連續(xù)舉辦七屆、持續(xù)三天的中國系統(tǒng)架構(gòu)師大會�����,上周在京成功閉幕��。安華金和CEO劉曉韜受邀進(jìn)行關(guān)于Security運(yùn)維的議題演講�,會后��,劉總接受了來自IT168主編的采訪�����。雙方就運(yùn)維2.0時代的到來����,無論是傳統(tǒng)行業(yè)還是新興的互聯(lián)網(wǎng)行業(yè),會面臨哪些運(yùn)維挑戰(zhàn),如何實(shí)現(xiàn)安全運(yùn)維展開對話���。
IT168: 2015中國系統(tǒng)架構(gòu)師大會的現(xiàn)場����,企業(yè)安全的問題從來就沒有停止過討論��,對于數(shù)據(jù)庫安全而言��,是非常重要的��,我們有請到了數(shù)據(jù)庫安全專業(yè)提供商安華金和的CEO劉曉韜先生��。最近爆發(fā)的網(wǎng)易郵箱安全事件被鬧的沸沸揚(yáng)揚(yáng)�,安全圈里面的DT都已經(jīng)發(fā)表言論����,有的說是撞庫,有的說是拖庫�����,對于數(shù)據(jù)庫運(yùn)維這個層面���,劉總您怎么看待呢�����?
劉曉韜:網(wǎng)易這個事件的發(fā)生有些撲朔迷離��。有的說是下載量很大����,有的說在烏云上只是暴露出了一百多條,有二三十條好像是能夠真實(shí)得驗(yàn)證出來�。整體看,針對這樣一起信息泄露事件��,我們的社會給予了高度關(guān)注���。實(shí)際在這種情況下�����,從數(shù)據(jù)庫運(yùn)維來講��,隨著安全事件的發(fā)生�,我們的關(guān)注也越來越高��。特別是像網(wǎng)易這樣一些大的互聯(lián)網(wǎng)公司里面,我相信在數(shù)據(jù)庫的安全運(yùn)維這一塊兒�,已經(jīng)上升到一定的高度。反倒是一些傳統(tǒng)的政府行業(yè)����,或者說是央企,他們可能還在基于網(wǎng)絡(luò)隔離措施情況下�,覺得數(shù)據(jù)庫是處于被保護(hù)的,隔離的非常好����,還沒意識到這塊會存在大量的安全問題,但是實(shí)際上這一塊兒我覺得更是會成為安全的重災(zāi)區(qū)�����。
IT168:傳統(tǒng)企業(yè)它應(yīng)該如何來防控自己的數(shù)據(jù)呢�����?本次大會演講中�����,您也分享了今年422社保安全事件����,在傳統(tǒng)行業(yè)中,影響是比較大的����。
劉曉韜:在傳統(tǒng)行業(yè),首先對于數(shù)據(jù)庫的安全運(yùn)維要重視起來�,我們講傳統(tǒng)的時候,更容易的是保障穩(wěn)定性���,可持續(xù)代謝性��,還有一些性能如可擴(kuò)縮性���,往往在傳統(tǒng)運(yùn)維當(dāng)中比較重視的。但對于數(shù)據(jù)庫的泄露和數(shù)據(jù)庫非法的篡改不太容易立刻呈現(xiàn)出來��,傳統(tǒng)行業(yè)往往是出了事才開始重視�����,但出事之前實(shí)際已經(jīng)埋下了安全隱患�,并可能已經(jīng)很深了。首先���,要從意識上得去加強(qiáng)���,這次在面對運(yùn)維人員分享數(shù)據(jù)庫的安全���,也是希望能夠喚醒大家在數(shù)據(jù)庫安全的意識,這樣一個意識喚醒之后�,更多是說要從管理手段和技術(shù)手段雙管齊下的方式去保證這種數(shù)據(jù)庫的運(yùn)維方式。不過還是有非?�?上驳氖?����,我們最近在一些運(yùn)營商���、能源��、金融行業(yè)的用戶,他們實(shí)際上對這個方面都表現(xiàn)出極大的興趣�。這說明大家在安全方面的意識正在覺醒。有了這種意識之后�����,相關(guān)的配套的管理制度、技術(shù)手段跟上之后��,我覺得會極大的會改善現(xiàn)況���。
IT168:傳統(tǒng)行業(yè)外���,現(xiàn)在云計(jì)算特別火,企業(yè)逐漸在接受云���,上云�,剛才您也提到像AWS或者是阿里云����,以及各種各樣的云。但是企業(yè)是否想過����,上了云之后就是百分之百安全了嗎?上了云之后大家應(yīng)該注意哪些問題�,這一塊兒您跟大家分享一下。
劉曉韜:我的一個認(rèn)為上了云之后�����,某一些方面會變得安全,比如說Safe層面的安全�����,我們講由于云的基礎(chǔ)設(shè)施���,整體的可擴(kuò)縮性�����,以及備份機(jī)制�����,還有他的技術(shù)安全體系的保證��,會使比如說受攻擊癱瘓這種情況發(fā)生的概率比較小����。但是我們在講從數(shù)據(jù)泄露這個層面上的Security安全��,上云并不是完全能有所保證的���。
以Amazon為例����,Amazon整個生態(tài)體系當(dāng)中在國外很熱的一塊兒業(yè)務(wù)就是租用第三方的數(shù)據(jù)的安全服務(wù)���,包括加密層面��、防攻擊層面�����,是Amazon很重要的一個熱點(diǎn)�����。這說明云基礎(chǔ)設(shè)施提供商����,本身在他的安全體系結(jié)構(gòu)上��,并不能完全保證不受攻擊�����。特別是以金融為例��,今年號稱說667家的P2P金融公司在中國快被干掉。從今年來看���,應(yīng)該有140多家P2P的金融公司被黑客黑到了����,特別是近日暴露出來的兩個黑客聯(lián)手入侵了大量的P2P金融公司進(jìn)行數(shù)據(jù)篡改���,我覺得這個東西都證明有一點(diǎn)�,上云不代表你的運(yùn)維系統(tǒng)沒問題��,你的應(yīng)用系統(tǒng)沒有問題����,你的Database沒有問題。但是這個上面還是更需要加強(qiáng)安全意識�,去有效加強(qiáng)安全措施,才能保證系統(tǒng)上云之后不出問題���。
IT168:對于傳統(tǒng)產(chǎn)業(yè)和互聯(lián)網(wǎng)企業(yè)��,他們?nèi)绾蝸矸揽刈?shù)據(jù)庫的安全呢��?因?yàn)樗麄兛赡茉谄渌陌踩矫嬉呀?jīng)做了很多的措施��,但最終還是被拖了庫�。您認(rèn)為這些企業(yè)在數(shù)據(jù)庫安全方面能夠做哪些部署����,能防止數(shù)據(jù)庫能被別人盜取或者是注入。
劉曉韜:沒有任何一種手段是完全可靠的�,我們說傳統(tǒng)的安全大廠,類似于像啟明�����、天融信�����、綠盟��,他們更多的是做網(wǎng)絡(luò)層防護(hù)�����,或者說是做邊界防護(hù)的����。但是現(xiàn)在新的IT架構(gòu)下有幾個特點(diǎn):
一��、互聯(lián)網(wǎng)化����,很多的業(yè)務(wù)系統(tǒng)都是需要面向互聯(lián)網(wǎng)服務(wù)�����,這些應(yīng)用系統(tǒng)訪問數(shù)據(jù)庫是一個必然的一件事情�����。那么通過應(yīng)用系統(tǒng)當(dāng)中的漏洞跳轉(zhuǎn)�����,對于數(shù)據(jù)庫的攻擊����,往往是目前黑客入侵的一個最主要的形式。這種形式用戶用傳統(tǒng)的防火墻��,IPS這樣的東西去防御是頂不住的��。
二、現(xiàn)代黑產(chǎn)的形成����,不僅僅是黑客入侵,內(nèi)部的運(yùn)維人員或者是第三方的運(yùn)維人員�,甚至一些程序員�����,他們有能力接觸數(shù)據(jù)庫或者是篡改數(shù)據(jù)庫信息了����,因此也變成一種非常的危險源。這些處于邊界之內(nèi)的人員���,對邊界之內(nèi)數(shù)據(jù)庫的這種威脅����,往往更大����。這就造成了傳統(tǒng)安全體系跟現(xiàn)實(shí)狀況的兩大不匹配,這種情況下我們必須要引入一些專業(yè)的數(shù)據(jù)庫的防控技術(shù)�����。
比如說類似像應(yīng)用側(cè)這種防護(hù),我們要引入像數(shù)據(jù)庫防火墻這樣的一些技術(shù)�����,這樣一種技術(shù)可以防止SQL注入��,防止批量下載���;而對于運(yùn)維管控這一塊兒���,我們最傳統(tǒng)的方式是采用堡壘機(jī),因?yàn)楸緳C(jī)是集中運(yùn)維的一種方式��。但實(shí)際上它對于數(shù)據(jù)庫運(yùn)維管控的能力是有限的����。對于數(shù)據(jù)庫的控制,比如說所有的表都能訪問����,這往往是不可取的。還有一些利用圖形化工具對數(shù)據(jù)庫的訪問����,往往是沒有辦法去進(jìn)行防止的���。還有一些就是批量性的訪問,也沒有辦法去防止���。所以在這些情況下����,用戶需要引入一些專業(yè)的數(shù)據(jù)庫的安全防護(hù)工具����,比如說數(shù)據(jù)庫防火墻�����,或者是數(shù)據(jù)庫專業(yè)審計(jì)的手段�。還有就是防止企業(yè)內(nèi)部網(wǎng)管從文件層面上數(shù)據(jù)庫拖庫,我們可以要采用一些數(shù)據(jù)庫的加密手段����,所以說,采用專業(yè)數(shù)據(jù)庫的安全技術(shù)和產(chǎn)品是有效提升當(dāng)前數(shù)據(jù)庫運(yùn)維安全的一個重要的措施�。
IT168:感謝劉總跟我們的分享����。
產(chǎn)品咨詢:4000 258 365 
