国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當(dāng)前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

一則數(shù)據(jù)泄露案例帶來的安全警示

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時間:2020-10-23 瀏覽次數(shù):

據(jù)澎湃新聞2月15日消息,2月13日,GDI基金會荷蘭安全研究員Victor Gevers在推特上爆料,中國某公司發(fā)生大規(guī)模數(shù)據(jù)泄露事件。

Gevers表示,該公司所掌握的數(shù)百萬人的跟蹤數(shù)據(jù)可供任何人訪問,其中包含超過256萬人的個人信息,例如身份證號碼、身份證發(fā)行日期、性別、國家、住址、生日、照片、雇主和過去24小時內(nèi)的位置,大約有668萬條記錄。

Gevers稱,該公司的數(shù)據(jù)庫從2018年7月開始就處于任何人都可以訪問的狀態(tài)。

經(jīng)仔細(xì)閱讀分析該案例后,發(fā)現(xiàn)常易被人忽視的日常安全運(yùn)營之安全基線工作即能輕松預(yù)防和避免該類事件的發(fā)生,詳細(xì)分析如下:

一、案例成因分析

1. 背景信息

2. 數(shù)據(jù)泄露原因技術(shù)分析從Gevers在推特上發(fā)的截圖和描述可以初步分析如下,該公司使用MongoDB數(shù)據(jù)庫存放人臉識別等個人敏感數(shù)據(jù),該數(shù)據(jù)庫實(shí)例服務(wù)使用MongnDB安裝缺省端口27017,該服務(wù)端口可由互聯(lián)網(wǎng)直接訪問,該數(shù)據(jù)庫未啟用身份認(rèn)證機(jī)制,即允許任何人訪問。

事件產(chǎn)生原因:該公司對存放人臉識別敏感數(shù)據(jù)的MongoDB數(shù)據(jù)庫使用了出場安裝缺省配置,未進(jìn)行日常安全運(yùn)營中的安全基線工作,存在嚴(yán)重安全漏洞導(dǎo)致了此事件的發(fā)生。

二、安全運(yùn)營之安全基線工作的預(yù)防能力介紹在日常安全運(yùn)營中的安全基線工作中,企業(yè)的安全團(tuán)隊(duì)會針對公司使用的各種系統(tǒng)、軟件和數(shù)據(jù)庫開發(fā)和發(fā)布相應(yīng)的安全基線標(biāo)準(zhǔn),在系統(tǒng)上線前進(jìn)行部署和合規(guī)性檢查,經(jīng)檢查只有在與公司的安全基線標(biāo)準(zhǔn)符合的前提下才允許上線,這樣就可以避免由于各種系統(tǒng)、軟件和數(shù)據(jù)庫由于使用廠家出廠不安全缺省配置導(dǎo)致的安全漏洞問題,有效地降低和控制安全風(fēng)險(xiǎn)。

下面針對該案例摘錄部分MangoDB安全基線內(nèi)容如下:

1. 端到端安全架構(gòu)設(shè)計(jì)MongoDB端到端安全架構(gòu)設(shè)計(jì)如下圖所示,從人員、過程和產(chǎn)品(技術(shù))三個維度進(jìn)行縱深安全體系防護(hù),分別通過訪問控制、加密和審計(jì)來實(shí)施。

網(wǎng)絡(luò)安全架構(gòu)部署參照下圖,通過兩層防火墻將WEB/應(yīng)用服務(wù)器和MongoDB數(shù)據(jù)庫服務(wù)器分別隔離在不同的兩個DMZ類進(jìn)行網(wǎng)絡(luò)區(qū)域隔離和分層網(wǎng)絡(luò)訪問控制,數(shù)據(jù)庫服務(wù)器通過防火墻訪問規(guī)則控制只能由DMZ1區(qū)域內(nèi)的應(yīng)用服務(wù)器訪問,避免了將其直接暴露給互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)問題。

2. 啟用MongoDB數(shù)據(jù)庫身份認(rèn)證功能身份認(rèn)證功能狀態(tài)檢查:cat/etc/mongod.conf|grep“Auth=”如果身份認(rèn)證功能已啟用,則Auth的設(shè)置值為“True”。

激活身份認(rèn)證功能步驟:

(1)啟動未激活身份認(rèn)證功能的MongoDB數(shù)據(jù)庫實(shí)例;mongod--port27017--dbpath/data/db1

(2)創(chuàng)建數(shù)據(jù)庫系統(tǒng)管理員用戶,并確保設(shè)置的口令符合組織口令策略的要求;useadmindb.createUser({user:"siteUserAdmin",pwd:"password",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})

(3)重啟已激活身份認(rèn)證功能的MongoDB數(shù)據(jù)庫實(shí)例。

mongod--auth--config/etc/mongod.conf3. 確保MongoDB數(shù)據(jù)庫實(shí)例只在授權(quán)的接口上偵聽網(wǎng)絡(luò)連接當(dāng)前數(shù)據(jù)庫實(shí)例網(wǎng)絡(luò)偵聽狀態(tài)檢查:檢查MongoDB配置文件;cat/etc/mongod.conf|grep–A12“net”|grep“bindIp“檢查相關(guān)網(wǎng)絡(luò)訪問控制設(shè)置;iptables–L配置數(shù)據(jù)庫實(shí)例偵聽在指定網(wǎng)絡(luò)接口并用防火墻規(guī)則進(jìn)行嚴(yán)格訪問控制,應(yīng)只允許DMZ區(qū)域里的應(yīng)用服務(wù)器連接,下面以主機(jī)防火墻iptables示例配置如下。

iptables-AINPUT-s<ip-address>-ptcp--destination-port27017-mstate--stateNEW,ESTABLISHED-jACCEPTiptables-AOUTPUT-d<ip-address>-ptcp--source-port27017-mstate--stateESTABLISHED-jACCEPT如上對比分析可以看出,如果企業(yè)在日常安全運(yùn)營中,認(rèn)真嚴(yán)格地按照MongoDB數(shù)據(jù)庫安全基線標(biāo)準(zhǔn)執(zhí)行的話,就能夠有效地預(yù)防和避免類似大數(shù)據(jù)泄露案例的發(fā)生。

作者:【深圳維創(chuàng)推薦】加密軟件--為企業(yè)數(shù)據(jù)安全保駕護(hù)航!輕松實(shí)現(xiàn)企業(yè)內(nèi)部文件自動加密,加密后的文件在企業(yè)內(nèi)部正常使用,未經(jīng)許可私自拷貝外發(fā)出去,都將無法打開使用!對于發(fā)送給第三方的文件可實(shí)現(xiàn)控制打開時間,打開次數(shù)等防泄密參數(shù)!同時可設(shè)置對員工電腦文件自動備份,防止惡意刪除造成核心數(shù)據(jù)的遺失!從源頭防止企業(yè)核心文件被外泄!

【本文關(guān)鍵詞】:加密軟件,文件加密,文檔加密,圖紙加密軟件,防泄密軟件,CAD加密軟件,文件外發(fā)加密


  • 上一篇:一次數(shù)據(jù)泄露事件造成的重大損失
  • 下一篇:315過后,我們的隱私數(shù)據(jù)誰來維護(hù)
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 国产四虎成人在线观看视频一区 | 日韩aaa| 91无码一区人妻A片蜜 | 91丨九色风韵老熟女 | 久久九九五月天综合伊人 | 亚洲色AV一区二区 | 久久中文娱乐网 | 精品国产一区二区三区2021 | 天天操天天干夜夜嗨 | 麻豆国产三级毛片 | 国产成人做爰A片喷水三級白洁 | 无码专区XXX无码专区 | 亚洲成人电影在线三区 | 三级特黄60分钟在线播放观看 | 福利视频链接导航 | 欧洲专线二区三区丝瓜 | 蜜月精品久久综合一区 | 囯产偷抇 | 日韩午夜福利理论片5.7主演 | 人妻蜜桃久久AV一区 | 久久久精品人妻 | 91亚洲精品国偷拍自产在线观看 | 午夜AV福利色导航 | 麻豆精品无套自产自拍 | 国产精品2025综合在线 | 国产精品日本无码久久66999 | 制服 师生 亚洲 无码 日韩 | 久久人妻熟女一区二区 | 国产午夜精品理论片A级A片 | 成人黄片三秒进入 | 亚洲另类刺激 | 久久精品91| 精品一区二区国产 | 久久久Av无码 | 狠狠操欧美熟女 | 午夜在线视频亚洲 | 黃色A片三級三級三級免费看大妮 | 成人AV电影免费在线观看 | 国产精品秘 | 亚洲AV在线一区 | AV牲区|