查看: 28371|回复: 27

华住5亿数据泄露,大数据时代下数据安全如何保证?

[复制链接]
认证徽章
论坛徽章:
207
布鲁克
日期:2016-05-31 16:31:17弗兰奇
日期:2016-05-31 16:31:17妮可·罗宾
日期:2016-07-04 11:53:09托尼托尼·乔巴
日期:2016-05-31 16:31:17山治
日期:2016-05-31 16:31:17乌索普
日期:2016-05-31 16:31:17娜美
日期:2016-05-31 16:31:17罗罗诺亚·索隆
日期:2016-05-31 16:31:17蒙奇·D·路飞
日期:2016-05-31 16:31:17乌索普
日期:2016-08-03 10:26:32
发表于 2018-8-29 10:36 | 显示全部楼层 |阅读模式
话题背景:
8月28日,朋友圈被一条信息刷屏:华住旗下多个连锁酒店开房信息数据正在暗网出售,受到影响的酒店,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等,泄露数据总数更是近 5亿
该数据售卖价格为8个比特币(约55218.96美元,37万人民币),或520个门罗币。信息一经发出,便在网络上炸开了锅。这条消息遭到疯狂的转发,而发文的黑客也将出售的数据价格,改为1个比特币,65个门罗币。

微信图片_20180829101205.jpg

疑似华住公司程序员将数据库连接方式上传至 Github 导致其泄露,代码上传的时间为 20 天前,而黑客拖库的时间为 14 天前,时间上是成立的。华住程序员把代码不经任何处理上传到了 Github 的公共代码库,泄露了 IP 和用户名密码,在这种“我家大门常打开”的情况下,只要懂点数据库的人都能把数据库脱下来。比你自己脱裤还容易。

那么问题来了,
1、大数据时代下,如何保证数据库和隐私安全?
2、企业在数据安全管理上的问题都有哪些?DBA账号权限是否过高?DBA账号是否外泄给其他技术人员?离职人员的账号是否及时回收权限呢?

讨论时间:
8月29日-9月28日

活动奖品:我们将抽取1位优秀回复,获得爱奇艺电视果一个,3位优质回复,获得18周年纪念T恤一件。参与奖:18周年纪念徽章一枚。

求职 : SAP实施
认证徽章
论坛徽章:
256
土豪章
日期:2018-07-10 16:19:05ITPUB18周年纪念章
日期:2018-09-17 10:09:49ITPUB18周年纪念章
日期:2018-09-17 10:12:57
发表于 2018-8-29 11:20 | 显示全部楼层
1、大数据时代下,如何保证数据库和隐私安全?
有大概几个方向:明确信息安全管理责任部门及责任,对客户敏感信息操作进行严格管控,设立客户信息安全检查机制,不断提高客户信息系统技术管理水平,严格管控第三方信息安全风险

2、企业在数据安全管理上的问题都有哪些?DBA账号权限是否过高?DBA账号是否外泄给其他技术人员?离职人员的账号是否及时回收权限呢?
是的,DBA账号要严格管控,权限划分要明确,禁止其他技术人员使用DBA账号,离职人员的账号以及权限要及时撤销,以免泄露或漏控。

使用道具 举报

回复
认证徽章
论坛徽章:
95
秀才
日期:2016-02-18 09:39:102017金鸡报晓
日期:2017-01-10 15:33:112017金鸡报晓
日期:2017-02-08 14:09:13山治
日期:2017-02-21 16:18:12秀才
日期:2017-02-22 15:14:12秀才
日期:2017-02-22 15:16:26秀才
日期:2017-02-22 15:18:00秀才
日期:2017-03-01 13:53:39秀才
日期:2017-03-20 13:42:20秀才
日期:2017-03-27 17:52:06
发表于 2018-8-29 11:29 | 显示全部楼层
板凳

使用道具 举报

回复
认证徽章
论坛徽章:
170
ITPUB十周年纪念徽章
日期:2011-11-01 16:24:04ITPUB 11周年纪念徽章
日期:2012-09-28 17:34:42ITPUB社区12周年站庆徽章
日期:2013-08-13 16:52:38itpub13周年纪念徽章
日期:2014-10-08 15:21:35ITPUB14周年纪念章
日期:2015-10-26 17:23:44ITPUB15周年纪念
日期:2018-02-09 14:12:58状元
日期:2015-11-19 12:58:23榜眼
日期:2015-11-19 12:58:23探花
日期:2015-11-19 12:58:23进士
日期:2015-11-19 12:59:09
发表于 2018-8-29 16:00 | 显示全部楼层
1、大数据时代下,如何保证数据库和隐私安全?
审计是最有效的手段!
当然,也要有人盯着审计结果!

2、企业在数据安全管理上的问题都有哪些?DBA账号权限是否过高?DBA账号是否外泄给其他技术人员?离职人员的账号是否及时回收权限呢?
很多企业的权限授予没有记录(邮件confirm也不是好办法)
DBA权限确实过高,但是我眼睁睁的看着现在的项目里就是把DBA权限赋给了普通用户!
DBA在外人面前输入密码,或者在他人电脑登录,都是隐患!
如果相关系统负责人离职,如非特殊情况,应立即修改密码。

使用道具 举报

回复
论坛徽章:
440
生肖徽章:鼠
日期:2014-07-24 09:00:11生肖徽章2007版:鼠
日期:2009-03-19 21:39:41股神
日期:2012-09-29 10:14:59红钻
日期:2012-11-30 10:49:33黄钻
日期:2012-04-23 12:46:59季节之章:秋
日期:2012-04-23 12:44:40季节之章:秋
日期:2012-01-05 14:00:54季节之章:冬
日期:2011-07-11 18:30:40季节之章:冬
日期:2012-05-20 13:22:14NBA季后赛大富翁
日期:2017-06-15 09:15:27
发表于 2018-8-29 16:28 | 显示全部楼层
nb的华住程序员

使用道具 举报

回复
认证徽章
论坛徽章:
106
ITPUB9周年纪念徽章
日期:2010-10-08 09:31:21ITPUB十周年纪念徽章
日期:2011-11-01 16:19:41ITPUB 11周年纪念徽章
日期:2012-09-28 17:34:422012新春纪念徽章
日期:2012-02-07 09:59:352013年新春福章
日期:2013-02-25 14:51:24ITPUB年度最佳技术原创精华奖
日期:2012-03-13 17:12:05现任管理团队成员
日期:2012-01-16 14:02:09版主3段
日期:2012-06-07 02:21:02蓝锆石
日期:2012-01-04 17:06:48萤石
日期:2012-01-04 17:06:48
发表于 2018-8-29 16:37 | 显示全部楼层
MD, 劳资的开房记录...

使用道具 举报

回复
发表于 2018-8-29 19:50 | 显示全部楼层
请问在哪里可以下载

使用道具 举报

回复
论坛徽章:
112
达拉斯小牛
日期:2016-01-04 14:29:47ITPUB18周年纪念章
日期:2018-09-17 10:12:57NBA季后赛大富翁
日期:2018-06-13 16:07:24NBA季后赛纪念徽章
日期:2018-06-13 16:06:10华盛顿奇才
日期:2018-04-13 15:03:47亚特兰大老鹰
日期:2018-04-13 15:03:47奥兰多魔术
日期:2018-04-13 15:03:47迈阿密热火
日期:2018-04-13 15:03:47印第安纳步行者
日期:2018-04-13 15:03:47克里夫兰骑士
日期:2018-04-13 15:03:47
发表于 2018-8-30 09:09 | 显示全部楼层
请问在哪里可以下载

使用道具 举报

回复
认证徽章
论坛徽章:
2
ITPUB18周年纪念章
日期:2018-09-17 10:09:49ITPUB18周年纪念章
日期:2018-09-17 10:12:57
发表于 2018-8-30 09:21 | 显示全部楼层
数据的不安全,主要还是出现在人的问题上,加强个人的职业素养和职业操作,提升人的道德水平,在技术上加以手段控制,在人的思想行动加以法律和道德的约束

使用道具 举报

回复
论坛徽章:
1
秀才
日期:2018-06-21 10:08:00
发表于 2018-8-30 11:39 | 显示全部楼层
1、大数据时代下,如何保证数据库和隐私安全?
技术永远都是把双刃剑,攻防双方都可以获取最新的技术进行攻防对决,正所谓道高一尺魔高一丈,随着技术的发展,安全保护方的技术在提升,黑客的技术也一样在提升。
所以,完全依靠和信赖技术是不可取的。在安全方面,除了必要的技术支撑,最重要的是合规。
任何公司和团队,必须要有严格的合规流程,根据工作和安全需要,制定符合自身要求的合规流程,大家都按照流程办事。该检查的检查,该备份的备份,该审核的审核,切不可存侥幸心理。
前端时间腾讯云硬盘故障导致整个公司数据丢失,就是不安合规流程办事,3个巧合事件同时发生:
1、数据不备份。过于相信硬件设备,觉得硬件设备故障的几率很小,发生在自己身上的几率很小。即便出故障,也可以恢复。
2、关闭数据校验。硬件迁移过程中,开启校验是为了确保数据安全性和一致性,但是,一味追求迁移速度,关闭数据校验,觉得数据迁移不会出问题,没必要校验。
3、源数据不按规定保存。数据迁移完后,源数据按照规定要保留24小时,但是迁移完之后,为了快速释放旧设备空间,没按规定保留数据,没有给自己留下充分的观察期。
所有的巧合就这么巧,同时发生了。不怀疑腾讯技术团队的技术水平,但是也不要太过于侥幸,忽视合规的重要性。
很多公司不是没有制度和流程,而是这些东西平时觉得太繁琐,大家都没有按照规定执行。所以,要做到最大限度的安全,合规是第一要素。

2、企业在数据安全管理上的问题都有哪些?DBA账号权限是否过高?DBA账号是否外泄给其他技术人员?离职人员的账号是否及时回收权限呢?
还是合规问题,很多公司都制定了账户安全管理制度。每三个月改一次密码,密码长度要特殊字符、大小写字母、数字等。
可是,每次改密码,应用也要跟着改,大家觉得很麻烦,慢慢的很多公司数据库密码根本就没按照规定定期修改,为了自己使用方便,也没有强制限制密码复杂度。
对于DBA、ROOT等管理员账户,都是有管理员一人掌管,没有做到双人保管,管理员知道一半,安全员知道一半,两个人同时在场才可以登录管理员账户。
管理员账户使用是否制定相应的流程,是否需要领导审批或邮件同意?另外,业务账户是否满足最小权限使用原则,重要变更操作是否满足双人复核。
所以说,运维工作,合规永远是第一位的。要心存敬畏,不能心存侥幸。做什么事之前,都要想到如果出问题了怎么办?不要总是想,应该不会出问题。
如果事事都能按照指定的流程、严谨的方案,相信安全会提高很多,同时,效率也会有一定的影响。但是,提前做好方案、制定计划,相信运维的很多工作是可以做到安全和效率两者兼得的。

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

【有奖讨论】解决存储挑战了解一下
奖品:米家车载空气净化器 、米家声波电动牙刷 、小米运动蓝牙耳机

在数字经济时代,井喷式增长的数据,在释放大量商业价值的同时,也随之对企业的IT基础设施带来了不容忽视的挑战!如何存储、管理、使用这些数据呢?这是一条比以往更艰难的路~

活动时间:9月20日-10月11日

参与讨论>>
TOP技术积分榜 社区积分榜 徽章 团队 统计 知识索引树 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛
CopyRight 1999-2011 itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有 联系我们 
京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表