摘要： 前段時間，某酒店集團數據泄露引起軒然大波，泄露的數據中包含了用戶姓名、手機號、郵箱、身份證號等多項信息。賣家對這個約5億條數據打包出售價格為8比特幣或520門羅幣。

前段時間，某酒店集團數據泄露引起軒然大波，泄露的數據中包含了用戶姓名、手機號、郵箱、身份證號等多項信息。賣家對這個約5億條數據打包出售價格為8比特幣或520門羅幣。

而關于此次信息泄露事件的原因，目前尚未定論。據悉，由于集團某程序員將服務器及數據庫信息泄露到了Github，導致被黑客利用，通過弱密碼攻擊攻陷了酒店服務器和數據庫體系。不過這一說法目前只是推斷。

內部管控不嚴泄密加上黑客攻擊成為了這場數據泄露事件的主要原因。
外部攻擊我們尚可加防，內部運維我們應該如何自防呢？在日常的數據庫使用過程當中，運維人員在數據分析、線上問題排查、臨時修正數據等多個環節均可直接接接觸數據庫中的數據，也就是說這些環節都有可能出現問題。

傳統數據庫安全管控方案漏洞頻出
傳統的人為數據安全管控方案有兩種，集權管理和分權管理。使用集權管理方案需要在業務代碼使用賬號之外，創建獨立的讀寫賬號、只讀賬號，只給與DBA、運維等特定的人員，但是這種方案的弊端在于，對于有些需要快速響應查看數據進行決策的場景，繁瑣的步驟將直接影響研發效率。

在日常數據庫使用過程中，應用代碼的在線服務訪問是最主要的一種方式，但人員基于數據分析、線上問題排查、新需求變更結構、臨時修正數據等各種訴求也需要直接接觸數據庫。

如果采用分權管理，創建獨立的讀寫賬號、只讀賬號，分發到一線負責人，相較于集權管理，效率有一定的提升，但是接觸數據庫賬號密碼人員較多，人員變動時需要及時變更賬號密碼信息確保安全。

這兩種方案不僅本身存在弊端，且在大批量管理時，實施難度也將成指數級放大。如此一來，企業還能如何避免人為因素導致的數據泄露事件發生呢？

阿里云數據管理DMS企業版針對此問題，提供了從訪問源頭開始防護的完善、成熟的數據安全訪問解決方案。

DMS企業版高效保障數據安全，提升研發效率

與傳統的數據訪問方案相比，DMS企業版消除了人員瓶頸，在保障數據安全的前提下也兼顧了企業的研發效率。DMS企業版主要從訪問和變更兩個方面進行安全管控。

在訪問方式上，區別于傳統方案，無需直連數據庫，只需提前錄入需要管理的數據庫實例、接觸數據庫的人員，當需要訪問數據庫、表的時候，可直接在產品內按需申請或由數據owner主動授權，具備權限后登錄DMS企業版即可直接訪問數據庫，不再接觸任何數據庫的賬號密碼。

在訪問權限粒度上也設定了相應的規范，若無對應權限則不可大量數據導出、不可提交數據變更（DML、DDL等）操作，避免了數據被大量泄漏。同時，DMS企業版支持了特有的字段級別權限管控，方便企業在身份證、銀行卡、密碼等敏感信息上進行精細化的管理。

DMS企業版對于保障訪問性能安全也做了特別的處理，比如數據庫級別閥值禁止全表掃描管控，當表空間大于一定值執行計劃不走索引則禁止發起查詢；用戶級別單天查詢行數、次數上限管控；產品內單次查詢返回行數上限管控等，全方位保障訪問安全。

變更安全管控主要加入了實例級別變更流程管控、任務調度負載管控以及數據變更update、delete默認備份前鏡像，如果遇到異常情況可快速恢復，并且避免了元數據鎖爭用阻塞數據庫、避免thread_running過高時調度加重負載。

除此以外，DMS企業版還提供了云賬號準入、企業人員準入、企業內網準入三層登錄安全保障；在開啟內網準入（訪問IP白名單）管控后，即使企業內人員變更流失賬號未及時回收，但由于人員已不能再登錄企業內網環境這無疑又是一道安全保障。

值得注意的事，在人員賬號都精細化按需使用后，賬號無共用，產品內人員的每一個操作都將可被溯源。公司內（尤其是上市公司）固定周期的操作審計將是重要的數據支撐來源。

數據安全任重道遠
數據安全任重道遠，企業內數據作為一個企業的核心資產、賴以生存的命脈，數據安全是重中之重；也是最值得持續投入改進、不斷加強的一個方向。DMS企業版將不斷努力，助力企業完善數據安全管理。

最后附上【數據安全管理小建議】
1）禁止弱密碼的存在，即使生產服務使用的數據庫賬號密碼如有可能建議定期更換
2）禁止敏感信息的大量接觸，敏感信息嚴格限制可接觸人員
3）禁止公開企業內數據庫訪問方式、服務器IP等敏感信息
4）設置數據庫服務器的可訪問IP白名單，來源管控
5）設置數據庫賬號的可訪問IP白名單，來源管控

總結

以上是生活随笔為你收集整理的“数据门”事件频发如何避免人为因素导致数据泄露？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。