面对1.3 亿用户数据泄露,企业如何围绕核心数据构建安全管理体系?

大表哥 helen 再次重现江湖,并且带来不断的惊喜~~~


640?wx_fmt=png

据 FreeBuf 报道,8 月 28 日早上 6 点,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,数据标价 8 个比特币,约等于人民币 37 万人民币,数据泄露涉及到 1.3 亿人的个人信息及开房记录。涉及大量个人入住酒店信息,主要为姓名、身份证信息、手机号、卡号等。而经过媒体报道之后,发帖人称要减价至 1 比特币出售。

传说数据的真实性已经得到了情报专家的技术验证,疑似华住公司程序员将数据库连接方式上传至 github 导致其泄露,目前还无法完全得知到细节。

640?wx_fmt=png

涉及个人隐私信息,消息很快传开。一瞬间网络上炸开了锅,企业谈数据而自危,公众因泄露而恐慌。


640?wx_fmt=png

大数据发展至今,都在谈治理,论价值,然而巨大的商业价值背后永远避免不了暗藏的危机。今年来从人事考试到交警数据的泄漏,越来越赤裸裸地将个人信息暴露于光天化日之下,数据安全的价值和隐患,已经透过企业将目标指向了个人。

我们不得不承认一件事情,因为技术和管理的疏漏,大数据时常扮演罪恶的爪牙。滴滴顺风车就是一个最直接的例子,对于司机给乘客打标签的事情,我们愿意相信企业的初衷是为了提高产品的社交友好性,但导致的结果却是个人信息暴露,被邪恶分子利用以至引发的惨绝人寰的事件。


技术的进步永远是中性的,有效的管理和约束才能让技术在不断的进步中推动社会发展。

下图来自 2017 年全球的数据泄露报告,图中展示了在金融企业数据泄露事件中,有 26% 是来自权限的不规范授予和使用。

640?wx_fmt=png

内部员工导致的安全事件和权限滥用的比例高达 80% 以上

640?wx_fmt=png

而在所有的泄露数据中,黑客最关注的数据的类别就是个人信息相关的数据:

640?wx_fmt=png

我们生活的世界并不安全。在传统的数据安全生态中(如下图),应用对数据库的访问安全上,主要是依靠网络防火墙及数据库安全策略进行管控;数据库自身软件漏洞主要靠定期安装数据库软件补丁进行修复;备份安全方面可以采用加密备份技术进行管控。

640?wx_fmt=png

然而,在管理安全数据交互安全方面目前还是主要靠制度管控,技术方面能做的管控力度非常薄弱,但企业的数据安全事故大部分都是发生在管理安全和数据交互上。

国内安全管理现状

目前,国内的企业在数据安全管理上还存在以下问题:

1、内部管控缺失:没有对内部人员进行有效的监控

2、数据中心管理不规范:内部人员权限混乱,大多数具有DBA的权限

3、非管理员的操作权限过大:系统开发人员和外包人员往往过度授权

由于内部人员管理混乱,对于企业的合法员工做非法事情,甚至违规的事情无法预知、无法及时发现,同时很难精确问责和处理。

在安全管理上不到位导致的问题

1、利用合法操作权限为部分人员提供违规服务(如超额贷款、违规优惠等)

2、利用合法操作权限将数据外泄

3、低权限账号通过非正常方法提权并进行违规操作

4、业务系统第三方运维人员非法开设业务账号并干扰业务正常运营。(如违规办理业务、盗取用户信息等)

5、网络及安全运维人员通过管理系统违规进行网络、主机、安全等设备配置(如非指定时间操作、非允许账号操作、对非允许产品操作等)

而随着技术的发展,新时代的数据安全问题也不断涌现:

640?wx_fmt=png


1、传统的数据安全常常基于外围环境和应用的保护,而忽略核心数据的安全防范

2、安全不只是技术的事,制定规范和准则,是安全最基本的要求

3、随着云的发展,硬件资源的共享,基于外围的保护(比如存储、主机、网络)逐渐失效

4、跨界融合的大趋势,意味着核心数据会暴露给更多的行业

5、新技术带来海量的业务机会的同事,也带来更多的风险

面对传统的企业安全管控的缺失,以及新时代的数据问题,我们该如何保护企业的核心数据?基于云和恩墨多年的数据服务经验,我们提供了全方位的安全管控解决方案。

640?wx_fmt=png

1、以技术填补管理的缺失

2、用制度为技术增加多重保障

以技术填补管理的缺失

针对内部管控的问题,大家有没有想过,如果人人都知道DBA账号的外泄是高风险的,那么为什么企业在运维中还会将DBA的账号给各种第三方人员及开发人员?

如果你恰好是个DBA,那么你肯定有过这样的经历:执行一条SQL语句,报错ORA-01031

640?wx_fmt=png

通过oerr的提示为:权限不足。

但是为什么权限不足,操作需要什么权限,操作者还缺少哪些权限,并不知道。于是你尝试授权,再增加一个权限,还是ORA-01031,报错一点都没有变。那么你增加的权限到底有用?


不知道。


这就是为什么很多企业会过度创建和授予高权限账号的原因。在很多企业的内部,除了运维人员之外,开发人员,第三方服务人员,外包人员,甚至部分业务人员都有可能需要操作数据库。这时候授权就是一个很大的问题。


由于数据库本身的权限并不透明,加上操作人员并不专业,将数据库直接以高权限账号暴露给DBA以外的人员是非常危险的。


很多企业其实意识到了这一点,于是定期都会需要做安全整改。

640?wx_fmt=png

各种重新配置和调整,但根本不能从根源上解决问题。一方面放出去的权限很难回收,另一方面,回收之后还是避免不了要重新授权。

针对以上问题,云和恩墨自主研发了云盾安全管控平台,为运维人员、开发人员、第三方管理和部分业务人员提供统一的数据访问接口,避免核心数据的暴露。对于权限的不透明问题,通过从平台的授权代替数据库授权,既不影响核心数据,又方便记录、分析和审计。

产品的核心功能如下:

640?wx_fmt=png

通过云盾安全管控平台,能够帮助用户建立完善的角色与权限体系,根据规则做权限分析与校验,避免未授权操作,对数据库操作进行功能模块化封装,防范高危操作及敏感数据泄露,通过三权分离,避免过度授权,防范对真正记录数据的破坏,全局精准的审计提供完善的资料库,事后分析帮助企业优化管理。

用制度为技术增加多重保障

技术是一把双刃剑,要发挥它有价值的一面,必须要有相应的制度和规范的约束。针对企业内部合法人员的不合规操作,只有将其管理制度与技术规范结合,才能从根本上防范数据危害。


针对数据库的高危操作和误操作,如果是在合法的权限下,技术很难判断。在云盾的安全管理平台上,可以根据企业需要,对平台的人员的操作进行审批和复核,通过技术审核和人工审批的多重机制,杜绝对数据的破坏。


同时,我们建议企业在数据库的安全运维方面,遵循以下安全管理制度:

640?wx_fmt=png

云盾安全管理平台,事前到事后,技术到管理,全面防范直接操作核心数据,敏感数据泄露,合法人员行为不受管控、无法追责,高危操作误操作等各类问题。做企业数据库最贴心的安全管家。


随着技术的日新月异,云时代的数据安全问题日益凸显,传统的外围保护方式逐渐失效要求企业必须从核心的数据保护开始。因为一切隐患的终极目标,都是数据。

640?wx_fmt=png

欧盟数据保护条例GDPR中规定,构建符合企业特点的运维安全体系,从制度的根本上解决安全问题。云和恩墨以安全顾问的方式介入企业安全咨询,作为安全方案的推动者和创造者,帮助企业建立安全体系。

640?wx_fmt=png

同时我们会从企业的安全评估到安全方案的落地,提供端到端的服务,做数据库全生命周期的管理。从GDPR出发,构建符合国内安全现状和管理制度的数据安全体系。

640?wx_fmt=png


业务损失可度量,数据价值无上限。保护企业的数据安全,就从最核心开始!


企业安全咨询,请联系云和恩墨安全小秘(微信号:sunx5126)!

资源下载

关注公众号:数据和云(OraNews)回复关键字获取

2018DTCC , 数据库大会PPT

DBALIFE ,“DBA 的一天”海报

DBA04 ,DBA 手记4 电子书

122ARCH ,Oracle 12.2体系结构图

2017OOW ,Oracle OpenWorld 资料

PRELECTION ,大讲堂讲师课程资料

推荐阅读

GDPR带来的数据安全思考

Bad Rabbit引发的企业数据安全的思考和方案

2017,那些我们一起删库跑路的日子

如何避免成为新技术背后的奶嘴一族

论DBA的自我修养-从删库跑路到删库获刑

数据库时间出现0000-00-00,难道我穿越了

640?wx_fmt=jpeg