这是一个创建于 1945 天前的主题,其中的信息可能已经有所发展或是发生改变。
数据库安全问题。除了内外网隔离,还有什么办法能保护好数据库的数据不外泄,或者能够对导出做 log 记录。主要业务数据都在 mysql 上。
 |
1
udev 2019-07-09 14:06:45 +08:00
数据库审计,实时监控 SQL 语句。
|
 |
2
gaius 2019-07-09 14:07:52 +08:00
重要数据加密
|
 |
5
openbsd 2019-07-09 14:11:08 +08:00
DBA 请了吗 ?
|
 |
7
akira 2019-07-09 14:11:58 +08:00
最坏的情况是整个库被人脱裤了,以此为出发点来考虑吧。
|
 |
8
justin03 2019-07-09 14:12:36 +08:00  1
密码存 hash,重要信息落地加密,传输加密
db 开 audit log,所有 dba 操作都记录,log 导出(接近于实时)到其他平台,比如 splunk,定义 pattern 或者叫 user case,发现特定语句或者情况出现,人工检查。 |
 |
10
QQ2171775959 2019-07-09 14:18:25 +08:00
加密保护。限制一些 IP 登录。
|
 |
11
cydleadingx 2019-07-09 14:20:51 +08:00
关键信息必须使用其他验证才可以查看,并做好验证记录,同事数据展示的地方设置水印。
更甚的可以能查看数据的没有上网权限,没有 u 盘权限。并做好桌面监控,视频监控。 |
 |
12
netnr 2019-07-09 14:32:27 +08:00
接触到的公务员的档案资料,也只是内网隔离:
拷贝介质是光驱,内网保密资料不能以任何的形式拷贝到可连接公网的主机,很强的政策要求,我们做驻场开发,电脑接内网后,硬盘就拿不回来了 |
 |
13
tomczhen 2019-07-09 14:42:40 +08:00 via Android
没钱,但是麻烦点无所谓的话,推荐直接把数据库硬盘拆下来放保险柜。
|
 |
14
zjyl1994 2019-07-09 15:58:17 +08:00
额,开发库和线上库隔离,然后线上除了系统调用尽可能减少能碰到的人。在你们的系统里做审计
|
 |
15
learningman 2019-07-09 16:13:39 +08:00
别存明文,专门用一台隔离的物理机做解密,硬件密钥
|
 |
16
Takamine 2019-07-09 17:22:29 +08:00
堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡垒机。
|
 |
18
littlewing 2019-07-09 17:56:50 +08:00
白名单
账号权限 数据库监控 |
 |
19
starsriver 2019-07-09 18:05:20 +08:00 via Android
不如全程 ssh,别泄漏密钥就行
|
 |
20
l78zDeL0ve 2019-07-09 21:22:03 +08:00
安全是一个整体,如果你想防止数据库泄漏的事情发生,你可能得考虑很多,比如 sql 注入,数据库信息泄漏,服务器被黑。。。甚至是你们公司的保洁阿姨
有钱的话,这个问题相对好解决 没钱的话,试试用一些免费的 waf,不过如果你的数据价值很高的话,waf 也不是不能绕 |
 |
21
hemixianyuan 2019-07-09 21:22:58 +08:00
还有不要用 pojie 的数据库客户端(例如 na**cat),前几天同事反映自己下的 pj 客户端一直在上传数据,没有配置同步或定时任务,细思极恐,后来都卸载了.....
|
 |
22
opengps 2019-07-09 22:23:52 +08:00 via Android
请白帽子挖漏洞
|
Select Language