連續(xù)舉辦七屆�����、持續(xù)三天的中國系統(tǒng)架構(gòu)師大會�����,上周在京成功閉幕���。918搏天堂CEO劉曉韜受邀進行關(guān)于Security運維的議題演講����,會后��,劉總接受了來自IT168主編的采訪����。雙方就運維2.0時代的到來,無論是傳統(tǒng)行業(yè)還是新興的互聯(lián)網(wǎng)行業(yè),會面臨哪些運維挑戰(zhàn)��,如何實現(xiàn)安全運維展開對話��。
IT168: 2015中國系統(tǒng)架構(gòu)師大會的現(xiàn)場�,企業(yè)安全的問題從來就沒有停止過討論��,對于數(shù)據(jù)庫安全而言���,是非常重要的�,我們有請到了數(shù)據(jù)庫安全專業(yè)提供商918搏天堂的CEO劉曉韜先生��。最近爆發(fā)的網(wǎng)易郵箱安全事件被鬧的沸沸揚揚����,安全圈里面的DT都已經(jīng)發(fā)表言論,有的說是撞庫����,有的說是拖庫,對于數(shù)據(jù)庫運維這個層面��,劉總您怎么看待呢��?
劉曉韜:網(wǎng)易這個事件的發(fā)生有些撲朔迷離。有的說是下載量很大�,有的說在烏云上只是暴露出了一百多條,有二三十條好像是能夠真實得驗證出來�。整體看,針對這樣一起信息泄露事件����,我們的社會給予了高度關(guān)注。實際在這種情況下�����,從數(shù)據(jù)庫運維來講�,隨著安全事件的發(fā)生,我們的關(guān)注也越來越高��。特別是像網(wǎng)易這樣一些大的互聯(lián)網(wǎng)公司里面���,我相信在數(shù)據(jù)庫的安全運維這一塊兒�,已經(jīng)上升到一定的高度�。反倒是一些傳統(tǒng)的政府行業(yè),或者說是央企����,他們可能還在基于網(wǎng)絡(luò)隔離措施情況下�����,覺得數(shù)據(jù)庫是處于被保護的���,隔離的非常好�����,還沒意識到這塊會存在大量的安全問題����,但是實際上這一塊兒我覺得更是會成為安全的重災區(qū)。
IT168:傳統(tǒng)企業(yè)它應該如何來防控自己的數(shù)據(jù)呢�����?本次大會演講中�,您也分享了今年422社保安全事件,在傳統(tǒng)行業(yè)中����,影響是比較大的。
劉曉韜:在傳統(tǒng)行業(yè)���,首先對于數(shù)據(jù)庫的安全運維要重視起來�,我們講傳統(tǒng)的時候,更容易的是保障穩(wěn)定性����,可持續(xù)代謝性,還有一些性能如可擴縮性��,往往在傳統(tǒng)運維當中比較重視的�����。但對于數(shù)據(jù)庫的泄露和數(shù)據(jù)庫非法的篡改不太容易立刻呈現(xiàn)出來��,傳統(tǒng)行業(yè)往往是出了事才開始重視���,但出事之前實際已經(jīng)埋下了安全隱患��,并可能已經(jīng)很深了�����。首先�����,要從意識上得去加強���,這次在面對運維人員分享數(shù)據(jù)庫的安全��,也是希望能夠喚醒大家在數(shù)據(jù)庫安全的意識�����,這樣一個意識喚醒之后,更多是說要從管理手段和技術(shù)手段雙管齊下的方式去保證這種數(shù)據(jù)庫的運維方式��。不過還是有非���?上驳氖���,我們最近在一些運營商、能源��、金融行業(yè)的用戶��,他們實際上對這個方面都表現(xiàn)出極大的興趣��。這說明大家在安全方面的意識正在覺醒����。有了這種意識之后��,相關(guān)的配套的管理制度��、技術(shù)手段跟上之后�����,我覺得會極大的會改善現(xiàn)況���。
IT168:傳統(tǒng)行業(yè)外,現(xiàn)在云計算特別火��,企業(yè)逐漸在接受云�,上云,剛才您也提到像AWS或者是阿里云��,以及各種各樣的云����。但是企業(yè)是否想過,上了云之后就是百分之百安全了嗎�?上了云之后大家應該注意哪些問題,這一塊兒您跟大家分享一下��。
劉曉韜:我的一個認為上了云之后,某一些方面會變得安全�,比如說Safe層面的安全,我們講由于云的基礎(chǔ)設(shè)施�����,整體的可擴縮性�����,以及備份機制���,還有他的技術(shù)安全體系的保證,會使比如說受攻擊癱瘓這種情況發(fā)生的概率比較小��。但是我們在講從數(shù)據(jù)泄露這個層面上的Security安全�����,上云并不是完全能有所保證的����。
以Amazon為例,Amazon整個生態(tài)體系當中在國外很熱的一塊兒業(yè)務就是租用第三方的數(shù)據(jù)的安全服務�����,包括加密層面、防攻擊層面����,是Amazon很重要的一個熱點。這說明云基礎(chǔ)設(shè)施提供商�,本身在他的安全體系結(jié)構(gòu)上,并不能完全保證不受攻擊�����。特別是以金融為例���,今年號稱說667家的P2P金融公司在中國快被干掉�。從今年來看��,應該有140多家P2P的金融公司被黑客黑到了����,特別是近日暴露出來的兩個黑客聯(lián)手入侵了大量的P2P金融公司進行數(shù)據(jù)篡改,我覺得這個東西都證明有一點�,上云不代表你的運維系統(tǒng)沒問題,你的應用系統(tǒng)沒有問題,你的Database沒有問題����。但是這個上面還是更需要加強安全意識,去有效加強安全措施���,才能保證系統(tǒng)上云之后不出問題����。
IT168:對于傳統(tǒng)產(chǎn)業(yè)和互聯(lián)網(wǎng)企業(yè)�����,他們?nèi)绾蝸矸揽刈?shù)據(jù)庫的安全呢�?因為他們可能在其他的安全方面已經(jīng)做了很多的措施��,但最終還是被拖了庫�����。您認為這些企業(yè)在數(shù)據(jù)庫安全方面能夠做哪些部署���,能防止數(shù)據(jù)庫能被別人盜取或者是注入。
劉曉韜:沒有任何一種手段是完全可靠的�,我們說傳統(tǒng)的安全大廠��,類似于像啟明���、天融信、綠盟��,他們更多的是做網(wǎng)絡(luò)層防護��,或者說是做邊界防護的���。但是現(xiàn)在新的IT架構(gòu)下有幾個特點:
一、互聯(lián)網(wǎng)化���,很多的業(yè)務系統(tǒng)都是需要面向互聯(lián)網(wǎng)服務�����,這些應用系統(tǒng)訪問數(shù)據(jù)庫是一個必然的一件事情�。那么通過應用系統(tǒng)當中的漏洞跳轉(zhuǎn)����,對于數(shù)據(jù)庫的攻擊,往往是目前黑客入侵的一個最主要的形式����。這種形式用戶用傳統(tǒng)的防火墻�,IPS這樣的東西去防御是頂不住的。
二��、現(xiàn)代黑產(chǎn)的形成�,不僅僅是黑客入侵,內(nèi)部的運維人員或者是第三方的運維人員��,甚至一些程序員���,他們有能力接觸數(shù)據(jù)庫或者是篡改數(shù)據(jù)庫信息了����,因此也變成一種非常的危險源���。這些處于邊界之內(nèi)的人員���,對邊界之內(nèi)數(shù)據(jù)庫的這種威脅,往往更大����。這就造成了傳統(tǒng)安全體系跟現(xiàn)實狀況的兩大不匹配,這種情況下我們必須要引入一些專業(yè)的數(shù)據(jù)庫的防控技術(shù)���。
比如說類似像應用側(cè)這種防護��,我們要引入像數(shù)據(jù)庫防火墻這樣的一些技術(shù)�,這樣一種技術(shù)可以防止SQL注入�����,防止批量下載����;而對于運維管控這一塊兒,我們最傳統(tǒng)的方式是采用堡壘機�,因為堡壘機是集中運維的一種方式。但實際上它對于數(shù)據(jù)庫運維管控的能力是有限的�����。對于數(shù)據(jù)庫的控制��,比如說所有的表都能訪問,這往往是不可取的�����。還有一些利用圖形化工具對數(shù)據(jù)庫的訪問�,往往是沒有辦法去進行防止的。還有一些就是批量性的訪問�,也沒有辦法去防止。所以在這些情況下���,用戶需要引入一些專業(yè)的數(shù)據(jù)庫的安全防護工具�����,比如說數(shù)據(jù)庫防火墻����,或者是數(shù)據(jù)庫專業(yè)審計的手段��。還有就是防止企業(yè)內(nèi)部網(wǎng)管從文件層面上數(shù)據(jù)庫拖庫�,我們可以要采用一些數(shù)據(jù)庫的加密手段,所以說���,采用專業(yè)數(shù)據(jù)庫的安全技術(shù)和產(chǎn)品是有效提升當前數(shù)據(jù)庫運維安全的一個重要的措施��。
IT168:感謝劉總跟我們的分享����。
產(chǎn)品咨詢:4000 258 365 
