数据安全话题其实已经是老生常谈,随着大数据时代的到来,数据和敏感信息问题越来越多,同时也越来越被个人、企业乃至国家所重视。
就在近日在暗网,一位ID名为helen250的用户发帖出售1.3亿名华住旗下酒店入住用户数据包,从实际泄露数据规模,总数约在5亿条(期间可能存在交叉重复)。
从出售贴上发布的信息看,目前被泄露的信息包括:
华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,大约 1.23 亿条记录。
酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,约 1.3 亿人身份证信息。
酒店开房记录,包括内部 ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,约 2.4 亿条记录。
Madmaner团队分析,数据之所以产生泄露,疑似华住公司程序员将数据库连接方式上传至github导致其泄露。简单来说即华住程序员将开发的源代码上传到了github,其中包含了数据库的用户名、密码信息,使得恶意的攻击者直接连接数据库查看、修改或者删除数据库中的信息。
淘公仔 x 2
阿里云代金券 x 5
云栖定制鼠标垫 x 3
饭娱咖啡
已获得阿里云代金券
复制链接去分享
就这次的事件来说,可以拆分成两个动作来讨论:
动作一:程序员把项目的源代码传到了 GitHub 上。
首先,版权问题:
在 GitHub 上的项目是开源的项目,而公司自己研发的项目本身就具有版权和专利。
其次,项目管理问题:
程序员可以随便拿到公司的源码,然后又随便上传到 GitHub 。这里就牵扯到公司对项目代码的管理,以及公司对程序员的管理。
动作二:GitHub 上的代码包含了项目的数据库连接方式。
如果说,这个项目是公司授意可以上传到 GitHub ,那又出现以下问题:
项目没有经过脱敏,甚至可能没有经过审核就上传了,这是泄露用户数据的最重要的环节。
从以上几个问题,可以总结出几点关于数据安全的问题
1.项目开发前需要对程序员进行培训,让程序员本身具有安全意识以及职业素养。(程序员都是很有职业素养的)
2.项目的开发可以使用更安全的开发环境,比如在虚拟机上开发。
2.如果代码要开源,需要先进行脱敏,之后再审核,然后再上传。
钟元大老爷
已获得阿里云代金券
复制链接去分享
首先我没有从事过数据安全行业,就我接触过的表象来说一下吧, 勿喷。
A 企业有自己的商业和数据的安全规范(包括风险等级和处罚措施),提高全员对安全规约的认知。
B 对于内部开发人员来讲,数据安全应该是红线,有必要对内部开发人员的操作行为做分析, 比如截图,拷贝信息,打开某个网址,
使用通讯软件传输敏感数据等安全人员会感知,然后确认并约谈。
C 隔离措施,比如说网络隔离(不同网络无法访问)。外部操作人员如果需要操作,是需要通过堡垒机
和vpn才能到目的地址,并且做令牌安全校验和风险评估。开发人员隔离,开发人员
只定义数据的格式和真实数据隔离,各种操做在安全系统确认,另外数据方提供给
业务方的实例地址的不应是外网ip地址,而是内网映射虚拟ip。外部网络请求后,需要从风控系统过滤,决策是否拒绝该请求。
当然这些表面现象下面可能会有很多我们不知道的秘密,但是我们首先应该有坚持的是职业操守,
坚守的是红线,要对安数据和商业安全存在敬畏心理。
aoteman675
已获得云栖定制鼠标垫
复制链接去分享
1、企业如何应对大数据安全与挑战?
每次事故都是企业数据泄露导致的,不管是黑数据还是白数据,对企业来说都是生死攸关的,可能再好的公关都无法挽救。在系统漏洞频繁曝出的情况下,要保证系统持续安全补丁和软件的迭代升级,保证框架漏洞持续减少。一些漏洞也是很成熟的产品若干年后才暴露出来的,所以企业应该要组织漏洞挑战赛,尽可能在企业内部解决,留给市场解决只有损失。
2、你知道那些数据安全技术手段?
数据存储加密、数据传输加密。使用SSl部署。数据加密使用不同的加密算法多重加密,勤换密码,勤打补丁。数据操作日志记录。
3、你是如何来保证数据安全的?
我会在较短的时间内更换服务器密码或者数据库服务器密码,重要数据采用加密算法加密。部署应用采用SSL证书,数据多重校验,防止嗅探。服务器经常打安全补丁,安装安骑士,姿态感知对服务器检查。
4、大数据安全与传统信息安全有什么不一样?
大数据流量大,数据量多,严重性高一些,数据较为集中或者集中泄露。传统数据分散,数据量小,只具备单一分析价值 。大数据流量大,受到的冲击大,所以在流量清洗方面成本投入高,需要多重防火墙抵御大数据流量。
5、作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?
首先要收集数据,然后采用具备安全资质的第三方数据分析厂家对数据融合、多维度分析、存储。
非IT类型企业重要在采集数据环节,其他环节都不存在问题。
浮生递归
已获得淘公仔
复制链接去分享
企业如何应对大数据安全与挑战?
感觉这个跟大数据没什么关系。这次事故,仅仅只是数据比较大,并不属于大数据范畴。不过大数据也确实面临了很多安全和挑战。或者说,每个新生事物都会面临很多安全和挑战。作为企业,最重要的还是领导的安全意识,领导不重视,下面的人喊破喉咙也没用。(破喉咙:喊我干嘛?)
你知道那些数据安全技术手段?
主要还是加密吧,应用最多的感觉还是md5,但是前段又有传闻说md5已经被破解了。现在比较靠谱的是sha16还是sha32?
你是如何来保证数据安全的?
对数据进行重构和二次加密。比如身份证号码,我把他拆分掉,分别存到不同的字段里,再进行简单的加密。读取时,解密后重组显示,这样万一被脱库也没什么损失。
之前这么做,是因为公司内部的oa我在做,但是数据很敏感,我怕万一数据库被脱,后果不是我所能承担的。所以我就在这方面特别进行了研究,最后就是在程序方面增加复杂程度,但是至少确保了数据的安全。
大数据安全与传统信息安全有什么不一样?
挑战更大,对技术和设备要求也更高。比如现在的流量攻击就是几百gb的级别,跟以前的攻击是完全不在一个量级的。
作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?
这么专业的事情,还是直接外包给安全公司来负责比较好。比如阿里云的安全小组也是很不错的,就是不知道有没有直接提供这方面的服务。第三方的公司倒是很多。一次发5个问题,想累死个人么……
sqtnbyy
已获得阿里云代金券
复制链接去分享
好难啊,姑且说之,大家姑且听之。水平有限,缺漏之处,欢迎方家批评指正。
企业如何应对大数据安全与挑战?
规范流程,培养人才。
你知道那些数据安全技术手段?
数据库备份服务,数据库容灾服务。
对于黑客的攻击、偷盗等行为可以用一些安全产品来防范,还可以由安全人员进行安全对抗。
你是如何来保证数据安全的?
快照策略、定期镜像、时时关注安全攻击预警。
大数据安全与传统信息安全有什么不一样?
传统信息安全相对来说数据体量小些、维度少些、危害轻些。
作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?
感知 > 分析 > 预测
若林
已获得阿里云代金券
复制链接去分享
企业如何应对大数据安全与挑战?
对于大数据安全来说,我目前能够做到的就是四个点,一是数据存储业务的提供方安全可靠,小企业的数据数据存储的真心不敢用,二是服务器安全要做到位,及时打补丁吧。三是、网站代码检查,尽量避免严重的漏洞,有钱的大企业请安全工程师还是重有必要的。四是、一定要避免弱密码,还有向上面说的把核心代码公开了,一句话就是操作规范,避免低级错误。
你知道那些数据安全技术手段?
我能接触到的就是一是服务器及时打补丁,二是关闭需要使用的端口,三是安装防火墙,四的、代码安全检查。
你是如何来保证数据安全的?
上面说的就是我自己用的一些方法,另外就是要做好备份工作,这个算是亡羊补牢了。
大数据安全与传统信息安全有什么不一样?
传统信息安全可能相对来讲,可能危害的东西比较少,比如说以前没有电脑存档,或者是只有本地电脑存档的,黑客想获取数据是相对比较困难的,而大数据安全,现在的数据大部分都布置在云上,那么只要是有可趁的机会,黑客相对就容易拿到数据。
作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?
要么自己有安全技术人员,要么请第三方正规的安全人员协助了,多做备份,多打补丁。
黄二刀
复制链接去分享
企业如何应对大数据安全与挑战?
充分做好安防,权限校验,访问校验。读写校验,记录操作日志,记录异常操作,秒级备份,磁盘阵列。
你知道那些数据安全技术手段?
访问限制IP校验,身份限制权限校验,异常报警机制。
你是如何来保证数据安全的?实时监控,定时备份,并不定时查看服务器访问日志。
大数据安全与传统信息安全有什么不一样?
大数据与传统信息安全最大的区别就是海量数据,而且这些海量数据都是分布式存储,松散结构,要保证每一个节点充分的安全性。
作为非IT类型企业,要实现大数据安全分析所需的必要条件有哪些?
要嘛就自己投入大量的财力物力去研究安防,提升安防等级,其实最简单的方法就是,花点钱像买阿里云的安全产品,高防、云盾一大堆。
小川游鱼
复制链接去分享
有几点疑问:
一、华住数据库为何设置成外网可链接,我的公司官网数据库都只是内网访问且限定内网主机IP。
二、代码为何链接生产环境数据库,难道是直接复制生产环境代码上传的(●—●),可见开发、测试、部署、上线机制有严重问题。
三、造成此次严重数据泄露华住是否应该给用户一个解释,有什么补救措施。
1915736235018492
复制链接去分享
区块链技术可以防止信息泄露,比如这个这样这样然后再那样那样,最后…当当!!就大工告成了。
1125209088066642
复制链接去分享
关注。。。。。。。。。。。。。。。
迷失の小孩
复制链接去分享
感觉不止这个接口出现问题了
1681703594628652
复制链接去分享
说到底,技术不到家,还不上心。
千里眼阿亮
复制链接去分享
大数据时代,信息泄密事件是很正常
kinggood
复制链接去分享
就数据安全来说,其实人,才是最大的问题,其次才是其它因素。
_whiskey
复制链接去分享
以目前的技术,感觉这些行为更是内部风险没有防范好。在内部,大部分公司对敏感数据也没有进行加密,将秘钥放在运维管理者手中。
transcendtron
复制链接去分享
还是要从管理和策略上下功夫吧
1869835356849433
复制链接去分享
你好
猜猜w是谁
复制链接去分享
有图没链接,楼主不厚道。这种好事怎么能不分享一下呢
59+8
复制链接去分享
感觉不止这个接口出现问题了,只能说是疑似
github上可以弄私有库啊,只不过花钱....
对的,可以用私有库。不过大部分情况是没必要,公司自己那么多服务器可以放,不一定得放 GitHub 上。