Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

安全架构师对数据安全的一些见解

要想实现数据安全,就必须考虑整个生命周期中人、基础设施、应用、数据的安全问题。但是在构建数据中心的过程中,更多的是采用policy格式,去约束各个控制域。由于我以前接受过DSMM的培训,因此,大多数的安全观点也都来自于DSMM。但是现在,考虑数据安全性的话也可以从三个循环中单独考虑,然后再结合起来。也就是说,从基础结构、应用生命周期、数据安全性三个层面来考虑,可以算得上是一个完整的生命周期。另一方面,数据安全也不能孤立存在,需要依靠不同的基础设施和策略来完善每一个环节。


在基础架构层的数据安全之前,还没有太多的接触,特别是在生产网基础架构方面,虽然对办公网络这样一个终端组件的了解还是比较少。现在,加解密工作设计过程中结合HSM做,HSM本身结合安全策略做,内部PKI系统的设计构建,生产网络和办公网络是不是要分两套,服务器硬件DLP模块,施工人员的账号权限控制,等等,如何更好的确认根节点的可信度,其实很多内容在基础安全里面都有提到。对于应用层和数据层的数据安全性,目前还没有太大的变化,可能部分是应用层的体验,主要还是采集前的遵从性、采集后的传输、采集后的存储使用销毁等过程,以前做过的类似工作可能就是数据收集、表数据清理等等,现在则是多通信加密、IAM设计相关。与以前工作相比,数据层的数据安全性在以前工作中接触较多,多以数据分类、分级、打标、脱敏、权限控制、日志审核、容灾备份、检测和分析等形式出现。这里要说的是存储和解密。总的来说,还有非常大的提升空间。关于美团应急安全响应中心有一篇关于数据安全的文章,还是挺不错的。


整个安全架构构建完成后,根据木桶的短板理论,细节还需要进行修补。但是,这一阶段更具有目标性和阶段性,例如,您可能需要考虑邮件安全的一些解决方案,例如证书、加解密、DLP、代理以及认证等相关解决方案。基于Corp和Site的部署位置、现有工具等,对目标进行定制。这基本上都是后话了,暂且不详述。


有很多次,我都说过,学习架构的一个好方法就是多看看大厂在线架构。无法看到整个系统的结构,只能看到它。由系统到产品,再到营业线,平台,中台等。回顾第一篇文章,谈到建筑的时候,似乎是高屋建瓴,但实际上却少了几分火花。但是,是前人筚路蓝缕,才得以开垦山林。无可否认,阿里拥有深厚的知识财富。站在巨人的肩膀上,自然是可以忘记更多的。然而,平台带来的好处也正是他的缺点。你们走在大街上,看不到铺路的路程。正因为如此,当你自己去做的时候,你可能就不会考虑每个方面。这次,我很幸运地参与了数据中心的建设过程,了解了0-1背后的艰辛。还好,我的老板对安全有了更深一层的认识,虽然他不是专门从事安全领域的,但也非常认同生命周期安全管理。也许回头再看一下这篇文章,就会觉得比较浅显了。但不管浅浅见与否,整理和记录当时的收获是值得的。


分享: