这是一个创建于 2287 天前的主题,其中的信息可能已经有所发展或是发生改变。
数据库安全问题。除了内外网隔离,还有什么办法能保护好数据库的数据不外泄,或者能够对导出做 log 记录。主要业务数据都在 mysql 上。
 | 1 udev 2019-07-09 14:06:45 +08:00 数据库审计,实时监控 SQL 语句。 |
 | 2 gaius 2019-07-09 14:07:52 +08:00 重要数据加密 |
 | 5 openbsd 2019-07-09 14:11:08 +08:00 DBA 请了吗 ? |
 | 7 akira 2019-07-09 14:1:58 +08:00 最坏的情况是整个库被人脱裤了,以此为出发点来考虑吧。 |
 | 8 justin03 2019-07-09 14:12:36 +08:00  1 密码存 hash,重要信息落地加密,传输加密 db 开 audit log,所有 dba 操作都记录,log 导出(接近于实时)到其他平台,比如 splunk,定义 pattern 或者叫 user case,发现特定语句或者情况出现,人工检查。 |
 | 10 QQ2171775959 2019-07-09 14:18:25 +08:00 加密保护。限制一些 IP 登录。 |
 | 11 cydleadingx 2019-07-09 14:20:51 +08:00 关键信息必须使用其他验证才可以查看,并做好验证记录,同事数据展示的地方设置水印。 更甚的可以能查看数据的没有上网权限,没有 u 盘权限。并做好桌面监控,视频监控。 |
 | 12 netnr 2019-07-09 14:32:27 +08:00 接触到的公务员的档案资料,也只是内网隔离: 拷贝介质是光驱,内网保密资料不能以任何的形式拷贝到可连接公网的主机,很强的政策要求,我们做驻场开发,电脑接内网后,硬盘就拿不回来了 |
 | 13 tomczhen 2019-07-09 14:42:40 +08:00 via Android 没钱,但是麻烦点无所谓的话,推荐直接把数据库硬盘拆下来放保险柜。 |
 | 14 zjyl1994 2019-07-09 15:58:17 +08:00 额,开发库和线上库隔离,然后线上除了系统调用尽可能减少能碰到的人。在你们的系统里做审计 |
 | 15 learningman 2019-07-09 16:13:39 +08:00 别存明文,专门用一台隔离的物理机做解密,硬件密钥 |
 | 16 Takamine 2019-07-09 17:22:29 +08:00 堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡垒机。 |
 | 18 littlewing 2019-07-09 17:56:50 +08:00 白名单 账号权限 数据库监控 |
 | 19 starsriver 2019-07-09 18:05:20 +08:00 via Android 不如全程 ssh,别泄漏密钥就行 |
 | 20 l78zDeL0ve 2019-07-09 21:22:03 +08:00 安全是一个整体,如果你想防止数据库泄漏的事情发生,你可能得考虑很多,比如 sql 注入,数据库信息泄漏,服务器被黑。。。甚至是你们公司的保洁阿姨 有钱的话,这个问题相对好解决 没钱的话,试试用一些免费的 waf,不过如果你的数据价值很高的话,waf 也不是不能绕 |
 | 21 hemixianyuan 2019-07-09 21:22:58 +08:00 还有不要用 pojie 的数据库客户端(例如 na**cat),前几天同事反映自己下的 pj 客户端一直在上传数据,没有配置同步或定时任务,细思极恐,后来都卸载了..... |
 | 22 opengps 2019-07-09 22:23:52 +08:00 via Android 请白帽子挖漏洞 |
 | 23 Trinity888 2 小时 54 分钟前 对数据库数据、执行了哪些指令都可以监测到。https://mp.weixin.qq.com/s/feTUn5Hv0Mdxxl--JiLk6w 数据库代理案例审计,这个可以用。实现模式:外网只与代理系统 Next-DBM 连接,在这个系统中可以统一管理所有连接某数据库的用户,分配权限、可以随时启用及关闭。 这些用户可以通过分配给自己的账号,直接用 MySQL 客户端工具去连接内网的数据库。代理系统中有所有用户操作的指令的记录审计 |
Select Language