别动我奶酪！【如何守护云上数据库安全】

倘若隐私数据可以被明码标价出售，你觉得自己的个人数据价值多少？

手机里任意两张照片换一个面包？一段聊天记录兑一瓶牛奶？

恐怕没人愿意。

对于个人而言 ，隐私泄露，造成的可不仅仅只是财产损失。

而对于掌握着大规模用户数据的企业而言， 信息数据泄露，造成的损失更是难以估量。一旦泄露，公司的品牌和经营就会严重受损。

大数据时代，数据即资产。企业数据这块诱人的奶酪，时刻都被人觊觎着，一不小心，就会被人偷走。信息数据泄露，成为了现在企业信息安全的头号威胁。

谁想“偷”走“奶酪”？

1、愈发猖獗的外部攻击

   数据库存在缺省配置、高危程序、弱口令、权限分配过高等缺陷，外部黑客可以利用这些缺陷发起攻击，达到入侵数据库、窃取、篡改数据的目的。  

2、难以预防的内部违规

除了外部防御，内部误操作及蓄意泄密也是另一巨大安全隐患。内部运维人员、DBA和程序开发人员等普遍存在权限过高的情况，他们可以对数据库进行增删改查、拷贝等操作，企业通常缺乏对此类操作的细粒度管控机制。一旦发生内部违规，造成损失也是难以挽回。

3、难以溯源的安全取证，

更不幸的是，灾难发生还查无此证。数据库遭受入侵和非授权操作时，攻击者可以获取数据库的高权限账户，从而可以删除部分或全部审计日志，导致无法准确回溯，对日后取证造成阻碍； 

4、困难重重的数据审计

审计记录繁杂众多，粗放的数据库审计无法从众多审计记录中精确定位到操作人，若实现细粒度的审计，巨大的审计成本和服务器性能消耗又让企业难以承担。  

如何守住“奶酪”？

守住数据奶酪，你需要为它构筑更加坚实的防护罩。

当前许多企业的安全防护几近“裸奔”，传统的安全防护体系，很难应对当前复杂环境下的安全威胁，你需要一款更加智能的数据库安全产品。

华为云数据库安全服务（Database Security Service）包括数据库安全防护和数据库安全审计两大模块，提供数据泄露保护、数据库防火墙、数据库审计三大功能，基于BDA模型，提供覆盖全生命周期的安全防护。

1、事前——保护数据不被泄露

      数据库安全防护根据合规要求自动发现数据库中的敏感数据，并对敏感数据进行细粒度的、高性能的动态脱敏，保护重要数据不被泄露。

2、事中——构筑数据库防火墙

      数据库防火墙从多种策略防止数据库被攻击，持续保护云上数据库安全。解决企业数据库存在缺省配置、高危程序、弱口令、权限分配过高等缺陷，预防外部入侵数据库、窃取、篡改数据；首创的数据库反向代理技术能真正做到实时阻断恶意请求，出现异常行为时会实时告警；SQL注入攻击防御致使可疑及危险的查询无法到达数据库；叠加机器学习模型+评分机制，误报率远低于平均水平；还有定期自我学习，生成安全模式规则，能大大降低运维人员的工作量。

3、事后——数据库安全审计

      数据库安全审计模块会对数据库的活动情况进行实时记录，检测到谁在什么时间，对数据库进行了哪些操作，对风险行为和攻击行为进行实时告警，形成细粒度的审计报告，便于在发生安全事故后进行追踪溯源，同时，还可以生成满足数据安全标准（例如GDPR、PCI-DSS、等保、SOX等）的精细报表，使企业满足国内外安全法的合规要求。

大数据安全现在已经上升成为国家安全极为关键的组成部分，国内外企业因数据安全问题造成信息泄露，被严重罚款的例子屡见不鲜。综合考虑各个环节的安全技术，才能构建高安全的数据库防护系统。