V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
iblislsy
V2EX  ›  程序员

数据库安全问题。除了内外网隔离,还有什么办法能保护好数据库的数据不外泄。

  •  
  •   iblislsy · 2019-07-09 14:02:30 +08:00 · 3603 次点击
    这是一个创建于 1945 天前的主题,其中的信息可能已经有所发展或是发生改变。

    数据库安全问题。除了内外网隔离,还有什么办法能保护好数据库的数据不外泄,或者能够对导出做 log 记录。主要业务数据都在 mysql 上。

    22 条回复    2019-07-09 22:23:52 +08:00
    udev
        1
    udev  
       2019-07-09 14:06:45 +08:00
    数据库审计,实时监控 SQL 语句。
    gaius
        2
    gaius  
       2019-07-09 14:07:52 +08:00
    重要数据加密
    iblislsy
        3
    iblislsy  
    OP
       2019-07-09 14:09:46 +08:00
    @udev 意思是安排一个人员对 sql 进行实时检查?还是做成自动化检查报警之类的
    iblislsy
        4
    iblislsy  
    OP
       2019-07-09 14:10:23 +08:00
    @gaius 业务原因...加密可能会对分析工作和运营造成困扰
    openbsd
        5
    openbsd  
       2019-07-09 14:11:08 +08:00
    DBA 请了吗 ?
    iblislsy
        6
    iblislsy  
    OP
       2019-07-09 14:11:49 +08:00
    @openbsd 没有哎,暂时没有这个坑位
    akira
        7
    akira  
       2019-07-09 14:11:58 +08:00
    最坏的情况是整个库被人脱裤了,以此为出发点来考虑吧。
    justin03
        8
    justin03  
       2019-07-09 14:12:36 +08:00   ❤️ 1
    密码存 hash,重要信息落地加密,传输加密
    db 开 audit log,所有 dba 操作都记录,log 导出(接近于实时)到其他平台,比如 splunk,定义 pattern 或者叫 user case,发现特定语句或者情况出现,人工检查。
    iblislsy
        9
    iblislsy  
    OP
       2019-07-09 14:14:39 +08:00
    @akira 是的,最怕脱裤,也怕有心人一点点脱
    QQ2171775959
        10
    QQ2171775959  
       2019-07-09 14:18:25 +08:00
    加密保护。限制一些 IP 登录。
    cydleadingx
        11
    cydleadingx  
       2019-07-09 14:20:51 +08:00
    关键信息必须使用其他验证才可以查看,并做好验证记录,同事数据展示的地方设置水印。
    更甚的可以能查看数据的没有上网权限,没有 u 盘权限。并做好桌面监控,视频监控。
    netnr
        12
    netnr  
       2019-07-09 14:32:27 +08:00
    接触到的公务员的档案资料,也只是内网隔离:

    拷贝介质是光驱,内网保密资料不能以任何的形式拷贝到可连接公网的主机,很强的政策要求,我们做驻场开发,电脑接内网后,硬盘就拿不回来了
    tomczhen
        13
    tomczhen  
       2019-07-09 14:42:40 +08:00 via Android
    没钱,但是麻烦点无所谓的话,推荐直接把数据库硬盘拆下来放保险柜。
    zjyl1994
        14
    zjyl1994  
       2019-07-09 15:58:17 +08:00
    额,开发库和线上库隔离,然后线上除了系统调用尽可能减少能碰到的人。在你们的系统里做审计
    learningman
        15
    learningman  
       2019-07-09 16:13:39 +08:00
    别存明文,专门用一台隔离的物理机做解密,硬件密钥
    Takamine
        16
    Takamine  
       2019-07-09 17:22:29 +08:00
    堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡垒机。
    xypty
        17
    xypty  
       2019-07-09 17:50:50 +08:00
    @Takamine 666666666666666666666666666666
    littlewing
        18
    littlewing  
       2019-07-09 17:56:50 +08:00
    白名单
    账号权限
    数据库监控
    starsriver
        19
    starsriver  
       2019-07-09 18:05:20 +08:00 via Android
    不如全程 ssh,别泄漏密钥就行
    l78zDeL0ve
        20
    l78zDeL0ve  
       2019-07-09 21:22:03 +08:00
    安全是一个整体,如果你想防止数据库泄漏的事情发生,你可能得考虑很多,比如 sql 注入,数据库信息泄漏,服务器被黑。。。甚至是你们公司的保洁阿姨

    有钱的话,这个问题相对好解决
    没钱的话,试试用一些免费的 waf,不过如果你的数据价值很高的话,waf 也不是不能绕
    hemixianyuan
        21
    hemixianyuan  
       2019-07-09 21:22:58 +08:00
    还有不要用 pojie 的数据库客户端(例如 na**cat),前几天同事反映自己下的 pj 客户端一直在上传数据,没有配置同步或定时任务,细思极恐,后来都卸载了.....
    opengps
        22
    opengps  
       2019-07-09 22:23:52 +08:00 via Android
    请白帽子挖漏洞
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5800 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 03:34 · PVG 11:34 · LAX 19:34 · JFK 22:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.