从华住集团被拖库看核心业务数据安全设计

江南科友—您的信息安全专家

又一个库被拖了,这次是华住酒店集团(汉庭、全季、桔子等),泄漏的数据包括1.23亿条注册信息、1.3亿条入住登记身份信息、2.4亿条开房记录。华住酒店集团已报警,但信息已经泄漏在网络中,相信获取到信息的黑客也不会主动删除这些数据。

这是一次严重的商业机密信息泄露事件,它给用户会员的隐私和利益带来极大的威胁,而且可能会导致不可估量的二次伤害。

首先,用户注册信息的泄漏,极易造成大量个人密码被轻松猜测破解,用户账户内的资金安全受到威胁,恶意的攻击者能够盗用或转移账户资金以谋取利益。同时要知道大量的用户在多个网站仅使用同一个密码,密码泄露造成的二次伤害是难以估量的。

此外,海量的用户隐私信息被泄露,当用户隐私信息被恶意分析后,Ta的身份信息、住店记录、资金信息、兴趣爱好等,如同被剥光衣服,暴露无遗;而且这些用户隐私信息极易受到不法分子利用,用于电信诈骗、身份信息冒用等,给用户带来巨大的安全威胁。

核心业务数据安全可以比作为企业的生命线,需要被企业高度重视。如何对核心业务数据进行完善的安全保护,免除来自内部和外部、无意或恶意的安全攻击?基于多年对金融行业核心业务数据安全保障经验,江南科友认为互联网业务应用要从核心业务数据的整个业务链条,包括数据产生、使用、存放等环节实施安全保障。

数据产生时安全-终端安全

提供终端安全控件SDK;

数据终端一般为手机端、PC端,江南科友提供终端安全控件SDK,在用户键入信息时即提供保护。

提供加解密服务、证书签名验签功能;

在应用服务中,提供加解密服务、证书签名验签功能,包括提供安全链路功能,将数据安全传送至后台。

数据存放落地时安全

密码加盐哈希存储;

由于密码仅用于比对,设计上应该使用不可逆算法存储。由于黑客可能掌握了彩虹表,故需要使用加盐哈希服务(如客户号、企业特征数据),将哈希值控制在只有本企业中使用。

敏感信息防护;

敏感数据提供加密存储、对字段进行标记化处理。数据库里的数据均使用密文保存;数据出库时,可对数据进行掩码返回、截断返回等。即使库被拖,仍是密文库,信息明文不被泄漏。

数据库使用时访问控制

数据库帐号访问控制;

使用数据库帐号登录数据库是访问数据库的最直接途径,谁拥有数据库的帐号,就会拥有直接的数据访问权限。

江南科友提供的特权帐户管理系统,可将数据库帐号统一上收、统一分配、统一分析,建立企业内控访问流程“申请帐号--访问策略--批准使用--记录过程--事后分析--回收帐号”,实现领用后自动收回帐号,不再由运维管理员长期掌握,极大减少帐号泄漏的可能。

帐号生命周期控制;

江南科友提供覆盖特权帐号的全生命周期管控,提供符合合规标准的帐号密码管理策略,将流程管控、策略制约融入到帐号创建、领用、分配、定期改密、使用、回收等环节。对新增帐号进行定期扫描,及时发现非法帐号,并通知管理员进行相应处理。

江南科友安全方案价值

满足合规要求。促进企业组织满足企业内控要求,满足如国家网络安全法、国家等级保护等高度安全的安全管理合规要求;

管理能力提升数据帐号管理(基于OS、DB、中间件的特权帐号和业务系统帐号统一管理);

安全体系一体建设。提供丰富的业务接入标准,建立业务系统安全接入标准和流程,标准化开发,各类业务可依标准纳入,不须再单独设计安全方案;

以可视化运维、监控、审计、分析视角,打破安全系统黑盒子误区,提供翔实的安全报告、图表,辅助决策;

-end-

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180905G0JW4Q00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券