大表哥 helen 再次重现江湖，并且带来不断的惊喜~~~

据 FreeBuf 报道，8 月 28 日早上 6 点，暗网中文论坛中出现一个帖子，声称售卖华住旗下所有酒店数据，数据标价 8 个比特币，约等于人民币 37 万人民币，数据泄露涉及到 1.3 亿人的个人信息及开房记录。涉及大量个人入住酒店信息，主要为姓名、身份证信息、手机号、卡号等。而经过媒体报道之后，发帖人称要减价至 1 比特币出售。

传说数据的真实性已经得到了情报专家的技术验证，疑似华住公司程序员将数据库连接方式上传至 github 导致其泄露，目前还无法完全得知到细节。

涉及个人隐私信息，消息很快传开。一瞬间网络上炸开了锅，企业谈数据而自危，公众因泄露而恐慌。

大数据发展至今，都在谈治理，论价值，然而巨大的商业价值背后永远避免不了暗藏的危机。今年来从人事考试到交警数据的泄漏，越来越赤裸裸地将个人信息暴露于光天化日之下，数据安全的价值和隐患，已经透过企业将目标指向了个人。

我们不得不承认一件事情，因为技术和管理的疏漏，大数据时常扮演罪恶的爪牙。滴滴顺风车就是一个最直接的例子，对于司机给乘客打标签的事情，我们愿意相信企业的初衷是为了提高产品的社交友好性，但导致的结果却是个人信息暴露，被邪恶分子利用以至引发的惨绝人寰的事件。

技术的进步永远是中性的，有效的管理和约束才能让技术在不断的进步中推动社会发展。

下图来自 2017 年全球的数据泄露报告，图中展示了在金融企业数据泄露事件中，有 26% 是来自权限的不规范授予和使用。

内部员工导致的安全事件和权限滥用的比例高达 80% 以上。

而在所有的泄露数据中，黑客最关注的数据的类别就是个人信息相关的数据：

我们生活的世界并不安全。在传统的数据安全生态中（如下图），应用对数据库的访问安全上，主要是依靠网络防火墙及数据库安全策略进行管控；数据库自身软件漏洞主要靠定期安装数据库软件补丁进行修复；备份安全方面可以采用加密备份技术进行管控。

然而，在管理安全、数据交互安全方面目前还是主要靠制度管控，技术方面能做的管控力度非常薄弱，但企业的数据安全事故大部分都是发生在管理安全和数据交互上。

国内安全管理现状

目前，国内的企业在数据安全管理上还存在以下问题：

1、内部管控缺失：没有对内部人员进行有效的监控

2、数据中心管理不规范：内部人员权限混乱，大多数具有DBA的权限

3、非管理员的操作权限过大：系统开发人员和外包人员往往过度授权

由于内部人员管理混乱，对于企业的合法员工做非法事情，甚至违规的事情无法预知、无法及时发现，同时很难精确问责和处理。

在安全管理上不到位导致的问题

1、利用合法操作权限为部分人员提供违规服务（如超额贷款、违规优惠等）

2、利用合法操作权限将数据外泄

3、低权限账号通过非正常方法提权并进行违规操作

4、业务系统第三方运维人员非法开设业务账号并干扰业务正常运营。（如违规办理业务、盗取用户信息等）

5、网络及安全运维人员通过管理系统违规进行网络、主机、安全等设备配置（如非指定时间操作、非允许账号操作、对非允许产品操作等）

而随着技术的发展，新时代的数据安全问题也不断涌现：

1、传统的数据安全常常基于外围环境和应用的保护，而忽略核心数据的安全防范

2、安全不只是技术的事，制定规范和准则，是安全最基本的要求

3、随着云的发展，硬件资源的共享，基于外围的保护（比如存储、主机、网络）逐渐失效

4、跨界融合的大趋势，意味着核心数据会暴露给更多的行业

5、新技术带来海量的业务机会的同事，也带来更多的风险

面对传统的企业安全管控的缺失，以及新时代的数据问题，我们该如何保护企业的核心数据？基于云和恩墨多年的数据服务经验，我们提供了全方位的安全管控解决方案。

1、以技术填补管理的缺失

2、用制度为技术增加多重保障

以技术填补管理的缺失

针对内部管控的问题，大家有没有想过，如果人人都知道DBA账号的外泄是高风险的，那么为什么企业在运维中还会将DBA的账号给各种第三方人员及开发人员？

如果你恰好是个DBA，那么你肯定有过这样的经历：执行一条SQL语句，报错ORA-01031

通过oerr的提示为：权限不足。

但是为什么权限不足，操作需要什么权限，操作者还缺少哪些权限，并不知道。于是你尝试授权，再增加一个权限，还是ORA-01031，报错一点都没有变。那么你增加的权限到底有用？

不知道。

这就是为什么很多企业会过度创建和授予高权限账号的原因。在很多企业的内部，除了运维人员之外，开发人员，第三方服务人员，外包人员，甚至部分业务人员都有可能需要操作数据库。这时候授权就是一个很大的问题。

由于数据库本身的权限并不透明，加上操作人员并不专业，将数据库直接以高权限账号暴露给DBA以外的人员是非常危险的。

很多企业其实意识到了这一点，于是定期都会需要做安全整改。

各种重新配置和调整，但根本不能从根源上解决问题。一方面放出去的权限很难回收，另一方面，回收之后还是避免不了要重新授权。

针对以上问题，云和恩墨自主研发了云盾安全管控平台，为运维人员、开发人员、第三方管理和部分业务人员提供统一的数据访问接口，避免核心数据的暴露。对于权限的不透明问题，通过从平台的授权代替数据库授权，既不影响核心数据，又方便记录、分析和审计。

产品的核心功能如下：

通过云盾安全管控平台，能够帮助用户建立完善的角色与权限体系，根据规则做权限分析与校验，避免未授权操作，对数据库操作进行功能模块化封装，防范高危操作及敏感数据泄露，通过三权分离，避免过度授权，防范对真正记录数据的破坏，全局精准的审计提供完善的资料库，事后分析帮助企业优化管理。

用制度为技术增加多重保障

技术是一把双刃剑，要发挥它有价值的一面，必须要有相应的制度和规范的约束。针对企业内部合法人员的不合规操作，只有将其管理制度与技术规范结合，才能从根本上防范数据危害。

针对数据库的高危操作和误操作，如果是在合法的权限下，技术很难判断。在云盾的安全管理平台上，可以根据企业需要，对平台的人员的操作进行审批和复核，通过技术审核和人工审批的多重机制，杜绝对数据的破坏。

同时，我们建议企业在数据库的安全运维方面，遵循以下安全管理制度：

云盾安全管理平台，事前到事后，技术到管理，全面防范直接操作核心数据，敏感数据泄露，合法人员行为不受管控、无法追责，高危操作误操作等各类问题。做企业数据库最贴心的安全管家。

随着技术的日新月异，云时代的数据安全问题日益凸显，传统的外围保护方式逐渐失效要求企业必须从核心的数据保护开始。因为一切隐患的终极目标，都是数据。

在欧盟数据保护条例GDPR中规定，构建符合企业特点的运维安全体系，从制度的根本上解决安全问题。云和恩墨以安全顾问的方式介入企业安全咨询，作为安全方案的推动者和创造者，帮助企业建立安全体系。

同时我们会从企业的安全评估到安全方案的落地，提供端到端的服务，做数据库全生命周期的管理。从GDPR出发，构建符合国内安全现状和管理制度的数据安全体系。

业务损失可度量，数据价值无上限。保护企业的数据安全，就从最核心开始！

企业安全咨询，请联系云和恩墨安全小秘（微信号：sunx5126）!

资源下载

关注公众号：数据和云（OraNews）回复关键字获取

2018DTCC , 数据库大会PPT

DBALIFE ，“DBA 的一天”海报

DBA04 ，DBA 手记4 电子书

122ARCH ，Oracle 12.2体系结构图

2017OOW ，Oracle OpenWorld 资料

PRELECTION ，大讲堂讲师课程资料

推荐阅读

GDPR带来的数据安全思考

Bad Rabbit引发的企业数据安全的思考和方案

2017，那些我们一起删库跑路的日子

如何避免成为新技术背后的奶嘴一族

论DBA的自我修养-从删库跑路到删库获刑

数据库时间出现0000-00-00，难道我穿越了