您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

大型 IT 公司如何防止运维偷窥和篡改数据

时间:2019-07-05 14:59:48  来源:  作者:

问题:像 BAT 这类公司,以及各种银行,金融行业的 IT 运维,他们有着服务器的最高权限,那么这种行业如何对运维的操作权限进行审计和监管?

以下为知乎用户@张成的回答:

曾经在AppAnnie做过一段时间运维,分享一下AppAnnie的做法。

先说一些一些背景信息:AppAnnie有两个相关的团队,一个是运维,一个是安全。从线上操作来说,运维和安全的权限是一样的。研发团队大多数人都没有访问生产环境主机的权限,只有极个别Leader有权访问,但是每次访问都需要安全组授权,一般只有在处理紧急问题时才会允许。

接下来讲一些具体的措施或者操作方法。

1、每个人(运维&安全)都使用个人账号登陆服务器,不允许使用root登陆。线上的所有命令都会被记录到系统日志中,包括通过sudo执行的命令,SUDO_USER也会被记录下来,因此主机上执行的所有命令,都可以找到是谁在什么时间做的。

所有主机上安装了ossec,监控命令日志,对于所有可能的敏感操作(如sudo、rm、对某些路径的访问等等),都会立刻发邮件到安全组+运维组的列表里。因此,运维和安全组里的任何人执行的命令,都是时刻接受两个组所有人的监督的。除非你能找到漏洞绕过这个命令日志监控,否则很难偷偷的做一些事情。

2、数据库的主机有着更严格的安全策略。上面的防火墙设置了按会话流量切断连接的的规则,一个SSH会话的流量超过100K之后就会强制断开,因此,就算你想select *,然后手动从终端上复制数据出来,能得到的数据量都非常有限(更何况你执行的所有命令都有集体监督)。

3、研发人员有时候确实需要访问一些生产环境数据的,需要向安全组申请。安全组同意后,由运维组写脚本dump数据,这个脚本中会在dump数据时,将敏感信息隐藏掉(比如替换成无意义的随机字符),这个脚本给安全组审查同意后,再去生产环境执行。最后把dump出来的数据拷贝回来。(拷贝时,会在防火墙上开一个临时规则。)

总结的说,有这几点:

1、制度上最小权限原则。虽然你有root(sudo)权限,但你不允许执行未经许可的命令,而且除非必要,不允许查看敏感数据。比如前面讲的导出数据库中的数据时,运维其实也是看不到生产环境中的敏感数据的。

2、相互监督。我们当时运维+安全+CTO共6个人,6个人都会接收命令日志告警(但CTO没有生产环境的账号,他接收告警纯粹是监督)。如果要做坏事,除非这6个人都达成一致,一起干。如果真的到这个局面了,那基本上就是CEO被架空了,这帮人要携数据跑路了。

AppAnnie这样做的代价是,凡是与安全相关的流程都很冗长,一件事要拖很久。除了上述提到的事情,平时研发团队的代码里如果要用到加密,那么加密的算法、参数也都是要安全组审查的,没通过审查是不能上线的。代码里所有的数据库操作也都会有审查。

而当时的安全组其实就一个人(其他都是实习生,没有决定权,这个人曾经在某银行做安全),这个人经常在世界各地的多个办公室之间跑,因此常常一个审查要等上一周。但是公司层面愿意为了安全而妥协上线效率。

我觉得,企业文化中的安全意识非常重要。国内的绝大多数公司,并没有这样的安全意识,大家的安全仅仅是建立在对人的信任之上,这是很可怕的。而且,在安全和更高的运作效率上,国内大多数企业是倾向于后者的,大家嘴上都说安全很重要,但实际上在大家的内心中,安全与我有何干?又不算KPI的。



Tags:数据   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
遇到问题:相信很多人iPhone用了久,都发现了一个问题:打开 iphone设置->通用->iPhone存储空间->其他,你会惊讶的发现,这里所占空间已经几十个GB了。我自己的iPhone 6S 用了4年的时...【详细内容】
2021-11-24  Tags: 数据  点击:(30)  评论:(0)  加入收藏
很多人已经没有特点,这是大数据营销中不可或缺的一个内容,但对于消费者来说却是很难把握的词汇之一,理解起来也比较难。什么是精准运营商大数据?精准运营商的主要优势在于:其产品...【详细内容】
2021-03-29  Tags: 数据  点击:(150)  评论:(0)  加入收藏
数据清洗 (data cleaning) 是机器学习和深度学习进入算法步前的一项重要任务,我平时比较习惯使用的 7 个步骤,总结如下: Step1 : read csv Step2 : preview data Step3: check...【详细内容】
2020-08-07  Tags: 数据  点击:(54)  评论:(0)  加入收藏
受疫情影响,今年的毕业生群体面临毕业、生活的双重迷茫。那么,毕业生们都去了哪些城市?在租住方面又有哪些新选择呢?日前,自如发布6月份高校毕业生租赁数据。数据显示,疫情下,新一...【详细内容】
2020-07-26  Tags: 数据  点击:(121)  评论:(0)  加入收藏
来源:人民日报前五月我国移动互联网累计流量超六百亿GB网络高速路 发展强支撑(新数据 新看点)7月3日,上海大学体育馆,一架搭载5G通信技术模组的无人机在空中盘旋。这是上海大学2...【详细内容】
2020-07-12  Tags: 数据  点击:(52)  评论:(0)  加入收藏
一块钱能买到上万播放量数据有些直播间貌似繁荣 奔涌的却是虚假流量当前,直播带货风头正劲,动辄几千万甚至上亿的成交额让人瞠目。惊讶的同时,有民众也怀疑,这些数据是真的吗?近...【详细内容】
2020-06-24  Tags: 数据  点击:(37)  评论:(0)  加入收藏
据北京卫健委数据, 6月17日0时至24时,北京新增报告本地确诊病例21例、疑似病例3例、无症状感染者3例。17日北京新增本地确诊病例数占全国当日新增本土确诊数的87.50%。 自6月1...【详细内容】
2020-06-18  Tags: 数据  点击:(49)  评论:(0)  加入收藏
突如其来的新冠肺炎疫情,让一些要去医院复诊的患者左右为难:药品要续上不能断,去医院又怕交叉感染,怎么办?江西64岁的帕金森病患者宋女士正为此事着急。此...【详细内容】
2020-06-10  Tags: 数据  点击:(28)  评论:(0)  加入收藏
由加密资产数据服务方CMC上交易所排名变化引发的币安和火币之争,在周末热闹了两天。讨论的焦点从最初币安收购CMC后如何保证数据客观性,发展到交易所排名标准、链上交易量...【详细内容】
2020-05-19  Tags: 数据  点击:(100)  评论:(0)  加入收藏
MySQL 导出数据MySQL中你可以使用SELECT...INTO OUTFILE语句来简单的导出数据到文本文件上。 使用 SELECT ... INTO OUTFILE 语句导出数据以下实例中我们将数据表 runoob_tb...【详细内容】
2019-12-19  Tags: 数据  点击:(79)  评论:(0)  加入收藏
▌简易百科推荐
众所周知,Windows系统流氓软件众多,其中不乏出身大厂的产品。这些带有流氓性质的软件,很多都会偷偷扫描系统数据,读取用户文件,造成电脑卡顿拖慢不说,还严重侵害了个人隐私,造成巨...【详细内容】
2021-12-06  趣玩APPS    Tags:流氓软件   点击:(16)  评论:(0)  加入收藏
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复私信我获取网络安全学习资料 1.2000多本网络安全系列电子书 2.网络安全标...【详细内容】
2021-11-26  IT野涵    Tags:sql注入   点击:(21)  评论:(0)  加入收藏
互联网时代,不论是个人还是组织,都将数据视为一项重要的资产。为了便于存储、管理,企业常常会为各项数据建立一个数据库,如果没有做好安全风险防护,一旦数据库被攻占,企业将迎来很...【详细内容】
2021-10-28  快快网络   企鹅号  Tags:数据库   点击:(50)  评论:(0)  加入收藏
前言(可能思路狭隘,有缺有错,师傅们多带带)【查看资料】Author: 0ne本篇文章数据来源于18+省市级别HVV,90+单位失陷报告。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告...【详细内容】
2021-10-28  IT野涵    Tags:缺口   点击:(46)  评论:(0)  加入收藏
本人也是小白一枚,大佬请绕过,这个其实是六月份的时候做的,那时候想多点实战经验,就直接用谷歌搜索找了一些网站,这个是其中一个1、目标网站 2、发现有WAF防护 3、判断存在注入...【详细内容】
2021-10-19    博客园  Tags:SQL注入   点击:(52)  评论:(0)  加入收藏
一 前言本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案...【详细内容】
2021-09-17  woaker    Tags:SQL注入漏洞   点击:(67)  评论:(0)  加入收藏
前言本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在...【详细内容】
2021-08-26  合天网安实验室    Tags:sql注入   点击:(60)  评论:(0)  加入收藏
“放纵自己的欲望是最大的祸害,窥探别人的隐私是最大的罪恶,不知自己的过失是最大的病痛”。 上文咱们知道了目前互联网的数据安全存在隐患,数据安全的问题,每天都在发生,只不过...【详细内容】
2021-08-13  小陶子矿工    Tags:IPFS   点击:(79)  评论:(0)  加入收藏
前言最近挖edusrc的时候遇到有注入点但是有waf绕不过,头疼。 可以看到还是phpstudy建站的,太熟悉了这个,不知道这个什么waf各位师傅知道的可以评论一下,所以写这篇文章是供各位...【详细内容】
2021-08-13  IT影子    Tags:sql注入   点击:(66)  评论:(0)  加入收藏
1. 使用 Burpsuite: 1. Capture the request using burpsuite. 2. Send the request to burp scanner. 3. Proceed with active scan. 4. Once the scan is finished, l...【详细内容】
2021-08-04  李志宽    Tags:SQL注入   点击:(74)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条