为了应对数据泄露造成的威胁,全球各国都正在提高对数据安全的重视。譬如欧盟出台了GDPR通用数据保护条例、美国出台了隐私权法和网络安全法,新加坡发布了个人信息保护法等,都在加大对用户数据的保护,并且已经有多家大型国际企业已经受到了GDPR的处罚。我国也发布了《网络安全法》,个人信息保护法也正在制定当中。
针对互联网企业的数据库安全从数据的收集和产生,然后到存储、使用、传输、共享。在这期间会碰到很多安全问题,如何做好数据安全的问题,思迈克认为大部分互联网数据库都归根于网络系统问题:
1、对所有数据库部署数据库审计产品。开启入侵检测功能,及时地发现网络上针对数据库的违规操作行为,并进行记录、报警。开启学习功能,自动生成基线模型白名单,实现规则零配置,解决因人力不足造成的无法详细设置审计规则问题。一旦发生威胁可迅速判断是内部人员的越权操作,还是外部人员的入侵行为,事后追责,满足合规性要求。
2、实施数据库防火墙。对于更重要的、易受攻击的系统使用数据库防火墙,抵御SQL注入攻击及针对数据库漏洞的攻击,或者来自内部的全表删除等误操作、超级权限滥用等。
3、采用数据库脱敏产品,防止真实数据泄漏。使用专业的脱敏算法对敏感数据进行随机化、替换、变形、加密、屏蔽等脱敏操作,达到隐藏敏感数据中隐私信息的目的,在源头上保护了数据的安全性。
