數(shù)據(jù)倉(cāng)庫(kù)(data warehouse)的安全性對(duì)于在一個(gè)位置收集所有關(guān)鍵數(shù)據(jù)的企業(yè)來(lái)說(shuō)至關(guān)重要。未經(jīng)授權(quán)進(jìn)入數(shù)據(jù)倉(cāng)庫(kù)可能會(huì)導(dǎo)致重大和毀滅性的業(yè)務(wù)后果，包括泄露客戶(hù)信息、暴露高級(jí)商業(yè)機(jī)密或知識(shí)產(chǎn)權(quán)等。

在本文中，我們將探討可以幫助企業(yè)組織保持信息和軟件安全的數(shù)據(jù)倉(cāng)庫(kù)安全最佳實(shí)踐。

什么是數(shù)據(jù)倉(cāng)庫(kù)安全性?

數(shù)據(jù)倉(cāng)庫(kù)從各種來(lái)源提取數(shù)據(jù)，并由許多移動(dòng)組件組成。每次數(shù)據(jù)從一個(gè)位置移動(dòng)到另一個(gè)位置時(shí)，都有可能出現(xiàn)安全問(wèn)題。數(shù)據(jù)倉(cāng)庫(kù)安全性要求主動(dòng)保護(hù)信息，以便授權(quán)人員可以使用，但其他人無(wú)法使用這些數(shù)據(jù)。

數(shù)據(jù)倉(cāng)庫(kù)面臨的安全挑戰(zhàn)

數(shù)據(jù)倉(cāng)庫(kù)操作所涉及的范圍和規(guī)模極廣，并且如前所述，它由多個(gè)移動(dòng)部分組成。反過(guò)來(lái)，這在保護(hù)信息時(shí)也提出了操作挑戰(zhàn)。在考慮數(shù)據(jù)倉(cāng)庫(kù)安全性時(shí)，管理者應(yīng)該考慮：

如何平衡“保護(hù)數(shù)據(jù)”的需求和“為倉(cāng)庫(kù)內(nèi)特定數(shù)據(jù)(用于分析、商業(yè)智能或數(shù)據(jù)挖掘目的的數(shù)據(jù))用戶(hù)提供不受限制的訪問(wèn)”的需求;

在安排數(shù)據(jù)訪問(wèn)時(shí)對(duì)用戶(hù)進(jìn)行分類(lèi)的最佳方法。例如，您的組織應(yīng)該采取分層方法，還是采用基于角色的訪問(wèn)方法?

如何保護(hù)網(wǎng)絡(luò)。組織必須考慮數(shù)據(jù)加密并加大投資高度安全的網(wǎng)絡(luò)硬件;

數(shù)據(jù)倉(cāng)庫(kù)管理者還需要考慮必要的安全特性如何影響數(shù)據(jù)倉(cāng)庫(kù)的性能;

此外，管理人員還必須考慮如何安全地從源事務(wù)系統(tǒng)中提取數(shù)據(jù)以供倉(cāng)庫(kù)使用。

數(shù)據(jù)倉(cāng)庫(kù)安全最佳實(shí)踐

1、 加密數(shù)據(jù)

組織應(yīng)該加密存儲(chǔ)在源事務(wù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)。此外，還應(yīng)考慮數(shù)據(jù)倉(cāng)庫(kù)內(nèi)的加密操作。專(zhuān)家推薦使用FIP 140-2認(rèn)證軟件進(jìn)行數(shù)據(jù)加密，因?yàn)镕IPS 140-2是加密模塊的政府計(jì)算機(jī)安全標(biāo)準(zhǔn)。也就是說(shuō)，這確保了最高程度的安全性。

但是，加密會(huì)降低數(shù)據(jù)倉(cāng)庫(kù)的性能。在某些情況下，組織可能會(huì)權(quán)衡此類(lèi)性能下降與網(wǎng)絡(luò)攻擊的可能性。盡管如此，考慮到網(wǎng)絡(luò)犯罪分子的老練嫻熟，在數(shù)據(jù)倉(cāng)庫(kù)中使用加密可能是最好的方法。

2、 數(shù)據(jù)分類(lèi)

一種有效的倉(cāng)庫(kù)安全策略包括對(duì)存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)進(jìn)行適當(dāng)分類(lèi)。如果您的組織以“最小敏感性”存儲(chǔ)數(shù)據(jù)，那么該數(shù)據(jù)應(yīng)用安全措施的用途可能有限。

3、 基于角色的控制

基于角色的用戶(hù)訪問(wèn)控制是一項(xiàng)備受贊譽(yù)的網(wǎng)絡(luò)安全措施，因?yàn)樗凇靶枰馈焙汀白钚?quán)限”的原則限制訪問(wèn)。這些原則可以確保倉(cāng)庫(kù)的用戶(hù)只能訪問(wèn)工作績(jī)效所需的數(shù)據(jù)。

可以說(shuō)，內(nèi)部威脅對(duì)組織的危害與外部威脅一樣。心懷不滿的員工可能會(huì)訪問(wèn)或下載敏感數(shù)據(jù)，以便與競(jìng)爭(zhēng)對(duì)手共享以換取經(jīng)濟(jì)利益。

根據(jù)定義的角色設(shè)置權(quán)限代表了傳統(tǒng)數(shù)據(jù)倉(cāng)庫(kù)和基于云的數(shù)據(jù)倉(cāng)庫(kù)服務(wù)中的一個(gè)選項(xiàng)。設(shè)置基于角色的權(quán)限時(shí)，請(qǐng)確保它們與先前定義的數(shù)據(jù)分類(lèi)一致。這將使所有倉(cāng)庫(kù)用戶(hù)能夠訪問(wèn)必要的數(shù)據(jù)，而不會(huì)對(duì)數(shù)據(jù)安全造成不必要的風(fēng)險(xiǎn)。

4、 保護(hù)移動(dòng)數(shù)據(jù)

任何數(shù)據(jù)倉(cāng)庫(kù)都由不斷移動(dòng)的元素組成。組織通常會(huì)向倉(cāng)庫(kù)提供實(shí)時(shí)數(shù)據(jù)，以幫助進(jìn)行最新的報(bào)告和分析。

如果您的組織不斷在各種位置間傳輸數(shù)據(jù)，請(qǐng)確保始終使用SSL或TSL協(xié)議。使用基于云的數(shù)據(jù)倉(cāng)庫(kù)意味著虛擬專(zhuān)用網(wǎng)絡(luò)可以提供強(qiáng)大的安全性，因?yàn)樗鼈兏綦x了本地?cái)?shù)據(jù)庫(kù)和基于云的數(shù)據(jù)倉(cāng)庫(kù)之間的通信。

5、 分區(qū)數(shù)據(jù)

組織可以通過(guò)將數(shù)據(jù)劃分為單獨(dú)的表格來(lái)對(duì)數(shù)據(jù)進(jìn)行分區(qū)，將表格劃分為敏感元素和非敏感元素，可以針對(duì)高度敏感的信息進(jìn)行安全優(yōu)化，進(jìn)而提高數(shù)據(jù)倉(cāng)庫(kù)的安全性。

上述策略有助于提高數(shù)據(jù)倉(cāng)庫(kù)的安全性。同時(shí)，組織必須選擇具有成本意識(shí)的安全措施。當(dāng)數(shù)據(jù)泄露造成的預(yù)估損失為500萬(wàn)美元時(shí)，很少有組織能夠從實(shí)施成本為1億美元的數(shù)據(jù)安全策略中受益。

在構(gòu)建數(shù)據(jù)安全性時(shí)，組織應(yīng)考慮每個(gè)安全措施對(duì)數(shù)據(jù)倉(cāng)庫(kù)性能的影響。數(shù)據(jù)倉(cāng)庫(kù)安全的首要目標(biāo)包括利用具有成本效益的機(jī)制，根據(jù)不同類(lèi)別的數(shù)據(jù)所需的保護(hù)程度來(lái)保護(hù)它們。

結(jié)語(yǔ)

數(shù)據(jù)倉(cāng)庫(kù)安全最佳實(shí)踐可以幫助組織確保數(shù)據(jù)的持續(xù)安全。由于數(shù)據(jù)倉(cāng)庫(kù)不斷從各種位置提取信息，因此必須實(shí)施明智、有效且成本優(yōu)化的數(shù)據(jù)保護(hù)安全措施，這包括智能用戶(hù)訪問(wèn)控制、正確的信息分類(lèi)、高度安全的加密技術(shù)(如FIPS 140-2)以及所有移動(dòng)部件的安全性。

本文翻譯自：https://www.cybertalk.org/2022/03/10/data-warehouse-security-best-practices-2022/如若轉(zhuǎn)載，請(qǐng)注明原文地址。