【大咖来了 第9期】数据安全之数据库安全黄金法则

作者: 侯圣文 2019-12-27 17:25:13

【51CTO.com原创稿件】本期出席《大咖来了》直播栏目的嘉宾是贝壳找房技术总监侯圣文,分享主题为《数据安全之数据库安全黄金法则》,过程中以Oracle数据库安全加固为例,详尽阐述了如何把管理混乱数据库规范化的三十六大黄金法则。

数据库安全运筹帷幄三十六计

根据多年在数据行业摸爬滚打,积淀下来的经验心得,分享一个“向左向右”的理论。

【大咖来了 第9期】数据安全之数据库安全黄金法则

在数据库安全领域,左,是走为上计,相当于逃跑机制,当没有有效安全机制来保证数据库安全时,一旦发生重大故障,最后只能被动离开。右,是运筹帷幄之决胜千里之外,相当于把很多安全的动作前置,避免数据库出现问题后束手无策。向左还是向右,答案显而易见。

接下来我们再分析下当前数据现状,如下图。

【大咖来了 第9期】数据安全之数据库安全黄金法则

管理规范的数据库除了数据库名不同,其他都相同,所谓相同是指安全加固的方式与保障规范,只有规范化才能工具化,只有工具化才能产品化,只有产品化才能过渡到真正无人职守的状态下依然智能加固。反之,管理混乱的数据库除了数据库名字相同,其他都不同,所谓不同是指配置零乱、存在各种部署问题,也就存在着各种安全风险和漏洞。

那么如何把管理混乱数据库规范化,达到运筹帷幄的状态呢?这里总结了三十六大黄金法则分享给大家,如下图所示。

【大咖来了 第9期】数据安全之数据库安全黄金法则

以实际生产对环境的安全加固深厚经验为依据,在不同阶段、针对不同维度进行拆分,把三十六计分为胜战计、敌战计、攻战计、混战计和败战计五个方向。

胜战计

何为胜战计?以不战而驱人之兵者,是为胜战。在实际生产环境下,运维过程中,故障在所难免,需要做好成分的准备和规范,就可以有效减少故障、规避和绕过故障。这个方向总共有八计,下面我们逐一进行详尽阐述。

第一计:有效的备份重于一切

【大咖来了 第9期】数据安全之数据库安全黄金法则

对于一个DBA或数据安全的捍卫者,如果没有进行有效备份,当遇到重大故障的时候,能做的也只有走为上计,这种是多方都不希望发生的状态。所以,要有效备份,有备无患,这样当灾难来临的时候,才能够做到心中有底,手中不慌。

所谓的灾难就是数据被误删除、修改、篡改,只要有备份,才会有恢复的可能性。虽存在时效性的问题,数据量越恢复成本就会越高,也可能不会瞬间恢复,但如建有完备的灾备方案,恢复时间会很好把控。

没有备份是唯一让DBA或者数据安全员在梦中惊醒的事,因为数据本身就是业务,数据本身就是生产环境最核心的资产,要用敬畏之心面对生产数据库。

第二计:制定应急预案和进行演习

【大咖来了 第9期】数据安全之数据库安全黄金法则

虽有备份,但恢复过程中,发现备份介质不可用怎么办?所以一定要制定应急预案,确保方案有效可执行的同时,一定要坚持进行演习,没有演练预案全是纸上谈兵。还有就是就算没有真实的故障,每季度或半年一年做介质的有效性验证,避免在恢复过程中消耗时间。

第三计:建立容灾或异地备份

【大咖来了 第9期】数据安全之数据库安全黄金法则

在实际生产环境中,生产机房往往是在同一个地点,虽把备份放到本地服务器,出现极端的情况怎么办,如因为自然原因,整个机房毁掉,依然起不到有效保障。很多特殊情况都是一定要保证数据留存性的,如银行级、电信级,绝对不允许数据丢失,那么就需要建立容灾站点或异地备份。

第四计:数据归档和读写分离

【大咖来了 第9期】数据安全之数据库安全黄金法则

任何一个生产环境,随时间推移,业务增加,数据会越来越多,导致数据库的读写和性能会越来越差,积累到一定程度便会影响生产环境的正常使用,故一定要做数据归档。数据归档既可以把数据做离线保存、防止数据丢失的同时,又使得主生产数据库性能得到一个最大保障。读写分离是一定要做的,把主站点做一定的拆解放到另一个站点,这样另外读库的动作就可以在另外站点进行,写库动作可以在主库进行操作。

切记要建立数据归档机制,比如对数据进行分级,哪些是生产环境主操作数据,哪些是可以做归档。需要在架构上做优先的设计之后,再去实现读写分离。

第五计:测试和生产环境隔离

【大咖来了 第9期】数据安全之数据库安全黄金法则

DBA经常会犯的问题就是主操设备既用来生成又进行测试,这样会存在很大风险,一旦不小心连错库,就直接威胁到生产环境的数据安全。这里强烈建议一定要做网络级的隔离,切记绝对一定不能在生产环境中进行测试。

这些还需要注意两点,一个是数据库应处于应用系统的最后端,并进行保护,另一个是避免将其置于对外的访问链接之下,需要内网环境下对其进行操作。

第六计:部署标准和完善的监控体系

【大咖来了 第9期】数据安全之数据库安全黄金法则

故障在所难免,要第一时间发现并解决问题,这就需要有一套部署标准和完善的监控体系。监控的目的是为了预警,为了更早的发现故障,不需要等业务反馈不能用或数据丢失,被动进行处理,那就为时已晚。

第七计:制订规范并贯彻执行

【大咖来了 第9期】数据安全之数据库安全黄金法则

经过逐年累月的实践会有很多经验,把这些归纳总结,制定成规范且贯彻执行,是减少故障的基础。基于全面的规范可推动开发和运维人员更加标准化。

一旦标准化成型,就有了参照,有了基线,进而未来才能进行工具化、产品化建设,待数据盘点后,智能化运维或安全加固的策划也将成为可能。

第八计:运维自动化和智能化

【大咖来了 第9期】数据安全之数据库安全黄金法则

如何做到运维自动化呢?就是把运维的各种策略和变更尽可能用脚本或工具管理进行实现,这也是未来必然要走的路径,每个企业都应该投放精力、人力、财力进行建设,之后真的会极大的节省大量人工成本。

从工具化,转到自动化,之后在进行智能化的探索推进运维体系的持续提升,直到所有故障都可以在业务无感知的情况下提前处理,不需要人工干预。到了那时候,运维人员就可以做更多预测性、盘点性工作,向业务侧倾斜,充分体现出自身对业务和产品的价值。

根据多年数据安全行业经验把这些计策总结出来,以方便大家进行参考,当然这些计策必须可以在实际生产环境当中落地实践,欲知余下二十八计,请戳视频连接:

https://aix.51cto.com/activity/10019.html

《个人简介》

侯圣文,北京大学理学硕士,现任贝壳找房技术总监,Oracle ACE总监,阿里云MVP,OCM联盟创始人,中国Oracle用户组(ACOUG)核心成员,中国Cloudera用户组(ACCUG)创始人,TiDB用户组TUG联合创始人,恩墨学院创始人,ITPUB资深版主,DataGURU专家团成员,《SQL和PL/SQL深度编程》译者。

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

  1. 【大咖来了 第1期】新零售时代的智慧中台
  2. 【大咖来了 第2期】快狗打车智能化演进之路
  3. 【大咖来了 第3期】海量日志分析与智能运维
  4. 【大咖来了 第4期】数据驱动的产品决策和智能化
  5. 【大咖来了 第5期】如何建设大数据中台
  6. 【大咖来了 第6期】面向交互的人工智能
  7. 【大咖来了 第7期】智能导购对话机器人实践
  8. 【大咖来了 第8期】电商风控利器—移动设备可信ID
大咖来了 数据安全
上一篇:【大咖来了 第8期】电商风控利器—移动设备可信ID 下一篇:NeurIPS 2019:谷歌提出改进机器学习分布外异常检测新方法
评论1
取消
2020-01-07 15:17:41
一线护肤(小陈店) https://k.ruyu.com/a763uP0h

更多资讯推荐

【大咖来了 第11期】IT管理者的自我认知和沟通管理 精选

本期《大咖来了》栏目邀请了绿地酒店旅游集团信息技术部总监金勇杰,进行了主题为《IT管理者的自我认知和沟通管理》的分享,希望能给你带来一些借鉴和思考。

金勇杰 ·  2020-02-14 16:20:19
【大咖来了 第10期】零门槛构建弹性大数据云分析平台 精选

本期《大咖来了》邀请了阿里云智能高级解决方案架构师鲍远松,分享主题为《零门槛构建弹性大数据云分析平台》,过程中对大数据分析平台建设进行阶段划分,并对每阶段进行了详尽的阐述。

鲍远松 ·  2020-01-13 21:18:30
【大咖来了 第6期】面向交互的人工智能 精选

本期出席《大咖来了》直播栏目的嘉宾是百度DuerOS首席布道师曹洪伟,进行了主题为《面向交互的人工智能》的分享,主要讲解了语音交互中用到的AI技术,如ASR、NLU、NLG、TTS等,以及基于这些细分技术构建的面向对话式的人工智能操作系统——DuerOS。

曹洪伟 ·  2019-11-21 20:45:31
人工智能在提高数据安全性方面的作用

随着越来越多的企业采用数字技术和云解决方案,保证系统和流程以保护数据变得至关重要。问题出现了,那该如何解决呢?同样的,机器学习和人工智能正在改进数据保护策略,以保护企业免受网络威胁。

张晓艺 ·  2019-07-15 12:19:35
AI战“疫”,偶尔小尴尬背后,终极护城河现形

人类与新型冠状病毒的战“疫”仍然在进行中,在这期间,也催生出各类“人工智能+”应用,人工智能技术在此期间迎来大爆发。

张书乐 ·  15h前
意料之外 情理之中:解读Gartner 2020年数据科学和机器学习平台魔力象限

最近Gartner发布了数据科学和机器学习(DSML)平台魔力象限报告。数据科学、机器学习和人工智能的市场格局极为分散,竞争激烈且难以理解。Gartner尝试根据明确定义的标准对厂商进行了排名。

佚名 ·  16h前
DeepMind发布神经网络、强化学习库,网友:推动JAX发展

JAX由谷歌提出,是TensorFlow的简化库。结合了针对线性代数的编译器XLA,和自动区分本地 Python 和 Numpy 代码的库Autograd,在高性能的机器学习研究中使用。

十三 ·  18h前
谷歌透露:正在内部尝试用AI开发计算机芯片

据谷歌人工智能研究负责人Jeff Dean透露,谷歌正在尝试通过人工智能程序推进专用芯片的内部开发,以加速其软件。在旧金山举行的International Solid State Circuits Conference会上Dean表示:“我们内部正在将人工智能技术用于一系列芯片设计项目中。”

佚名 ·  22h前
Copyright©2005-2020 51CTO.COM 版权所有 未经许可 请勿转载