|
大表哥 helen 再次重現(xiàn)江湖����,并且?guī)聿粩嗟捏@喜~~~
據(jù) FreeBuf 報道����,8 月 28 日早上 6 點��,暗網(wǎng)中文論壇中出現(xiàn)一個帖子����,聲稱售賣華住旗下所有酒店數(shù)據(jù),數(shù)據(jù)標(biāo)價 8 個比特幣����,約等于人民幣 37 萬人民幣,數(shù)據(jù)泄露涉及到 1.3 億人的個人信息及開房記錄��。涉及大量個人入住酒店信息,主要為姓名���、身份證信息��、手機號����、卡號等���。而經(jīng)過媒體報道之后��,發(fā)帖人稱要減價至 1 比特幣出售���。 傳說數(shù)據(jù)的真實性已經(jīng)得到了情報專家的技術(shù)驗證,疑似華住公司程序員將數(shù)據(jù)庫連接方式上傳至 github 導(dǎo)致其泄露��,目前還無法完全得知到細(xì)節(jié)��。 
涉及個人隱私信息���,消息很快傳開���。一瞬間網(wǎng)絡(luò)上炸開了鍋����,企業(yè)談數(shù)據(jù)而自危����,公眾因泄露而恐慌。 
大數(shù)據(jù)發(fā)展至今��,都在談治理��,論價值��,然而巨大的商業(yè)價值背后永遠(yuǎn)避免不了暗藏的危機����。今年來從人事考試到交警數(shù)據(jù)的泄漏,越來越赤裸裸地將個人信息暴露于光天化日之下���,數(shù)據(jù)安全的價值和隱患,已經(jīng)透過企業(yè)將目標(biāo)指向了個人���。 我們不得不承認(rèn)一件事情��,因為技術(shù)和管理的疏漏���,大數(shù)據(jù)時常扮演罪惡的爪牙��。滴滴順風(fēng)車就是一個最直接的例子���,對于司機給乘客打標(biāo)簽的事情,我們愿意相信企業(yè)的初衷是為了提高產(chǎn)品的社交友好性���,但導(dǎo)致的結(jié)果卻是個人信息暴露����,被邪惡分子利用以至引發(fā)的慘絕人寰的事件��。 技術(shù)的進(jìn)步永遠(yuǎn)是中性的��,有效的管理和約束才能讓技術(shù)在不斷的進(jìn)步中推動社會發(fā)展��。 下圖來自 2017 年全球的數(shù)據(jù)泄露報告��,圖中展示了在金融企業(yè)數(shù)據(jù)泄露事件中���,有 26% 是來自權(quán)限的不規(guī)范授予和使用����。 
內(nèi)部員工導(dǎo)致的安全事件和權(quán)限濫用的比例高達(dá) 80% 以上。 
而在所有的泄露數(shù)據(jù)中��,黑客最關(guān)注的數(shù)據(jù)的類別就是個人信息相關(guān)的數(shù)據(jù): 
我們生活的世界并不安全���。在傳統(tǒng)的數(shù)據(jù)安全生態(tài)中(如下圖)��,應(yīng)用對數(shù)據(jù)庫的訪問安全上���,主要是依靠網(wǎng)絡(luò)防火墻及數(shù)據(jù)庫安全策略進(jìn)行管控;數(shù)據(jù)庫自身軟件漏洞主要靠定期安裝數(shù)據(jù)庫軟件補丁進(jìn)行修復(fù)����;備份安全方面可以采用加密備份技術(shù)進(jìn)行管控。 
然而��,在管理安全��、數(shù)據(jù)交互安全方面目前還是主要靠制度管控��,技術(shù)方面能做的管控力度非常薄弱����,但企業(yè)的數(shù)據(jù)安全事故大部分都是發(fā)生在管理安全和數(shù)據(jù)交互上���。 目前��,國內(nèi)的企業(yè)在數(shù)據(jù)安全管理上還存在以下問題: 1����、內(nèi)部管控缺失:沒有對內(nèi)部人員進(jìn)行有效的監(jiān)控 2、數(shù)據(jù)中心管理不規(guī)范:內(nèi)部人員權(quán)限混亂��,大多數(shù)具有DBA的權(quán)限 3���、非管理員的操作權(quán)限過大:系統(tǒng)開發(fā)人員和外包人員往往過度授權(quán) 由于內(nèi)部人員管理混亂����,對于企業(yè)的合法員工做非法事情����,甚至違規(guī)的事情無法預(yù)知、無法及時發(fā)現(xiàn)���,同時很難精確問責(zé)和處理���。 在安全管理上不到位導(dǎo)致的問題1、利用合法操作權(quán)限為部分人員提供違規(guī)服務(wù)(如超額貸款、違規(guī)優(yōu)惠等) 2��、利用合法操作權(quán)限將數(shù)據(jù)外泄 3����、低權(quán)限賬號通過非正常方法提權(quán)并進(jìn)行違規(guī)操作 4、業(yè)務(wù)系統(tǒng)第三方運維人員非法開設(shè)業(yè)務(wù)賬號并干擾業(yè)務(wù)正常運營����。(如違規(guī)辦理業(yè)務(wù)、盜取用戶信息等) 5��、網(wǎng)絡(luò)及安全運維人員通過管理系統(tǒng)違規(guī)進(jìn)行網(wǎng)絡(luò)��、主機��、安全等設(shè)備配置(如非指定時間操作����、非允許賬號操作、對非允許產(chǎn)品操作等) 而隨著技術(shù)的發(fā)展����,新時代的數(shù)據(jù)安全問題也不斷涌現(xiàn): 
1、傳統(tǒng)的數(shù)據(jù)安全常?���;谕鈬h(huán)境和應(yīng)用的保護,而忽略核心數(shù)據(jù)的安全防范 2���、安全不只是技術(shù)的事����,制定規(guī)范和準(zhǔn)則����,是安全最基本的要求 3、隨著云的發(fā)展����,硬件資源的共享,基于外圍的保護(比如存儲��、主機����、網(wǎng)絡(luò))逐漸失效 4、跨界融合的大趨勢����,意味著核心數(shù)據(jù)會暴露給更多的行業(yè) 5����、新技術(shù)帶來海量的業(yè)務(wù)機會的同事����,也帶來更多的風(fēng)險 面對傳統(tǒng)的企業(yè)安全管控的缺失,以及新時代的數(shù)據(jù)問題����,我們該如何保護企業(yè)的核心數(shù)據(jù)?基于云和恩墨多年的數(shù)據(jù)服務(wù)經(jīng)驗���,我們提供了全方位的安全管控解決方案���。 1、以技術(shù)填補管理的缺失 2��、用制度為技術(shù)增加多重保障 針對內(nèi)部管控的問題��,大家有沒有想過����,如果人人都知道DBA賬號的外泄是高風(fēng)險的,那么為什么企業(yè)在運維中還會將DBA的賬號給各種第三方人員及開發(fā)人員��? 如果你恰好是個DBA,那么你肯定有過這樣的經(jīng)歷:執(zhí)行一條SQL語句���,報錯ORA-01031 
通過oerr的提示為:權(quán)限不足���。 但是為什么權(quán)限不足����,操作需要什么權(quán)限,操作者還缺少哪些權(quán)限����,并不知道。于是你嘗試授權(quán)���,再增加一個權(quán)限���,還是ORA-01031��,報錯一點都沒有變����。那么你增加的權(quán)限到底有用���? 不知道���。 這就是為什么很多企業(yè)會過度創(chuàng)建和授予高權(quán)限賬號的原因���。在很多企業(yè)的內(nèi)部,除了運維人員之外��,開發(fā)人員���,第三方服務(wù)人員,外包人員��,甚至部分業(yè)務(wù)人員都有可能需要操作數(shù)據(jù)庫����。這時候授權(quán)就是一個很大的問題。 由于數(shù)據(jù)庫本身的權(quán)限并不透明���,加上操作人員并不專業(yè)��,將數(shù)據(jù)庫直接以高權(quán)限賬號暴露給DBA以外的人員是非常危險的��。 很多企業(yè)其實意識到了這一點���,于是定期都會需要做安全整改��。 
各種重新配置和調(diào)整,但根本不能從根源上解決問題����。一方面放出去的權(quán)限很難回收���,另一方面,回收之后還是避免不了要重新授權(quán)��。 針對以上問題��,云和恩墨自主研發(fā)了云盾安全管控平臺���,為運維人員、開發(fā)人員����、第三方管理和部分業(yè)務(wù)人員提供統(tǒng)一的數(shù)據(jù)訪問接口��,避免核心數(shù)據(jù)的暴露���。對于權(quán)限的不透明問題,通過從平臺的授權(quán)代替數(shù)據(jù)庫授權(quán)���,既不影響核心數(shù)據(jù)����,又方便記錄����、分析和審計。 產(chǎn)品的核心功能如下:
通過云盾安全管控平臺���,能夠幫助用戶建立完善的角色與權(quán)限體系���,根據(jù)規(guī)則做權(quán)限分析與校驗,避免未授權(quán)操作���,對數(shù)據(jù)庫操作進(jìn)行功能模塊化封裝���,防范高危操作及敏感數(shù)據(jù)泄露�,通過三權(quán)分離�,避免過度授權(quán),防范對真正記錄數(shù)據(jù)的破壞���,全局精準(zhǔn)的審計提供完善的資料庫��,事后分析幫助企業(yè)優(yōu)化管理���。 技術(shù)是一把雙刃劍,要發(fā)揮它有價值的一面��,必須要有相應(yīng)的制度和規(guī)范的約束�。針對企業(yè)內(nèi)部合法人員的不合規(guī)操作���,只有將其管理制度與技術(shù)規(guī)范結(jié)合���,才能從根本上防范數(shù)據(jù)危害。 針對數(shù)據(jù)庫的高危操作和誤操作���,如果是在合法的權(quán)限下��,技術(shù)很難判斷��。在云盾的安全管理平臺上�,可以根據(jù)企業(yè)需要,對平臺的人員的操作進(jìn)行審批和復(fù)核�,通過技術(shù)審核和人工審批的多重機制,杜絕對數(shù)據(jù)的破壞�。 同時,我們建議企業(yè)在數(shù)據(jù)庫的安全運維方面�,遵循以下安全管理制度:
云盾安全管理平臺,事前到事后��,技術(shù)到管理��,全面防范直接操作核心數(shù)據(jù)���,敏感數(shù)據(jù)泄露�,合法人員行為不受管控��、無法追責(zé)���,高危操作誤操作等各類問題�。做企業(yè)數(shù)據(jù)庫最貼心的安全管家��。 隨著技術(shù)的日新月異,云時代的數(shù)據(jù)安全問題日益凸顯�,傳統(tǒng)的外圍保護方式逐漸失效要求企業(yè)必須從核心的數(shù)據(jù)保護開始。因為一切隱患的終極目標(biāo)��,都是數(shù)據(jù)��。
在歐盟數(shù)據(jù)保護條例GDPR中規(guī)定�,構(gòu)建符合企業(yè)特點的運維安全體系,從制度的根本上解決安全問題���。云和恩墨以安全顧問的方式介入企業(yè)安全咨詢�,作為安全方案的推動者和創(chuàng)造者���,幫助企業(yè)建立安全體系�。
同時我們會從企業(yè)的安全評估到安全方案的落地��,提供端到端的服務(wù)���,做數(shù)據(jù)庫全生命周期的管理。從GDPR出發(fā)�,構(gòu)建符合國內(nèi)安全現(xiàn)狀和管理制度的數(shù)據(jù)安全體系。
業(yè)務(wù)損失可度量��,數(shù)據(jù)價值無上限。保護企業(yè)的數(shù)據(jù)安全��,就從最核心開始�! 企業(yè)安全咨詢,請聯(lián)系云和恩墨安全小秘(微信號:sunx5126)! 關(guān)注公眾號:數(shù)據(jù)和云(OraNews)回復(fù)關(guān)鍵字獲取 2018DTCC , 數(shù)據(jù)庫大會PPT DBALIFE ���,“DBA 的一天”海報
DBA04 ���,DBA 手記4 電子書 122ARCH ,Oracle 12.2體系結(jié)構(gòu)圖
2017OOW �,Oracle OpenWorld 資料
PRELECTION ,大講堂講師課程資料
|
