云时代下如何实现数据安全运维

云时代下如何实现数据安全运维2015年9月22日，新云南皇冠假日酒店，第七届中国系统架构师大会拉开帷幕，这里成为2000多位以上架构师、CTO、工程师、IT经理、运维总监、开发经理等技术群体的聚集地，恰逢大数据时代，本届大会以“互联网+ 重塑IT架构”为核心主题，大会内容从IT架构设计、系统管理运维、安全保障支撑等不同角度，为与会人员献上一场饕餮盛宴。

数据存量的爆炸性增长、传统的安全藩篱被打破，核心数据亟待安全保障，风险安全责任全员化，数据库安全已是重要运维责任，已经成为运维2.0时代下的显著特性。面对大流量、高并发、高相应的业务需求，给运维人员提出了更新的挑战和更高的要求，安华金和CEO受本次大会特邀，聚焦于数据库，面向运维人员清晰阐述了Security运维的必要性和技术原理，提出在互联网+形态下催生的云环境下——具体到私有云、公有云、行业云下，如何实现云安全运维。

基于怎样的背景，安华金和提出数据库Security运维理念

类似网易邮箱拖库这类层出不穷的数据泄密事件，已经让我们清晰的认识到数据库安全成为安全体系建设的关键所在，从近两年verizon全球数据泄露调查报告数据显示，数据库中泄露的数据是数据泄漏事件发生的主要来源。对于数据库本身而言，其应用环境相队其他系统要复杂得多，B/S架构使数据库间接暴露到互联网；各种运维人员和IT外包人员直接访问数据库；应用方式的变更使数据库访问形式多样化这种境遇下，迫使我们对数据库的运维安全升级。从运维人员的意识形态上，分享几组数据，根据Oracle对全球430为独立用户成员进行数据库安全调查，结果显示：

3/4 的成员不清楚特权用户对数据库进行过何种操作

2/3的成员不能有效防止特权用户对数据库的非授权访问

85% 的成员将真实数据不加防范地交与开发人员或第三方人员

50% 的成员对其非特权用户访问敏感数据毫无措施

云环境下对数据库安全运维提出了怎样的挑战

云计算的发展，用户在私有云、公有云、行业云、政府专有云上，逐渐接受和使用。我们不得不接受一个现实，对于DBA而言，云环境下，IaaS干掉了基础运维，公司不再需要人各地出差服务器上架了，机房值班更加不需要了；PaaS部分干掉了应用运维，甚至技术含量高的DBA，需求量都将锐减。SaaS甚至干掉连研发都干掉了，使得公有云的使用更加傻瓜化。但是由于云环境下数据集中化存储与共享，加剧了数据泄密的风险，用户对于Security，即安全运维的意识和要求，只会越来越高。

首先，用户需要确认数据在云上是安全的，云环境的维护者无法看到这些数据，即使进入数据库也无法看到敏感的真实数据，其次，只有掌握密钥的应用系统或企业用户才能得到真实数据；系统中的敏感数据的保护需要按照企业用户来区分，钥匙需要掌握在企业用户的手中，不能是一个公共的钥匙；最后，安全要“衔接线下”，将“秘钥”做O2O包装，一定要能够以线下Key、证卡等实物形式来体现，这样能够大幅改善Online完全不受控的感受，让用户能够心里踏实。

以P2P金融为例，云上的数据库安全如何防护

安华金和作为专业的数据库安全提供商，为广大用户及合作伙伴提供优质的数据库安全运维产品及解决方案，以此解决用户的安全运维问题。以P2P金融为例，截止2014年11月，已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫等情况。平安董事局主席马明哲曾对此表示“P2P网贷平台其技术要求不亚于银行，甚至比银行还要高。但现实情况是，大多数P2P网贷平台无论在架构、数据库、安全防范方面，应对黑客的攻击能力几乎为零。”安华金和在云端针对数据库内核心数据的安全防护方案部署办法：将数据库防火墙（DBFirewall）部署在数据库服务器前，以实现来自外部人员的攻击和内部人员的误操作。数据库防火墙可针对批量删除或是批量下载等针对数据库的操作行为进行细粒度控制，并实现100%应用用户关联；同时通过对SQL语法/词法进行精确协议解析，防止外部对数据库漏洞的攻击和SQL注入、刷库等行为。同时，云环境下，为了防止数据库存储文件丢失，导致整库泄密，安华金和数据库保险箱（DBCoffer）通过对数据库敏感字段的加密，防止因数据明文存储导致库内敏感信息泄露，防止拖库行为的发生。

践行“数据库Security运维”理念，2015年11月，安华金和被评为2015中国IT运维服务优秀企业，其中数据库防火墙（DBFirewall）产品度荣获2015年IT运维管理最佳产品奖，获得了广大用户的认可与好评。安华金和将继续以“让数据使用更安全“为使命，为用户创造更优质的产品和服务。