步驟1:分析并確定需要保護(hù)的關(guān)鍵數(shù)據(jù)
在對(duì)云數(shù)據(jù)進(jìn)行保護(hù)前,首先需要準(zhǔn)確的分析哪些數(shù)據(jù)需要保護(hù),和為什么要保護(hù)這些數(shù)據(jù);評(píng)估和劃分哪些數(shù)據(jù)需要放置在云端,從而確定哪些數(shù)據(jù)是關(guān)鍵的必須保護(hù)的數(shù)據(jù),例如用戶身份證號(hào)碼、銀行卡或信用卡號(hào)碼、社保號(hào)碼等。另一個(gè)需要關(guān)注的就是法規(guī)遵從性需求。
步驟2:選擇適合的技術(shù)方案和加密算法
作為云數(shù)據(jù)防護(hù)是否能夠成功實(shí)施的關(guān)鍵,企業(yè)需要在關(guān)鍵數(shù)據(jù)的安全性、保持云應(yīng)用系統(tǒng)的功能可用性,和系統(tǒng)可維護(hù)性方面綜合考慮,來(lái)確定適合企業(yè)需要的加密保護(hù)的技術(shù)方案。
步驟3:保護(hù)好數(shù)據(jù)的加密密鑰
為了保護(hù)密文數(shù)據(jù)不會(huì)被非法竊取,避免云服務(wù)廠商和第三方維護(hù)人員訪問(wèn)到明文數(shù)據(jù),最好的做法是將密文數(shù)據(jù)的密鑰控制在云用戶自己手中。
步驟4:實(shí)施必要的防數(shù)據(jù)泄漏措施
雖然采取了必要的數(shù)據(jù)加密措施,但并不能徹底解決來(lái)自應(yīng)用系統(tǒng)環(huán)境和云運(yùn)維環(huán)境的安全威脅,典型的如來(lái)自云應(yīng)用系統(tǒng)的SQL注入攻擊、后門(mén)程序、利用數(shù)據(jù)庫(kù)漏洞的攻擊行為、第三方運(yùn)維人員的誤操作等。因此需要采用數(shù)據(jù)庫(kù)防火墻這樣的數(shù)據(jù)邊界防護(hù)技術(shù),利用其細(xì)粒度的訪問(wèn)控制、防攻擊、防批量數(shù)據(jù)下載等特性,實(shí)現(xiàn)有效的防數(shù)據(jù)泄漏。
步驟5:監(jiān)控并審計(jì)數(shù)據(jù)的訪問(wèn)行為
一方面,黑客攻擊行為千變?nèi)f化,另一方面,系統(tǒng)的復(fù)雜性帶來(lái)的數(shù)據(jù)正常維護(hù)和管理行為往往也是不可預(yù)期的。因此,需要對(duì)重要數(shù)據(jù)的訪問(wèn)行為采取持續(xù)、及時(shí)的監(jiān)控和審計(jì),形成有效的風(fēng)險(xiǎn)報(bào)告提供給用戶發(fā)現(xiàn)新的風(fēng)險(xiǎn),幫助用戶更好的進(jìn)行數(shù)據(jù)保護(hù)。
步驟6:利用自動(dòng)脫敏防止測(cè)試環(huán)境數(shù)據(jù)泄漏
除了云環(huán)境的數(shù)據(jù)防護(hù),企業(yè)內(nèi)部的測(cè)試環(huán)境也是一個(gè)重要的信息泄漏源,特別是需要“抽取”云端生產(chǎn)數(shù)據(jù)用于測(cè)試系統(tǒng)時(shí);利用數(shù)據(jù)自動(dòng)脫敏技術(shù)可以在有效的保護(hù)生產(chǎn)數(shù)據(jù)的同時(shí),為測(cè)試環(huán)境提供可用的符合用戶預(yù)期的測(cè)試數(shù)據(jù)。