首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
宝塔
V2EX  ›  程序员

数据库安全问题。除了内外网隔离,还有什么办法能保护好数据库的数据不外泄。

  •  
  •   iblislsy · 130 天前 · 1922 次点击
    这是一个创建于 130 天前的主题,其中的信息可能已经有所发展或是发生改变。

    数据库安全问题。除了内外网隔离,还有什么办法能保护好数据库的数据不外泄,或者能够对导出做 log 记录。主要业务数据都在 mysql 上。

    22 回复  |  直到 2019-07-09 22:23:52 +08:00
        1
    udev   130 天前
    数据库审计,实时监控 SQL 语句。
        2
    gaius   130 天前
    重要数据加密
        3
    iblislsy   130 天前
    @udev 意思是安排一个人员对 sql 进行实时检查?还是做成自动化检查报警之类的
        4
    iblislsy   130 天前
    @gaius 业务原因...加密可能会对分析工作和运营造成困扰
        5
    openbsd   130 天前
    DBA 请了吗 ?
        6
    iblislsy   130 天前
    @openbsd 没有哎,暂时没有这个坑位
        7
    akira   130 天前
    最坏的情况是整个库被人脱裤了,以此为出发点来考虑吧。
        8
    justin03   130 天前   ♥ 1
    密码存 hash,重要信息落地加密,传输加密
    db 开 audit log,所有 dba 操作都记录,log 导出(接近于实时)到其他平台,比如 splunk,定义 pattern 或者叫 user case,发现特定语句或者情况出现,人工检查。
        9
    iblislsy   130 天前
    @akira 是的,最怕脱裤,也怕有心人一点点脱
        10
    QQ2171775959   130 天前
    加密保护。限制一些 IP 登录。
        11
    cydleadingx   130 天前
    关键信息必须使用其他验证才可以查看,并做好验证记录,同事数据展示的地方设置水印。
    更甚的可以能查看数据的没有上网权限,没有 u 盘权限。并做好桌面监控,视频监控。
        12
    netnr   130 天前
    接触到的公务员的档案资料,也只是内网隔离:

    拷贝介质是光驱,内网保密资料不能以任何的形式拷贝到可连接公网的主机,很强的政策要求,我们做驻场开发,电脑接内网后,硬盘就拿不回来了
        13
    tomczhen   130 天前 via Android
    没钱,但是麻烦点无所谓的话,推荐直接把数据库硬盘拆下来放保险柜。
        14
    zjyl1994   130 天前
    额,开发库和线上库隔离,然后线上除了系统调用尽可能减少能碰到的人。在你们的系统里做审计
        15
    learningman   130 天前
    别存明文,专门用一台隔离的物理机做解密,硬件密钥
        16
    Takamine   130 天前
    堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡堡垒机。
        17
    xypty   130 天前
    @Takamine 666666666666666666666666666666
        18
    littlewing   130 天前
    白名单
    账号权限
    数据库监控
        19
    starsriver   130 天前 via Android
    不如全程 ssh,别泄漏密钥就行
        20
    l78zDeL0ve   130 天前
    安全是一个整体,如果你想防止数据库泄漏的事情发生,你可能得考虑很多,比如 sql 注入,数据库信息泄漏,服务器被黑。。。甚至是你们公司的保洁阿姨

    有钱的话,这个问题相对好解决
    没钱的话,试试用一些免费的 waf,不过如果你的数据价值很高的话,waf 也不是不能绕
        21
    hemixianyuan   130 天前
    还有不要用 pojie 的数据库客户端(例如 na**cat),前几天同事反映自己下的 pj 客户端一直在上传数据,没有配置同步或定时任务,细思极恐,后来都卸载了.....
        22
    opengps   130 天前 via Android
    请白帽子挖漏洞
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2172 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 43ms · UTC 03:16 · PVG 11:16 · LAX 19:16 · JFK 22:16
    ♥ Do have faith in what you're doing.