連續(xù)舉辦七屆�、持續(xù)三天的中國(guó)系統(tǒng)架構(gòu)師大會(huì)����,上周在京成功閉幕�。安華金和CEO劉曉韜受邀進(jìn)行關(guān)于Security運(yùn)維的議題演講�,會(huì)后,劉總接受了來(lái)自IT168主編的采訪(fǎng)�。雙方就運(yùn)維2.0時(shí)代的到來(lái),無(wú)論是傳統(tǒng)行業(yè)還是新興的互聯(lián)網(wǎng)行業(yè)��,會(huì)面臨哪些運(yùn)維挑戰(zhàn)�,如何實(shí)現(xiàn)安全運(yùn)維展開(kāi)對(duì)話(huà)。
IT168: 2015中國(guó)系統(tǒng)架構(gòu)師大會(huì)的現(xiàn)場(chǎng)����,企業(yè)安全的問(wèn)題從來(lái)就沒(méi)有停止過(guò)討論,對(duì)于數(shù)據(jù)庫(kù)安全而言����,是非常重要的,我們有請(qǐng)到了數(shù)據(jù)庫(kù)安全專(zhuān)業(yè)提供商安華金和的CEO劉曉韜先生���。最近爆發(fā)的網(wǎng)易郵箱安全事件被鬧的沸沸揚(yáng)揚(yáng)�����,安全圈里面的DT都已經(jīng)發(fā)表言論�����,有的說(shuō)是撞庫(kù)���,有的說(shuō)是拖庫(kù)��,對(duì)于數(shù)據(jù)庫(kù)運(yùn)維這個(gè)層面��,劉總您怎么看待呢���?
劉曉韜:網(wǎng)易這個(gè)事件的發(fā)生有些撲朔迷離�。有的說(shuō)是下載量很大,有的說(shuō)在烏云上只是暴露出了一百多條�,有二三十條好像是能夠真實(shí)得驗(yàn)證出來(lái)。整體看����,針對(duì)這樣一起信息泄露事件,我們的社會(huì)給予了高度關(guān)注�。實(shí)際在這種情況下,從數(shù)據(jù)庫(kù)運(yùn)維來(lái)講���,隨著安全事件的發(fā)生�,我們的關(guān)注也越來(lái)越高�����。特別是像網(wǎng)易這樣一些大的互聯(lián)網(wǎng)公司里面,我相信在數(shù)據(jù)庫(kù)的安全運(yùn)維這一塊兒����,已經(jīng)上升到一定的高度。反倒是一些傳統(tǒng)的政府行業(yè)��,或者說(shuō)是央企�,他們可能還在基于網(wǎng)絡(luò)隔離措施情況下,覺(jué)得數(shù)據(jù)庫(kù)是處于被保護(hù)的��,隔離的非常好���,還沒(méi)意識(shí)到這塊會(huì)存在大量的安全問(wèn)題��,但是實(shí)際上這一塊兒我覺(jué)得更是會(huì)成為安全的重災(zāi)區(qū)��。
IT168:傳統(tǒng)企業(yè)它應(yīng)該如何來(lái)防控自己的數(shù)據(jù)呢���?本次大會(huì)演講中,您也分享了今年422社保安全事件�,在傳統(tǒng)行業(yè)中,影響是比較大的�。
劉曉韜:在傳統(tǒng)行業(yè)����,首先對(duì)于數(shù)據(jù)庫(kù)的安全運(yùn)維要重視起來(lái)�,我們講傳統(tǒng)的時(shí)候,更容易的是保障穩(wěn)定性�����,可持續(xù)代謝性�,還有一些性能如可擴(kuò)縮性,往往在傳統(tǒng)運(yùn)維當(dāng)中比較重視的����。但對(duì)于數(shù)據(jù)庫(kù)的泄露和數(shù)據(jù)庫(kù)非法的篡改不太容易立刻呈現(xiàn)出來(lái),傳統(tǒng)行業(yè)往往是出了事才開(kāi)始重視���,但出事之前實(shí)際已經(jīng)埋下了安全隱患,并可能已經(jīng)很深了�����。首先��,要從意識(shí)上得去加強(qiáng)�,這次在面對(duì)運(yùn)維人員分享數(shù)據(jù)庫(kù)的安全����,也是希望能夠喚醒大家在數(shù)據(jù)庫(kù)安全的意識(shí)�����,這樣一個(gè)意識(shí)喚醒之后�,更多是說(shuō)要從管理手段和技術(shù)手段雙管齊下的方式去保證這種數(shù)據(jù)庫(kù)的運(yùn)維方式。不過(guò)還是有非?�?上驳氖?����,我們最近在一些運(yùn)營(yíng)商����、能源、金融行業(yè)的用戶(hù)����,他們實(shí)際上對(duì)這個(gè)方面都表現(xiàn)出極大的興趣。這說(shuō)明大家在安全方面的意識(shí)正在覺(jué)醒�。有了這種意識(shí)之后,相關(guān)的配套的管理制度、技術(shù)手段跟上之后�����,我覺(jué)得會(huì)極大的會(huì)改善現(xiàn)況���。
IT168:傳統(tǒng)行業(yè)外����,現(xiàn)在云計(jì)算特別火�,企業(yè)逐漸在接受云,上云����,剛才您也提到像AWS或者是阿里云,以及各種各樣的云����。但是企業(yè)是否想過(guò),上了云之后就是百分之百安全了嗎�?上了云之后大家應(yīng)該注意哪些問(wèn)題��,這一塊兒您跟大家分享一下�。
劉曉韜:我的一個(gè)認(rèn)為上了云之后,某一些方面會(huì)變得安全,比如說(shuō)Safe層面的安全�,我們講由于云的基礎(chǔ)設(shè)施,整體的可擴(kuò)縮性�,以及備份機(jī)制,還有他的技術(shù)安全體系的保證��,會(huì)使比如說(shuō)受攻擊癱瘓這種情況發(fā)生的概率比較小����。但是我們?cè)谥v從數(shù)據(jù)泄露這個(gè)層面上的Security安全,上云并不是完全能有所保證的���。
以Amazon為例�����,Amazon整個(gè)生態(tài)體系當(dāng)中在國(guó)外很熱的一塊兒業(yè)務(wù)就是租用第三方的數(shù)據(jù)的安全服務(wù)���,包括加密層面、防攻擊層面�,是Amazon很重要的一個(gè)熱點(diǎn)。這說(shuō)明云基礎(chǔ)設(shè)施提供商����,本身在他的安全體系結(jié)構(gòu)上,并不能完全保證不受攻擊。特別是以金融為例�����,今年號(hào)稱(chēng)說(shuō)667家的P2P金融公司在中國(guó)快被干掉����。從今年來(lái)看,應(yīng)該有140多家P2P的金融公司被黑客黑到了�,特別是近日暴露出來(lái)的兩個(gè)黑客聯(lián)手入侵了大量的P2P金融公司進(jìn)行數(shù)據(jù)篡改,我覺(jué)得這個(gè)東西都證明有一點(diǎn)�,上云不代表你的運(yùn)維系統(tǒng)沒(méi)問(wèn)題,你的應(yīng)用系統(tǒng)沒(méi)有問(wèn)題���,你的Database沒(méi)有問(wèn)題����。但是這個(gè)上面還是更需要加強(qiáng)安全意識(shí)����,去有效加強(qiáng)安全措施,才能保證系統(tǒng)上云之后不出問(wèn)題����。
IT168:對(duì)于傳統(tǒng)產(chǎn)業(yè)和互聯(lián)網(wǎng)企業(yè),他們?nèi)绾蝸?lái)防控住數(shù)據(jù)庫(kù)的安全呢�����?因?yàn)樗麄兛赡茉谄渌陌踩矫嬉呀?jīng)做了很多的措施����,但最終還是被拖了庫(kù)。您認(rèn)為這些企業(yè)在數(shù)據(jù)庫(kù)安全方面能夠做哪些部署�,能防止數(shù)據(jù)庫(kù)能被別人盜取或者是注入。
劉曉韜:沒(méi)有任何一種手段是完全可靠的�,我們說(shuō)傳統(tǒng)的安全大廠(chǎng),類(lèi)似于像啟明��、天融信��、綠盟��,他們更多的是做網(wǎng)絡(luò)層防護(hù)�����,或者說(shuō)是做邊界防護(hù)的�。但是現(xiàn)在新的IT架構(gòu)下有幾個(gè)特點(diǎn):
一、互聯(lián)網(wǎng)化���,很多的業(yè)務(wù)系統(tǒng)都是需要面向互聯(lián)網(wǎng)服務(wù)����,這些應(yīng)用系統(tǒng)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)是一個(gè)必然的一件事情。那么通過(guò)應(yīng)用系統(tǒng)當(dāng)中的漏洞跳轉(zhuǎn)��,對(duì)于數(shù)據(jù)庫(kù)的攻擊���,往往是目前黑客入侵的一個(gè)最主要的形式����。這種形式用戶(hù)用傳統(tǒng)的防火墻���,IPS這樣的東西去防御是頂不住的����。
二���、現(xiàn)代黑產(chǎn)的形成����,不僅僅是黑客入侵���,內(nèi)部的運(yùn)維人員或者是第三方的運(yùn)維人員�����,甚至一些程序員�,他們有能力接觸數(shù)據(jù)庫(kù)或者是篡改數(shù)據(jù)庫(kù)信息了����,因此也變成一種非常的危險(xiǎn)源。這些處于邊界之內(nèi)的人員�,對(duì)邊界之內(nèi)數(shù)據(jù)庫(kù)的這種威脅,往往更大���。這就造成了傳統(tǒng)安全體系跟現(xiàn)實(shí)狀況的兩大不匹配�����,這種情況下我們必須要引入一些專(zhuān)業(yè)的數(shù)據(jù)庫(kù)的防控技術(shù)���。
比如說(shuō)類(lèi)似像應(yīng)用側(cè)這種防護(hù),我們要引入像數(shù)據(jù)庫(kù)防火墻這樣的一些技術(shù)�,這樣一種技術(shù)可以防止SQL注入,防止批量下載�����;而對(duì)于運(yùn)維管控這一塊兒,我們最傳統(tǒng)的方式是采用堡壘機(jī)���,因?yàn)楸緳C(jī)是集中運(yùn)維的一種方式����。但實(shí)際上它對(duì)于數(shù)據(jù)庫(kù)運(yùn)維管控的能力是有限的���。對(duì)于數(shù)據(jù)庫(kù)的控制����,比如說(shuō)所有的表都能訪(fǎng)問(wèn)��,這往往是不可取的�。還有一些利用圖形化工具對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn),往往是沒(méi)有辦法去進(jìn)行防止的�����。還有一些就是批量性的訪(fǎng)問(wèn)����,也沒(méi)有辦法去防止�。所以在這些情況下���,用戶(hù)需要引入一些專(zhuān)業(yè)的數(shù)據(jù)庫(kù)的安全防護(hù)工具�,比如說(shuō)數(shù)據(jù)庫(kù)防火墻��,或者是數(shù)據(jù)庫(kù)專(zhuān)業(yè)審計(jì)的手段����。還有就是防止企業(yè)內(nèi)部網(wǎng)管從文件層面上數(shù)據(jù)庫(kù)拖庫(kù)�����,我們可以要采用一些數(shù)據(jù)庫(kù)的加密手段�����,所以說(shuō)�,采用專(zhuān)業(yè)數(shù)據(jù)庫(kù)的安全技術(shù)和產(chǎn)品是有效提升當(dāng)前數(shù)據(jù)庫(kù)運(yùn)維安全的一個(gè)重要的措施。
IT168:感謝劉總跟我們的分享����。
產(chǎn)品咨詢(xún):4000 258 365 
