你是否也把重要的数据安全问题给忽略了?
在现在云服务大行其道的时代,大家普遍都没有意识到本文要介绍的安全问题。
但有个群体绝对是把数据安全放在首位的,那就是政府部门,他们在用云服务时也会要求部署私有云。当然你可以把自己只是一个小公司当作借口,但这个仅限于现在而不是未来,说不定你的企业有朝一日发展壮大了,回过头来想加强数据安全,成本远比一开始就做好这项工作所花费的要高得多。
如果你有兴趣看看有哪些数据安全问题,请继续往下看:
在数据安全问题上首当其冲的就是数据库,毕竟数据库里所存储的都是最有价值的关系型数据,比如用户列表、客户联系信息和账单信息等,这些都是与公司业务紧密相关的数据。
如果我们使用云数据库服务的话,就可能导致非常严重的问题。我们在使作用云数据库过程中肯定会进行数据库的备份、导入导出等操作,但请注意,这些导入导出都是明文操作,除了你公司的技术人员可以看得到,云服务商也看得到,只要对方对你的数据有兴趣。
公有云服务商都会信誓旦旦的跟客户说“我们会绝对保证客户数据安全”,但这个数据安全可没准确的定义,怎样叫安全,怎样叫不安全呢?什么情况叫泄露,哪些情况不叫泄露呢?没人能给出清晰的定义。企业能定义自己的安全规范,但又有谁能保证上万员工都能严格遵守呢?所以说这也就一句空话罢了,更多是为了安抚大众客户的担忧,顺利接入客户而已。
所以在必须要用公有云服务的情况下,也不要使用他们的云数据库来储存敏感内容,需要使用自己搭建的数据库服务器。当然这个数据库服务器的租用成本很高,甚至比IDC直接托管都贵。
另外在数据中心还有Web服务器的数据安全问题。
“What?Web应用服务能有什么数据安全问题?我们使用HTTPS,都是端到端加密的,不会出现被旁路读取信息的可能。明文传输的只有一些HTTP请求信息,会有什么数据价值?”
那我们先来看看HTTP请求信息的价值有哪些?
现在是大数据分析横行的天下,只要数据量足够大,就能挖掘到巨大的数据价值。比如网站的UV、PV、用户群体的地域分布、访问喜好等等。如果你没使用HTTPS来做加密保护的话,甚至可以获取到网站的所有用户相关信息,比如账号、密码、客户信息等等,跟能从数据库读取到的数据差不多,只是麻烦点而已。现在知道这部分的问题也不容忽视了吧!
要避免Web应用数据安全问题,需要做好这几个方面的工作:
- 必须做到端到端的HTTPS加密;不能把HTTPS证书部署在LBS上,否则就不是端到端加密了。
- 使用其它CDN服务;我们无法在使用CDN服务的时候做到端到端加密,但我们可以选择更好的中立第三方服务商来保障这部分的数据安全,毕竟还有不少第三方是只做CDN服务的,他们相对来说对客户的数据安全更关注。
- 不要把访问日志放到云服务上做数据分析;你把数据给到别人帮你分析,就是把数据拱手送给人家看。
当你的公司在未来要做融资的时候,发现对方知道你没穿内裤的时候,可不要说没人告诉你要做好数据安全工作哦。