Question

企业里有各种各样的应用系统，数据安全工作者往往需要从数据的采集或输入、存储、内部访问或 API 调用、前端展示等维度去考虑。前端展示涉及的数据脱敏话题将在 14.6.1 节中阐述，建议以 API 接口服务形式提供数据消费功能，通过对接口的统一管理，并尽量提供数据终态结果，避免原生态敏感数据的输出使用，减少原生态敏感数据的扩散半径。除了业务系统上层的控制，还需要关注数据库安全、数据交换流程控制以及大数据平台上的数据安全，下面分别阐述。

1.数据库安全

数据库里存放着各种各样的数据，所以常常成为重点攻击目标。这里的攻击，除了传统的通过 Web 漏洞拖库外，还包括内部管理员直接后台 Dump，以及业务人员通过系统批量导出。为了尽可能覆盖各种攻击场景，一般企业需要如下的方案：

1）使用数据库代理保护数据库免受攻击，比如数据库防火墙可以直接阻断基于数据库协议的攻击行为，一般的 proxy 还可以提供 IP 过滤、SQL 命令过滤与审计功能，可以对非法来源或 SQL 语句进行阻断。

2）对数据库进行封装，提供统一的运维平台给 DBA 或开发人员使用，使管理员无法直接接触数据库服务器，通过用户账号管理、权限控制、操作审计来实现。

3）数据库审计，通过基于网络流量或者代理插件等技术来实现数据库审计，以此发现针对数据库的入侵或违规操作。

4）数据库所在服务器及数据库软件本身的安全性加固工作。这其实是一个基础工作，如果数据库存在未授权访问漏洞甚至直接能远程溢出到服务器，那前面这些工作可能就白做了。

关于数据库安全，商业产品比较多，比如 Imperva 及国内的安恒等，开源的也有不少可以选择，比如 McAfee 的 Mysql-Audit 插件、数字公司的 MySQL Sniffer、美团的 DBProxy 等，具体的使用可以参考刘焱（兜哥）的《企业安全建设入门：基于开源软件打造企业网络安全》一书（书号：978-7-111-59070-5）中关于数据库安全的内容。

2.数据交换平台

理论上业务系统功能足够强大，可以直接在业务系统上实现数据导出功能，不需要有单独提取数据的场景。但理论有时候只是理想，很多企业将生产与办公隔离开来，有时候需要将一些数据提取到办公网来，于是数据交换平台类产品出现了，从早期的安全隔离网闸，到如今的一些交换平台类方案等，这里就不过多评价其优劣了。笔者注意到有些产品开始融合网闸、网盘和 DLP 思想或技术于一体，通过授权、审批、敏感性检测、审计等方式保障数据交换过程的安全性。图 14-11 是某公司的数据交换平台示意图。

图 14-11　数据交换平台示意图

有些场合，需要给外部机构提供大文件，邮件通常有大小限制，直接开放 FTP 访问也不安全，放到外网（类似百度网盘）也担心有风险，怎么破？有些厂商借鉴百度云盘的方案为企业创建一个自己的云盘对外提供服务，外链分享、密码提取、有效期限制等功能都有，再结合企业内部审批流程、邮件对接等，这也是一个可选的方案。

3.大数据安全

越来越多的企业将各种各样的日志丢到大数据平台进行分析，管控不好会造成大批量的数据泄露。如果企业安全建设能力还不够，建议放到封闭环境进行操作访问，类似我们上面提到的数据仓库保护方案。互联网企业在这块走在前面，可以借鉴其思路开展工作，包括：

·在大数据平台上提供各种各样的模型，方便业务人员直接在平台上做分析和可视化展示，这样可使数据导出的需求尽可能少。

·建设大数据风控平台，对敏感数据展示时进行脱敏处理，或者只对用户展示最终的视图。

·确实需要导出进行离线分析的，请结合前面的各种方案进行选择，比如桌面虚拟化确保数据不落到终端，或者落到终端的数据有审批、水印、审计等措施。

·大数据平台本身的安全性，包括身份认证、访问控制和授权等。Hadoop 及其生态系统中的其他组件都支持使用 Kerberos 进行用户身份验证。Hadoop 和 HBase 都支持 ACL，同时也实现了基于角色的访问控制（RBAC）模型，更细粒度的 ABAC（Attibute Based Access Control）在 HBase 较新的版本中也可通过访问控制标签和可见性标签的形式实现。