數(shù)據(jù)倉庫(data warehouse)的安全性對于在一個位置收集所有關(guān)鍵數(shù)據(jù)的企業(yè)來說至關(guān)重要。未經(jīng)授權(quán)進(jìn)入數(shù)據(jù)倉庫可能會導(dǎo)致重大和毀滅性的業(yè)務(wù)后果，包括泄露客戶信息、暴露高級商業(yè)機(jī)密或知識產(chǎn)權(quán)等。

在本文中，我們將探討可以幫助企業(yè)組織保持信息和軟件安全的數(shù)據(jù)倉庫安全最佳實踐。

什么是數(shù)據(jù)倉庫安全性?

數(shù)據(jù)倉庫從各種來源提取數(shù)據(jù)，并由許多移動組件組成。每次數(shù)據(jù)從一個位置移動到另一個位置時，都有可能出現(xiàn)安全問題。數(shù)據(jù)倉庫安全性要求主動保護(hù)信息，以便授權(quán)人員可以使用，但其他人無法使用這些數(shù)據(jù)。

數(shù)據(jù)倉庫面臨的安全挑戰(zhàn)

數(shù)據(jù)倉庫操作所涉及的范圍和規(guī)模極廣，并且如前所述，它由多個移動部分組成。反過來，這在保護(hù)信息時也提出了操作挑戰(zhàn)。在考慮數(shù)據(jù)倉庫安全性時，管理者應(yīng)該考慮：

如何平衡“保護(hù)數(shù)據(jù)”的需求和“為倉庫內(nèi)特定數(shù)據(jù)(用于分析、商業(yè)智能或數(shù)據(jù)挖掘目的的數(shù)據(jù))用戶提供不受限制的訪問”的需求;

在安排數(shù)據(jù)訪問時對用戶進(jìn)行分類的最佳方法。例如，您的組織應(yīng)該采取分層方法，還是采用基于角色的訪問方法?

如何保護(hù)網(wǎng)絡(luò)。組織必須考慮數(shù)據(jù)加密并加大投資高度安全的網(wǎng)絡(luò)硬件;

數(shù)據(jù)倉庫管理者還需要考慮必要的安全特性如何影響數(shù)據(jù)倉庫的性能;

此外，管理人員還必須考慮如何安全地從源事務(wù)系統(tǒng)中提取數(shù)據(jù)以供倉庫使用。

數(shù)據(jù)倉庫安全最佳實踐

1、 加密數(shù)據(jù)

組織應(yīng)該加密存儲在源事務(wù)數(shù)據(jù)庫中的數(shù)據(jù)。此外，還應(yīng)考慮數(shù)據(jù)倉庫內(nèi)的加密操作。專家推薦使用FIP 140-2認(rèn)證軟件進(jìn)行數(shù)據(jù)加密，因為FIPS 140-2是加密模塊的政府計算機(jī)安全標(biāo)準(zhǔn)。也就是說，這確保了最高程度的安全性。

但是，加密會降低數(shù)據(jù)倉庫的性能。在某些情況下，組織可能會權(quán)衡此類性能下降與網(wǎng)絡(luò)攻擊的可能性。盡管如此，考慮到網(wǎng)絡(luò)犯罪分子的老練嫻熟，在數(shù)據(jù)倉庫中使用加密可能是最好的方法。

2、 數(shù)據(jù)分類

一種有效的倉庫安全策略包括對存儲在數(shù)據(jù)倉庫中的數(shù)據(jù)進(jìn)行適當(dāng)分類。如果您的組織以“最小敏感性”存儲數(shù)據(jù)，那么該數(shù)據(jù)應(yīng)用安全措施的用途可能有限。

3、 基于角色的控制

基于角色的用戶訪問控制是一項備受贊譽的網(wǎng)絡(luò)安全措施，因為它基于“需要知道”和“最小權(quán)限”的原則限制訪問。這些原則可以確保倉庫的用戶只能訪問工作績效所需的數(shù)據(jù)。

可以說，內(nèi)部威脅對組織的危害與外部威脅一樣。心懷不滿的員工可能會訪問或下載敏感數(shù)據(jù)，以便與競爭對手共享以換取經(jīng)濟(jì)利益。

根據(jù)定義的角色設(shè)置權(quán)限代表了傳統(tǒng)數(shù)據(jù)倉庫和基于云的數(shù)據(jù)倉庫服務(wù)中的一個選項。設(shè)置基于角色的權(quán)限時，請確保它們與先前定義的數(shù)據(jù)分類一致。這將使所有倉庫用戶能夠訪問必要的數(shù)據(jù)，而不會對數(shù)據(jù)安全造成不必要的風(fēng)險。

4、 保護(hù)移動數(shù)據(jù)

任何數(shù)據(jù)倉庫都由不斷移動的元素組成。組織通常會向倉庫提供實時數(shù)據(jù)，以幫助進(jìn)行最新的報告和分析。

如果您的組織不斷在各種位置間傳輸數(shù)據(jù)，請確保始終使用SSL或TSL協(xié)議。使用基于云的數(shù)據(jù)倉庫意味著虛擬專用網(wǎng)絡(luò)可以提供強(qiáng)大的安全性，因為它們隔離了本地數(shù)據(jù)庫和基于云的數(shù)據(jù)倉庫之間的通信。

5、 分區(qū)數(shù)據(jù)

組織可以通過將數(shù)據(jù)劃分為單獨的表格來對數(shù)據(jù)進(jìn)行分區(qū)，將表格劃分為敏感元素和非敏感元素，可以針對高度敏感的信息進(jìn)行安全優(yōu)化，進(jìn)而提高數(shù)據(jù)倉庫的安全性。

上述策略有助于提高數(shù)據(jù)倉庫的安全性。同時，組織必須選擇具有成本意識的安全措施。當(dāng)數(shù)據(jù)泄露造成的預(yù)估損失為500萬美元時，很少有組織能夠從實施成本為1億美元的數(shù)據(jù)安全策略中受益。

在構(gòu)建數(shù)據(jù)安全性時，組織應(yīng)考慮每個安全措施對數(shù)據(jù)倉庫性能的影響。數(shù)據(jù)倉庫安全的首要目標(biāo)包括利用具有成本效益的機(jī)制，根據(jù)不同類別的數(shù)據(jù)所需的保護(hù)程度來保護(hù)它們。

結(jié)語

數(shù)據(jù)倉庫安全最佳實踐可以幫助組織確保數(shù)據(jù)的持續(xù)安全。由于數(shù)據(jù)倉庫不斷從各種位置提取信息，因此必須實施明智、有效且成本優(yōu)化的數(shù)據(jù)保護(hù)安全措施，這包括智能用戶訪問控制、正確的信息分類、高度安全的加密技術(shù)(如FIPS 140-2)以及所有移動部件的安全性。

本文翻譯自：https://www.cybertalk.org/2022/03/10/data-warehouse-security-best-practices-2022/如若轉(zhuǎn)載，請注明原文地址。