1. 聚能聊>
  2. 话题详情

【实时热点】开房记录被拖库,数据安全究竟该如何保证?

数据安全话题其实已经是老生常谈,随着大数据时代的到来,数据和敏感信息问题越来越多,同时也越来越被个人、企业乃至国家所重视。

就在近日在暗网,一位ID名为helen250的用户发帖出售1.3亿名华住旗下酒店入住用户数据包,从实际泄露数据规模,总数约在5亿条(期间可能存在交叉重复)。

  从出售贴上发布的信息看,目前被泄露的信息包括:

  华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,大约 1.23 亿条记录。

  酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,约 1.3 亿人身份证信息。

  酒店开房记录,包括内部 ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,约 2.4 亿条记录。

2803ED6DAD868F4D412CA05DFE8653A275BFA7E2_size36_w500_h322_jpeg

Madmaner团队分析,数据之所以产生泄露,疑似华住公司程序员将数据库连接方式上传至github导致其泄露。简单来说即华住程序员将开发的源代码上传到了github,其中包含了数据库的用户名、密码信息,使得恶意的攻击者直接连接数据库查看、修改或者删除数据库中的信息。

通过这件事咱们来聊聊

企业如何应对大数据安全与挑战?

你知道那些数据安全技术手段?

你是如何来保证数据安全的?

大数据安全与传统信息安全有什么不一样?

作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    淘公仔 x 2

  • 奖品二

    阿里云代金券 x 5

  • 奖品三

    云栖定制鼠标垫 x 3

52个回答

4

饭娱咖啡 已获得阿里云代金券 复制链接去分享

就这次的事件来说,可以拆分成两个动作来讨论:
动作一:程序员把项目的源代码传到了 GitHub 上。
首先,版权问题:
在 GitHub 上的项目是开源的项目,而公司自己研发的项目本身就具有版权和专利。
其次,项目管理问题:
程序员可以随便拿到公司的源码,然后又随便上传到 GitHub 。这里就牵扯到公司对项目代码的管理,以及公司对程序员的管理。

动作二:GitHub 上的代码包含了项目的数据库连接方式。
如果说,这个项目是公司授意可以上传到 GitHub ,那又出现以下问题:
项目没有经过脱敏,甚至可能没有经过审核就上传了,这是泄露用户数据的最重要的环节。

从以上几个问题,可以总结出几点关于数据安全的问题
1.项目开发前需要对程序员进行培训,让程序员本身具有安全意识以及职业素养。(程序员都是很有职业素养的)
2.项目的开发可以使用更安全的开发环境,比如在虚拟机上开发。
2.如果代码要开源,需要先进行脱敏,之后再审核,然后再上传。

dongdongfu 回复

github上可以弄私有库啊,只不过花钱....

饭娱咖啡 回复

对的,可以用私有库。不过大部分情况是没必要,公司自己那么多服务器可以放,不一定得放 GitHub 上。

评论
2

钟元大老爷 已获得阿里云代金券 复制链接去分享

首先我没有从事过数据安全行业,就我接触过的表象来说一下吧, 勿喷。

A 企业有自己的商业和数据的安全规范(包括风险等级和处罚措施),提高全员对安全规约的认知。

B 对于内部开发人员来讲,数据安全应该是红线,有必要对内部开发人员的操作行为做分析, 比如截图,拷贝信息,打开某个网址,
使用通讯软件传输敏感数据等安全人员会感知,然后确认并约谈。

C 隔离措施,比如说网络隔离(不同网络无法访问)。外部操作人员如果需要操作,是需要通过堡垒机
和vpn才能到目的地址,并且做令牌安全校验和风险评估。开发人员隔离,开发人员
只定义数据的格式和真实数据隔离,各种操做在安全系统确认,另外数据方提供给
业务方的实例地址的不应是外网ip地址,而是内网映射虚拟ip。外部网络请求后,需要从风控系统过滤,决策是否拒绝该请求。

当然这些表面现象下面可能会有很多我们不知道的秘密,但是我们首先应该有坚持的是职业操守,
坚守的是红线,要对安数据和商业安全存在敬畏心理。

1

aoteman675 已获得云栖定制鼠标垫 复制链接去分享

1、企业如何应对大数据安全与挑战?
每次事故都是企业数据泄露导致的,不管是黑数据还是白数据,对企业来说都是生死攸关的,可能再好的公关都无法挽救。在系统漏洞频繁曝出的情况下,要保证系统持续安全补丁和软件的迭代升级,保证框架漏洞持续减少。一些漏洞也是很成熟的产品若干年后才暴露出来的,所以企业应该要组织漏洞挑战赛,尽可能在企业内部解决,留给市场解决只有损失。
2、你知道那些数据安全技术手段?
数据存储加密、数据传输加密。使用SSl部署。数据加密使用不同的加密算法多重加密,勤换密码,勤打补丁。数据操作日志记录。

3、你是如何来保证数据安全的?
我会在较短的时间内更换服务器密码或者数据库服务器密码,重要数据采用加密算法加密。部署应用采用SSL证书,数据多重校验,防止嗅探。服务器经常打安全补丁,安装安骑士,姿态感知对服务器检查。

4、大数据安全与传统信息安全有什么不一样?
大数据流量大,数据量多,严重性高一些,数据较为集中或者集中泄露。传统数据分散,数据量小,只具备单一分析价值 。大数据流量大,受到的冲击大,所以在流量清洗方面成本投入高,需要多重防火墙抵御大数据流量。

5、作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?
首先要收集数据,然后采用具备安全资质的第三方数据分析厂家对数据融合、多维度分析、存储。
非IT类型企业重要在采集数据环节,其他环节都不存在问题。

1

浮生递归 已获得淘公仔 复制链接去分享

企业如何应对大数据安全与挑战?
感觉这个跟大数据没什么关系。这次事故,仅仅只是数据比较大,并不属于大数据范畴。不过大数据也确实面临了很多安全和挑战。或者说,每个新生事物都会面临很多安全和挑战。作为企业,最重要的还是领导的安全意识,领导不重视,下面的人喊破喉咙也没用。(破喉咙:喊我干嘛?)

你知道那些数据安全技术手段?
主要还是加密吧,应用最多的感觉还是md5,但是前段又有传闻说md5已经被破解了。现在比较靠谱的是sha16还是sha32?

你是如何来保证数据安全的?
对数据进行重构和二次加密。比如身份证号码,我把他拆分掉,分别存到不同的字段里,再进行简单的加密。读取时,解密后重组显示,这样万一被脱库也没什么损失。
之前这么做,是因为公司内部的oa我在做,但是数据很敏感,我怕万一数据库被脱,后果不是我所能承担的。所以我就在这方面特别进行了研究,最后就是在程序方面增加复杂程度,但是至少确保了数据的安全。

大数据安全与传统信息安全有什么不一样?
挑战更大,对技术和设备要求也更高。比如现在的流量攻击就是几百gb的级别,跟以前的攻击是完全不在一个量级的。

作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?
这么专业的事情,还是直接外包给安全公司来负责比较好。比如阿里云的安全小组也是很不错的,就是不知道有没有直接提供这方面的服务。第三方的公司倒是很多。一次发5个问题,想累死个人么……

1

sqtnbyy 已获得阿里云代金券 复制链接去分享

好难啊,姑且说之,大家姑且听之。水平有限,缺漏之处,欢迎方家批评指正。
企业如何应对大数据安全与挑战?
规范流程,培养人才。

你知道那些数据安全技术手段?
数据库备份服务,数据库容灾服务。
对于黑客的攻击、偷盗等行为可以用一些安全产品来防范,还可以由安全人员进行安全对抗。

你是如何来保证数据安全的?
快照策略、定期镜像、时时关注安全攻击预警。

大数据安全与传统信息安全有什么不一样?
传统信息安全相对来说数据体量小些、维度少些、危害轻些。

作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?
感知 > 分析 > 预测

-1

若林 已获得阿里云代金券 复制链接去分享

企业如何应对大数据安全与挑战?
对于大数据安全来说,我目前能够做到的就是四个点,一是数据存储业务的提供方安全可靠,小企业的数据数据存储的真心不敢用,二是服务器安全要做到位,及时打补丁吧。三是、网站代码检查,尽量避免严重的漏洞,有钱的大企业请安全工程师还是重有必要的。四是、一定要避免弱密码,还有向上面说的把核心代码公开了,一句话就是操作规范,避免低级错误。

你知道那些数据安全技术手段?
我能接触到的就是一是服务器及时打补丁,二是关闭需要使用的端口,三是安装防火墙,四的、代码安全检查。

你是如何来保证数据安全的?
上面说的就是我自己用的一些方法,另外就是要做好备份工作,这个算是亡羊补牢了。

大数据安全与传统信息安全有什么不一样?
传统信息安全可能相对来讲,可能危害的东西比较少,比如说以前没有电脑存档,或者是只有本地电脑存档的,黑客想获取数据是相对比较困难的,而大数据安全,现在的数据大部分都布置在云上,那么只要是有可趁的机会,黑客相对就容易拿到数据。

作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?
要么自己有安全技术人员,要么请第三方正规的安全人员协助了,多做备份,多打补丁。

1

1862935598797874 复制链接去分享

我不会买域名,谁可以教我啊!

小白鸽编程 回复

阿里云很方便

西楚县令 回复

账号已经有了...

马晓兵 回复

怎么卖域名

评论
3

黄二刀 复制链接去分享

企业如何应对大数据安全与挑战?
充分做好安防,权限校验,访问校验。读写校验,记录操作日志,记录异常操作,秒级备份,磁盘阵列。
你知道那些数据安全技术手段?
访问限制IP校验,身份限制权限校验,异常报警机制。
你是如何来保证数据安全的?实时监控,定时备份,并不定时查看服务器访问日志。
大数据安全与传统信息安全有什么不一样?
大数据与传统信息安全最大的区别就是海量数据,而且这些海量数据都是分布式存储,松散结构,要保证每一个节点充分的安全性。
作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?
要嘛就自己投入大量的财力物力去研究安防,提升安防等级,其实最简单的方法就是,花点钱像买阿里云的安全产品,高防、云盾一大堆。

3

小川游鱼 复制链接去分享

有几点疑问:
一、华住数据库为何设置成外网可链接,我的公司官网数据库都只是内网访问且限定内网主机IP。
二、代码为何链接生产环境数据库,难道是直接复制生产环境代码上传的(●—●),可见开发、测试、部署、上线机制有严重问题。
三、造成此次严重数据泄露华住是否应该给用户一个解释,有什么补救措施。

1

1915736235018492 复制链接去分享

区块链技术可以防止信息泄露,比如这个这样这样然后再那样那样,最后…当当!!就大工告成了。

1

1125209088066642 复制链接去分享

关注。。。。。。。。。。。。。。。

1

迷失の小孩 复制链接去分享

感觉不止这个接口出现问题了

1

1681703594628652 复制链接去分享

说到底,技术不到家,还不上心。

1

千里眼阿亮 复制链接去分享

大数据时代,信息泄密事件是很正常

1

kinggood 复制链接去分享

就数据安全来说,其实人,才是最大的问题,其次才是其它因素。

1

_whiskey 复制链接去分享

以目前的技术,感觉这些行为更是内部风险没有防范好。在内部,大部分公司对敏感数据也没有进行加密,将秘钥放在运维管理者手中。

1

transcendtron 复制链接去分享

还是要从管理和策略上下功夫吧

1

1869835356849433 复制链接去分享

你好

1

猜猜w是谁 复制链接去分享

有图没链接,楼主不厚道。这种好事怎么能不分享一下呢

1

59+8 复制链接去分享

感觉不止这个接口出现问题了,只能说是疑似

3