权升级

解决方案

围绕不同类型的安全问题，这里提供了相应的解决方案：

1.用户安全

用户权限相关的安全性，如果操作不当，过多的权限、弱密码和权限滥用是很常见的。通常遵

循权限最小原则。

2.数据安全

PostgreSQL 写入数据的安全性(磁盘)，通常采用透明数据加密(TDE)。通过加密磁盘上的数

据，硬盘盗窃者将无法从硬盘中提取有用的信息。

3.网络安全

客户端和服务器之间的安全性，针对恶意连接通常采用 IPS 阻止 DOS 攻击，或 IDS 进行检

测警报。针对通信的安全性，通常使用 TLS 来加密生产环境中的数据通信。

4.软件安全

软件安全主要由漏洞引起，防止这种情况的最佳方法是进行软件版本升级。

数据库运维安全管理规范

数据安全理念-总论

1.尊重数据库即是保护数据资产

据 Gartner 调查数据显示：在经历了数据完成丢失而导致系统停运的企业中，有 2/5 再也没有

能恢复运营，余下的企业也有 1/3 在两年内宣告破产。由此可见数据灾难对于企业的影响是多

么巨大而深远。

由此可见，数据即资产，数据即财富，如果用户认同自我数据的价值，那么必须对数据库有一

定的敬畏和尊重。

2.数据环境每个环节做到可靠

在运维的任何一个环节都不能掉以轻心。数据环境通常涉及了网络、主机、存储、操作系统和

数据库五大环节，要在每个环节做到可靠。

3.尊重硬件的使用年限和生命周期

在系统规划时一定不能忽略硬件的生命周期，有时候可能超限使用的硬件一切看起来正常无误，

等着硬件出现故障，就有可能遭遇严重灾难。所以，即使在系统完全稳定运行时，也应当做出

足够的提前预估，进行硬件设备的维护升级、更新换代。

4.项目计划要做好充分的资源准备

在进行数据库建设或维护时，要做好充足的资源准备，以便在需要时可以快速获得技术支援，

做出正确判断。

5.必须有人能够把握技术全局

如果在核心的数据运维中没有人能把握全局，那么任何操作都应当极其慎重，或者干脆选择放

弃进行不可逆、破坏性数据维护操作。如果没有回退方案，任何危险的数据库维护操作都不应

当进行。

6.管理者需要参与决策

对于重要的数据环境，在执行重要的操作之前，管理者即便不了解详细的技术细节，也应当和

of 12

25墨值下载

相关文档

评论