据澎湃新闻2月15日消息,2月13日,GDI基金会荷兰安全研究员Victor Gevers在推特上爆料,中国某公司发生大规模数据泄露事件。Gevers表示,该公司所掌握的数百万人的跟踪数据可供任何人访问,其中包含超过256万人的个人信息,例如身份证号码、身份证发行日期、性别、国家、住址、生日、照片、雇主和过去24小时内的位置,大约有668万条记录。Gevers称,该公司的数据库从2018年7月开始就处于任何人都可以访问的状态。
经仔细阅读分析该案例后,发现常易被人忽视的日常安全运营之安全基线工作即能轻松预防和避免该类事件的发生,详细分析如下:
一、案例成因分析
1. 背景信息
2. 数据泄露原因技术分析
从Gevers在推特上发的截图和描述可以初步分析如下,该公司使用MongoDB数据库存放人脸识别等个人敏感数据,该数据库实例服务使用MongnDB安装缺省端口27017,该服务端口可由互联网直接访问,该数据库未启用身份认证机制,即允许任何人访问。
事件产生原因:该公司对存放人脸识别敏感数据的MongoDB数据库使用了出场安装缺省配置,未进行日常安全运营中的安全基线工作,存在严重安全漏洞导致了此事件的发生。
二、安全运营之安全基线工作的预防能力介绍
在日常安全运营中的安全基线工作中,企业的安全团队会针对公司使用的各种系统、软件和数据库开发和发布相应的安全基线标准,在系统上线前进行部署和合规性检查,经检查只有在与公司的安全基线标准符合的前提下才允许上线,这样就可以避免由于各种系统、软件和数据库由于使用厂家出厂不安全缺省配置导致的安全漏洞问题,有效地降低和控制安全风险。
下面针对该案例摘录部分MangoDB安全基线内容如下:
1. 端到端安全架构设计
MongoDB端到端安全架构设计如下图所示,从人员、过程和产品(技术)三个维度进行纵深安全体系防护,分别通过访问控制、加密和审计来实施。
网络安全架构部署参照下图,通过两层防火墙将WEB/应用 服务器 和MongoDB数据库服务器分别隔离在不同的两个DMZ类进行网络区域隔离和分层网络访问控制,数据库服务器通过防火墙访问规则控制只能由DMZ1区域内的应用服务器访问,避免了将其直接暴露给互联网的安全风险问题。
2. 启用MongoDB数据库身份认证功能
身份认证功能状态检查:
如果身份认证功能已启用,则Auth的设置值为“True”。
激活身份认证功能步骤:
(1)启动未激活身份认证功能的MongoDB数据库实例;
(2)创建数据库系统管理员用户,并确保设置的口令符合组织口令策略的要求;
(3)重启已激活身份认证功能的MongoDB数据库实例。
3. 确保MongoDB数据库实例只在授权的接口上侦听网络连接
当前数据库实例网络侦听状态检查:
检查MongoDB配置文件;
检查相关网络访问控制设置;
配置数据库实例侦听在指定网络接口并用防火墙规则进行严格访问控制,应只允许DMZ区域里的应用服务器连接,下面以主机防火墙iptables示例配置如下。
如上对比分析可以看出,如果企业在日常安全运营中,认真严格地按照MongoDB数据库安全基线标准执行的话,就能够有效地预防和避免类似大数据泄露案例的发生。
Reference:
软件工程专业属于什么类别的专业?
软件工程专业属于相关专业:计算机科学与技术。 计算机科学与技术(Computer Science and Technology)是国家一级学科,下设信息安全、软件工程、计算机软件与理论、计算机系统结构、计算机应用技术、计算机技术等专业。 主修大数据技术导论、数据采集与处理实践(Python)、Web前/后端开发、统计与数据分析、机器学习、高级数据库系统、数据可视化、云计算技术、人工智能、自然语言处理。 媒体大数据案例分析、网络空间安全、计算机网络、数据结构、软件工程、操作系统等课程,以及大数据方向系列实验,并完成程序设计、数据分析、机器学习、数据可视化、大数据综合应用实践、专业实训和毕业设计等多种实践环节。 扩展资料就业岗位1、Java方向:JAVA初级程序员、JAVA计算程序员 、 JAVA工程师 、J2EE系统工程师等。 2、方向: 程序员网站开发工程师 工程师等。 3、其它方向: 简单的管理信息系统开发和维护人员 、网页制作和客户端脚本程序编写人员 、初级数据库管理和维护人员 、数据库开发工程师 、系统分析设计工程 、软件项目配置管理员 、文档编写工程师。 参考资料来源:网络百科-计算机科学与技术
北大青鸟可以学什么内容
北大青鸟理论与实践相结合,我觉得在那里学习挺不错的,听说学习网络工程师比较好,网络工程师的就业机会比软件工程师多,可在数据库管理、WEB开发、IT销售、互联网程序设计、数据库应用、网络开发和客户支持等领域发展。 而且,薪酬待遇也不错,统计数据显示,网络技术人员平均月薪约2000~3000元,高的则在5000元以上。
物流系统设计六要素PQRSTC分别指什么?
所谓物流系统化问题就是把物流的各个环节(子系统)联系起来看成一个物流大系统进行整体设计和管理,以最佳的结构,最好的配合,充分发挥其系统功能,效率,实现整体物流合理化。 设计要素:PQRSTC1.所研究的商品(product)2.商品的数量(quantity)3.商品的流向(route)4.服务水平(service)5.时间(time)6.物流成本(cost)这个是官方的解释,个人认为这是很理论化的东西,实际应用性不强,几个词像是拼凑起来的,或者是从国外哪个地方借的。 我个人倾向于以下六点:1、行业特点2、产品特性3、流通方式及规模4、系统参与方5、费用核算6、流通中的时效性
发表评论