連續舉辦七屆、持續三天的中國系統架構師大會,上周在京成功閉幕。安華金和CEO劉曉韜受邀進行關于Security運維的議題演講,會后,劉總接受了來自IT168主編的采訪。雙方就運維2.0時代的到來,無論是傳統行業還是新興的互聯網行業,會面臨哪些運維挑戰,如何實現安全運維展開對話。
IT168: 2015中國系統架構師大會的現場,企業安全的問題從來就沒有停止過討論,對于數據庫安全而言,是非常重要的,我們有請到了數據庫安全專業提供商安華金和的CEO劉曉韜先生。最近爆發的網易郵箱安全事件被鬧的沸沸揚揚,安全圈里面的DT都已經發表言論,有的說是撞庫,有的說是拖庫,對于數據庫運維這個層面,劉總您怎么看待呢?
劉曉韜:網易這個事件的發生有些撲朔迷離。有的說是下載量很大,有的說在烏云上只是暴露出了一百多條,有二三十條好像是能夠真實得驗證出來。整體看,針對這樣一起信息泄露事件,我們的社會給予了高度關注。實際在這種情況下,從數據庫運維來講,隨著安全事件的發生,我們的關注也越來越高。特別是像網易這樣一些大的互聯網公司里面,我相信在數據庫的安全運維這一塊兒,已經上升到一定的高度。反倒是一些傳統的政府行業,或者說是央企,他們可能還在基于網絡隔離措施情況下,覺得數據庫是處于被保護的,隔離的非常好,還沒意識到這塊會存在大量的安全問題,但是實際上這一塊兒我覺得更是會成為安全的重災區。
IT168:傳統企業它應該如何來防控自己的數據呢?本次大會演講中,您也分享了今年422社保安全事件,在傳統行業中,影響是比較大的。
劉曉韜:在傳統行業,首先對于數據庫的安全運維要重視起來,我們講傳統的時候,更容易的是保障穩定性,可持續代謝性,還有一些性能如可擴縮性,往往在傳統運維當中比較重視的。但對于數據庫的泄露和數據庫非法的篡改不太容易立刻呈現出來,傳統行業往往是出了事才開始重視,但出事之前實際已經埋下了安全隱患,并可能已經很深了。首先,要從意識上得去加強,這次在面對運維人員分享數據庫的安全,也是希望能夠喚醒大家在數據庫安全的意識,這樣一個意識喚醒之后,更多是說要從管理手段和技術手段雙管齊下的方式去保證這種數據庫的運維方式。不過還是有非常可喜的事,我們最近在一些運營商、能源、金融行業的用戶,他們實際上對這個方面都表現出極大的興趣。這說明大家在安全方面的意識正在覺醒。有了這種意識之后,相關的配套的管理制度、技術手段跟上之后,我覺得會極大的會改善現況。
IT168:傳統行業外,現在云計算特別火,企業逐漸在接受云,上云,剛才您也提到像AWS或者是阿里云,以及各種各樣的云。但是企業是否想過,上了云之后就是百分之百安全了嗎?上了云之后大家應該注意哪些問題,這一塊兒您跟大家分享一下。
劉曉韜:我的一個認為上了云之后,某一些方面會變得安全,比如說Safe層面的安全,我們講由于云的基礎設施,整體的可擴縮性,以及備份機制,還有他的技術安全體系的保證,會使比如說受攻擊癱瘓這種情況發生的概率比較小。但是我們在講從數據泄露這個層面上的Security安全,上云并不是完全能有所保證的。
以Amazon為例,Amazon整個生態體系當中在國外很熱的一塊兒業務就是租用第三方的數據的安全服務,包括加密層面、防攻擊層面,是Amazon很重要的一個熱點。這說明云基礎設施提供商,本身在他的安全體系結構上,并不能完全保證不受攻擊。特別是以金融為例,今年號稱說667家的P2P金融公司在中國快被干掉。從今年來看,應該有140多家P2P的金融公司被黑客黑到了,特別是近日暴露出來的兩個黑客聯手入侵了大量的P2P金融公司進行數據篡改,我覺得這個東西都證明有一點,上云不代表你的運維系統沒問題,你的應用系統沒有問題,你的Database沒有問題。但是這個上面還是更需要加強安全意識,去有效加強安全措施,才能保證系統上云之后不出問題。
IT168:對于傳統產業和互聯網企業,他們如何來防控住數據庫的安全呢?因為他們可能在其他的安全方面已經做了很多的措施,但最終還是被拖了庫。您認為這些企業在數據庫安全方面能夠做哪些部署,能防止數據庫能被別人盜取或者是注入。
劉曉韜:沒有任何一種手段是完全可靠的,我們說傳統的安全大廠,類似于像啟明、天融信、綠盟,他們更多的是做網絡層防護,或者說是做邊界防護的。但是現在新的IT架構下有幾個特點:
一、互聯網化,很多的業務系統都是需要面向互聯網服務,這些應用系統訪問數據庫是一個必然的一件事情。那么通過應用系統當中的漏洞跳轉,對于數據庫的攻擊,往往是目前黑客入侵的一個最主要的形式。這種形式用戶用傳統的防火墻,IPS這樣的東西去防御是頂不住的。
二、現代黑產的形成,不僅僅是黑客入侵,內部的運維人員或者是第三方的運維人員,甚至一些程序員,他們有能力接觸數據庫或者是篡改數據庫信息了,因此也變成一種非常的危險源。這些處于邊界之內的人員,對邊界之內數據庫的這種威脅,往往更大。這就造成了傳統安全體系跟現實狀況的兩大不匹配,這種情況下我們必須要引入一些專業的數據庫的防控技術。
比如說類似像應用側這種防護,我們要引入像數據庫防火墻這樣的一些技術,這樣一種技術可以防止SQL注入,防止批量下載;而對于運維管控這一塊兒,我們最傳統的方式是采用堡壘機,因為堡壘機是集中運維的一種方式。但實際上它對于數據庫運維管控的能力是有限的。對于數據庫的控制,比如說所有的表都能訪問,這往往是不可取的。還有一些利用圖形化工具對數據庫的訪問,往往是沒有辦法去進行防止的。還有一些就是批量性的訪問,也沒有辦法去防止。所以在這些情況下,用戶需要引入一些專業的數據庫的安全防護工具,比如說數據庫防火墻,或者是數據庫專業審計的手段。還有就是防止企業內部網管從文件層面上數據庫拖庫,我們可以要采用一些數據庫的加密手段,所以說,采用專業數據庫的安全技術和產品是有效提升當前數據庫運維安全的一個重要的措施。
IT168:感謝劉總跟我們的分享。
產品咨詢:4000 258 365 
