销售数据管控「信息运维管理」

互联网 2023-02-04 20:01:54

今天给大家普及一下销售数据管控「信息运维管理」相关知识,最近很多在问销售数据管控「信息运维管理」,希望能帮助到您。

最近某SaaS软件服务商被员工删数据库的事件刷屏了。

与疫情一样, 许多从业人士都开始反思自身的“安全与运维体系”建设问题。因为友商这次爆雷本质上是内部运维管理问题。

一将功成万骨枯,运维都是踩着服务器尸体成长起来的,谁敢说自己从未手滑过,但大部分可能是无心之过。

友商此次不同在于是员工有意为之,而且是核心运维人员快速出手在各个关键点施加破坏。

那么行业此时最应该思考的就是,如果你们的企业遇到这种问题,应该如何解决?

要想解决,笔者认为需从“合与分”两方面入手:

合, 是合并风险,用体系化的运维与监控方法将风险点合拢, 把本来20个风险, 合并之后就只有5个关键点, 控制5个要比控制20个容易的多, 比如堡垒机或者各种SSO都是这个思路。Kubernetes也能提供这方面的价值。分, 首先是架构上分散,异地双活成本嫌高,那做异地备份总可以。分, 还有分权,让程序员和运维人员权限分离,这也是对员工的保护,避嫌,避免成为嫌疑人,毕竟做电商项目,离钱太近,在结构上保障自己的安全。

运维本身也要分组,备份资产逻辑上要做分离,从水平和垂直两个维度拆, 水平就就是工艺流程,垂直就是业务领域。

针对数据外泄的情况:

比如用户的密码加Salt, Salt除了在数据库行记录外,配置信息里还有全局Salt。 这样即使拥有超越这个时代的计算能力, 也能保证单独拿到数据库或者代码也没什么用。

聊聊零售企业的数据安全与运维管理

果要有更严苛的加密方式, 就要引入多人制衡的方法。

比如我们做了一个数字供应链项目,价值上亿的数字商品以token的方式存在数据库里。

为了安全,我们做了一个单独的存储服务,负责加解密的密钥由两名同学保管,在服务启动时候由两位同学各自输入自己的那份。

非常有仪式感, 也的确有效。启动之后密钥仅存在内存中,再没有其他任何痕迹。

聊聊零售企业的数据安全与运维管理

这些实践很琐碎,做安全的思维方式和做前端开发有点像, 要一点跳跃性, 对现有知识的灵活组织能力极为重要, 而且跨技术和管理。

有个系统化的办法就是老老实实把27018拿下来, 认认真真思考审核老师的每个问题,真的把拿证的过程看作一次对组织与技术安全性的梳理。

相对于27001, 27018更侧重考察云平台对客户数据的保障机制。

BSI的审核过程会逼迫你对自身的安全管理体系进行反思, 一个靠谱的组织此时应该把审核老师当作帮助自身提升的队友, 而非监考的老师。

聊聊零售企业的数据安全与运维管理

这个拿证的过程, 其本身的严肃性也算是给整个组织上了一堂课,毕竟不是所有人都自带强烈的安全意识。

聊聊零售企业的数据安全与运维管理

每年经手几千亿订单流水数据,且还是跨平台的全域数据,“怀璧其罪”, 不得不小心翼翼。