Chinaunix

标题: 腾讯数据泄露我该如何保护我的隐私（获奖名单已公布-2013-12-26） [打印本页]

作者: arron刘 时间: 2013-11-21 10:55
标题: 腾讯数据泄露我该如何保护我的隐私（获奖名单已公布-2013-12-26）
获奖名单已公布，详情请看：http://bbs.chinaunix.net/thread-4117045-1-1.html

11月18日，来自乌云-漏洞报告平台的消息，某网盘爆出“QQ数据库”下载连接，在网络安全圈疯传，部分人认为是笑话或恶作剧，但经过网友确认，似乎确为腾讯大量敏感信息。已经有人利用数据搭建成在线查询网站，数据准确！

在发现腾讯群关系数据泄漏后，发现者已将细节已通知腾讯并且等待其处理中。据称，外界已经有下载地址了，迅雷上就可以看到很多用户数据泄漏，可能是早期的漏洞被利用抓取的，可以根据QQ查一个人的姓名，年龄，关系网甚至从业经历等。

腾讯安全应急响应中心做出的回应是，“经初步排查，因某台云查杀服务器的配置不当，在特定情况下被soso收录，现已修复。此事和QQ或微信完全无关。我们会加强云端安全检查，避免此类问题的出现。”

今天我们讨论的话题：
1、你在日常工作中，是否有很强的数据防护意识？
2、你是如何保障自己企业的数据安全的？

讨论时间：2013.11.21--2013.12.5

讨论奖励：活动结束后将会抽取5名会员赠送图书徽章一枚。

PS:凭此徽章可以到书单中换取图书一枚。书单地址：http://bbs.chinaunix.net/thread-4074217-1-1.html

作者: gilet 时间: 2013-11-21 11:02
讨论奖励：活动结束后将会抽取5名会员赠送图书徽章一枚。

作者: hbsycw 时间: 2013-11-21 11:11
企鹅有数据泄漏？这个危害很大啊~

作者: zhaopingzi 时间: 2013-11-21 11:14
没法保护；现在在各网站注册一个ID，都要填各种真实信息；关键是网站要保护好这些信息

作者: gilet 时间: 2013-11-21 11:19
@zhaopingzi
你在cu注册就叫李cu
你在baidu注册就叫李baidu
你在建行注册就叫李jianhang

到时候看是哪里泄漏的

作者: zhaopingzi 时间: 2013-11-21 11:21
回复 5# gilet

让填邮箱，手机号，生份证号呀

邮箱一般是必填的。

作者: zhaopingzi 时间: 2013-11-21 11:23
你要是填个假的，等你把密码啥的忘了，想找回来的话，就要这要那的；比如你在CU上获得的礼品。你写的快递地址和联系方式难道全是虚构的吗

作者: hbsycw 时间: 2013-11-21 11:29
本帖最后由 hbsycw 于 2013-11-21 11:54 编辑

参与讨论话题：

1、你在日常工作中，是否有很强的数据防护意识？
答：有一定的信息安全保护意识，但，防护意识不是太高。像QQ通过和财付通绑定，个人隐私企鹅是全掌握，还包括你的社交关系，所以，如果企鹅数据泄漏，危害会比较大！

2、你是如何保障自己企业的数据安全的？
答：对于企业的数据安全，这个话题比较大，针对信息的敏感性、需要保密的级别不同应该采取的措施也不同。具体到一般的IT企业安全防护来说，首要的是要有信息安全规划。从信息本身来说，信息安全很大程度在于“信息隐蔽”，因此涉及到敏感信息，数据都应该加密。加密的手段和强度，可以采取软加密，也可以采用硬加密（专门的硬件加密机，银行、金融部门会使用~），对于口令密码这类关键信息要注意定期更换；从信息传播来说，应该视研发还是开发的工作性质，建立完全内外网物理隔离，还是有限访问的网络环境。对于信息的传输采用加密协议，或者自己开发保密协议。最后，从信息使用来说，信息安全很大种程度在于组织管理，对于涉及信息安全的关键岗位，应该明确职责，合理授权，责任到人。
总之，高的防护安全也意味着成本增加（时间成本和需要投入的资金成本以及管理成本），这个需要平衡！信息安全理论上没有绝对的安全，技术手段保护是一方面，法律健全才是关键。

作者: laliheyi 时间: 2013-11-21 11:36
注册填真实信息真是头疼啊，不填等忘记密码什么的想找回来就麻烦了，填了要怕泄漏了{:3_188:}

作者: zhaopingzi 时间: 2013-11-21 11:40
我的网易邮箱被锁了（嘛的，这是他们自己认为邮箱不安全，给我锁了），现在找不回来了。要找回来的话，需要回答一些注册时的问题。10来年了，早忘了
或者提供生分证给他们。NND

作者: shang2010 时间: 2013-11-21 11:45
hehe....数据泄漏，我想起来一句老话，天下没有不透风的墙

作者: wenhq 时间: 2013-11-21 11:46
1、你在日常工作中，是否有很强的数据防护意识？
有数据防护的意识。时刻注意安全。
2、你是如何保障自己企业的数据安全的？
a.加强权限管理。
b.及时更新病毒库。升级系统。

作者: forgaoqiang 时间: 2013-11-21 11:47
本帖最后由 forgaoqiang 于 2013-11-24 00:17 编辑

大企业泄露数据那用户绝对悲剧像腾讯这样的泄露群关系等信息一般用户只能表示无语。。。
话说乌云平台这几天居然说没钱运营了要关闭网站几天这个。。。

1、你在日常工作中，是否有很强的数据防护意识？
大部分时候还是有些意识的，有时候可能“嫌麻烦”，略掉一些步骤。可以分成个人生活和工作管理两个方面吧，
①先说下个人方面：
个人账号根据重要性进行区分，目前大概有4、5个密码吧，多个银行通用（⊙﹏⊙b汗）一个，支付宝一个，百度和邮箱账号一个，然后剩下的就是通用密码了，几乎上百个账号都会采用相同的账户名和密码。
独立的密码应该是比较安全的，这些通用的密码主要利用其密报措施吧，比如腾讯的都会开启动态验证，大部分情况下都会绑定手机和邮箱，比较敏感的个人数据即使存储在网上，也会预先在本地加密（任何互联网厂家都不值得信任）。
未知程序一般会先在沙盘中跑一下看看有没有恶意行为，不会在电脑上明文记录账号信息。浏览器自动记录密码也只记录无关紧要的账号。
防护程序还是要开一两个的，防止不小心被恶意程序抓取了信息。
②工作上的话：
数据基本上会随手tar -cvf 一下，但是绝对不会放到 /var/www 这样的web目录下，有被下载的风险。备份数据出问题是风险最高的，一般不会随手乱放备份数据。

2、你是如何保障自己企业的数据安全的？
大部分都是一些技术上的细节：
DMZ区域的服务器都是开放极少的端口，iptables限制的死死的。
登录服务器均采用私钥 + 密码方式。
服务器部署监控脚本，如果出现异常登录立即发送短信。出现异常登录尝试，没有破解成功的定期汇总，有时候直接屏蔽IP范围的远程登录。
备份数据都是本地加密后存储到外部的，密码也采用特定算法，不使用相同的备份密码。
一般不直接连接U盘、移动硬盘等外部存储设备，特别是windows的主机服务器，折中的话，先格式化下在挂载。
数据库用户密码不采用明文记录（当然其实还是记录了用户的明文密码，只是不在生产服务器上，有点猥琐）。
不使用任何的默认密码，MySQL数据库 My.cnf 直接指定可访问的主机IP地址，外部直接不允许访问。

等等等细节手段吧，想到新的再补充~

其实大公司一般比较猥琐，会采用技术还有物理手段进行限制，这些虽然没有使用，但是可以借鉴：
①屏蔽掉（物理手段）所有的USB等外接接口。
②禁止携带手机、相机等数码设备，平板等BYOD设备一律禁止。
③禁止访问各种网盘，甚至采用白名单进行限制。

说个题外话，今天晚上同学电话过来了，一口气被骗了180K，让帮忙想想办法，我也没啥办法。估计是被恶意程序钓鱼了，真无语了，说是买房子的积蓄。她说中国银行的网银提示升级，她就一步步的填写密码，最后填写了动态密保，然后发现卡里18万都被转到了一个叫亚速达网络有限公司的账户里面了（视乎没有这个公司），现在都报警了，但是听说追回希望不大。
非技术出身的童鞋们要注意了，原来诈骗真的能发生在身边。

作者: qinyiwang 时间: 2013-11-21 12:21
到wooyun 上看看，几乎每天都有各种信息有“泄露”的风险甚至已经可以获得DB内容了的，包括银行啊，航空公司，政府等重要的“阵地”。可以说白帽子能拿到，黑客肯定也有自己的方式在进行入侵、破解等操作。网络时代没有绝对安全，都是相对的。

作者: fengzhanhai 时间: 2013-11-21 12:30

这个应该看服务提供商的技术实力了，作为用户无法对已经提交的信息进行保护了

作者: CUTianrui007 时间: 2013-11-21 12:52
1、你在日常工作中，是否有很强的数据防护意识？
      这个当然是必须要有的了，再强的数据保护技术也有被攻破的时候，所谓道高一尺，魔高一丈，矛盾相长，不要指望新技术可以保证数据安全。这就像TCP/IP协议一样，IP层只管传递，只能基于现有的网络情况提供最大稳定的通信，但是真要绝对稳定，还是要TP层来做各样的设置来保证，比如重传，流量控制等。所以，我们一定要有意识，在数据保护技术之外也要做点事情，保证数据的安全。
      所以，平时设置QQ密码都是字母数字特殊符号混用，还使用QQ输入的软件键盘而非物理键盘。
      再比如使用动态密码，就像登录网银时的手机动态密码一样。

2、你是如何保障自己企业的数据安全的？
这个就措施多多：
A：数据加密，采用强有力的数据加密手法加密数据，即使数据泄漏那也只是一些无用的二进制而已。
B：数据分级，对于不同敏感度的数据进行分层管理，不同的管理层使用不同的保护手段（比如加密强度不同），
C：数据分散存储，也就是将本来是一体的数据分散开来，人为将其打散成无意义的数据。
D：增强数据库安全监控，从软件和硬件角度加强数据库的安全性能监控，如果出现异常情况，做必要的反应（比如断开网络连接，数据故意损坏）

作者: hexilanlan 时间: 2013-11-21 13:13
额。这个也泄露啊

作者: yangd00544 时间: 2013-11-21 13:23
对对没有绝对的安全

作者: Hongqiyaodao 时间: 2013-11-21 14:10
提示: 作者被禁止或删除内容自动屏蔽

作者: kdkgod 时间: 2013-11-21 14:17
真的假的，真心不想再用企鹅，但是同学、朋友都在这。唉

作者: lsstarboy 时间: 2013-11-21 14:29
今天我们讨论的话题：
1、你在日常工作中，是否有很强的数据防护意识？
有！实体机干银行、网购等工作，上网和QQ一般用虚拟机，使用不明软件，有专用的虚拟机，话说Virtulbox速度非常满意。

2、你是如何保障自己企业的数据安全的？
自从领导们熟悉了360，数据就没有安全可言！

作者: 2009532140 时间: 2013-11-21 15:04
哈哈！
只要不填写真的信息就OK 了！@！

作者: shang2010 时间: 2013-11-21 15:44
靠谱，赞哦

作者: infoback 时间: 2013-11-21 16:10
回复 5# gilet

哈哈，我看到过这个笑话呀，就是信用卡泄密，教你如何找出谁泄密的那个帖子

作者: infoback 时间: 2013-11-21 16:18
回复 21# lsstarboy

呀，好办法啊。。。上网和QQ一般用虚拟机这个，我没想到呀，有没有使用的一些小诀窍可以在虚拟机和实体机上更方便的，可以让我们又安全又方便的技巧啥吗

作者: seesea2517 时间: 2013-11-21 18:01
防护意识肯定得有，不过根据不同的场合兼顾便利性和安全性。不重要的场合就不需要那么注意了，关注到资金什么的场合那必须多种保护措施一起上啊。

作者: action08 时间: 2013-11-21 18:45
这能有什么好保护的啊，你说是吧

作者: kdkgod 时间: 2013-11-21 19:46
以前我总是把网站都用一个用户名，一个密码，至从csdn的密码明文门之后就开始用keepass保存密码了，网上那些云记录本，云存储啥的都是浮云，不可信。还是自己用keepass保存才是王道。

强烈推荐使用keepass保存密码。

作者: bingdong2013 时间: 2013-11-21 20:19
1、不要随意在网上暴漏个人信息；

2、太要紧的数据别让它连上网。

作者: qingduo04 时间: 2013-11-21 20:55
徽章不错，可以根据自己的兴趣选择，看了一下，好几本比较喜欢，废话不说了，先说话题

今天我们讨论的话题：
1、你在日常工作中，是否有很强的数据防护意识？
生活方面：
涉及到个人隐私、个人资金等方面账号独立，与一般网站密码区分。
网站方面的密码则使用大小写字母+数字+特殊字符组成，增加账号的复杂度。
工作方面：
公司的数据处于内网中，不涉及到公网，不过今年引入爬虫需要对外访问，这方面可以在防火墙上只设置入口不设置出口（端口关闭)
后续可能还会引入入侵检测系统等保障数据安全。

2、你是如何保障自己企业的数据安全的？

1. 隐私数据加密，在部分数据库中对用户、身份证、姓名、手机号等加密。
2. 增加堡垒机环节，数据拷入拷出必须通过流程，还必须去特定的服务器才能拷出拷入。
3. 增加4A的权限控制环节，对于用户需要输入密码以及手机验证码，增加安全性。
4. 例行进行巡检，保障系统能够修复最新的漏洞。这方面有绿坝工具等。

作者: 睡罗 时间: 2013-11-21 21:37
企业数据的安全，主要还是要靠像瑞星企业杀毒软件这样的国内企业正版杀毒软件来保护的。

作者: banggou 时间: 2013-11-21 21:52

1、你在日常工作中，是否有很强的数据防护意识？

自己有意识只是一半，关键是还要看数据保存单位是否也能有这个意思，现在系统复杂，很多时候很难做到完全没有漏洞，但是需要及时的响应以及修复，做到损失最小，我觉得就目前环境而言，不能做到完全没有泄露只能说做到最小化

2、你是如何保障自己企业的数据安全的？
一般都是防火墙，以及内网，进出数据的端口记录管理，数据加密等措施吧。。

作者: alexmajy 时间: 2013-11-22 06:54

kdkgod 发表于 2013-11-21 19:46
以前我总是把网站都用一个用户名，一个密码，至从csdn的密码明文门之后就开始用keepass保存密码了，网上那些 ...

同意

作者: waker 时间: 2013-11-22 08:31
其实方法很简单，就两个字：

“已经来不及了”

作者: 2009532140 时间: 2013-11-22 08:40
1、你在日常工作中，是否有很强的数据防护意识？
===============================================
这个必须有，防骗子是其一，还要防止其它的门户网站将个人的敏感信息泄露。
各个涉及RMB 相关的网站，密码各不相同。认证的邮箱也都不一样，并且密码复杂度很高。
其它的学习、博客之类的网站密码都一样。因为不涉及核心利益。

2、你是如何保障自己企业的数据安全的？
===============================================
与其说是我来保护自己企业的数据安全，不如说公司的安全保护意识更强。
①、电脑的密码每季度必须更换
②、邮箱密码必须按月份更换
③、启用电脑密码的复杂度检测机制
④、公司有自己的电脑安全监控软件，防止QQ,迅雷等等软件安装
⑤、每个月都有安全管理员突击检测
⑥、公司的与外网通信有审核机制，限制访问
⑦、硬件上，如果电脑实施报废措施，电脑的硬盘实行彻底消磁报废处理
⑧、禁止使用公司邮件注册外部账号
⑨、对于我自己的电脑，我还使用了硬盘加密，需要输入密码访问。

===============================================

作者: gyl990664438 时间: 2013-11-22 09:15
好多论坛要是每个都用不同的名字，信息哪里能记得住，隐私问题确实困难

作者: rover12421 时间: 2013-11-22 09:20
这个数据库有了解了过,是群数据,作为营销价值比较大,个人隐私方面因人而异,危害个人觉得不是特别大

作者: rover12421 时间: 2013-11-22 09:24
1、你在日常工作中，是否有很强的数据防护意识？
有,但常常会忽视,一部分是因为懒惰心理,一部分是因为上帝偏袒我的心理.
2、你是如何保障自己企业的数据安全的？
多注意服务器安全,应用安全.人员管理分层,不能太过混乱.重要数据能不放外网就绝不放外网,放外网的数据也不能明文存放.

作者: yybmsrs 时间: 2013-11-22 09:35
1、你在日常工作中，是否有很强的数据防护意识？
有一点意识，个人隐私的东西尽量少透漏，但是一些要强制填写的如银行支付宝等，就没有什么防护的方法。公司的数据也是不对外透漏。
2、你是如何保障自己企业的数据安全的？
首先做好服务器的安全防护，防火墙端口限制，ssh私钥登陆，远程vpd登陆等等，其次内部做好权限管理，特别是管理员权限，再者对
保密数据做好加密处理和备份，定期更换密码等等。

作者: kdkgod 时间: 2013-11-22 09:54
@gyl990664438建议使用keepass保存密码

作者: infoback 时间: 2013-11-22 10:05
回复 30# action08

哈哈，这位好淡定，我是觉得对于关键数据和企业商业机密还是需要从主动和第三方软件上做好工作

作者: infoback 时间: 2013-11-22 10:05
回复 22# 2009532140

那银行申请信用卡啥的肿么办呢。。。？

作者: 2009532140 时间: 2013-11-22 10:23
回复 45# infoback

这个我们公司与当地银行常年合作，信用卡都在我们单位办理的啊....

作者: zongg 时间: 2013-11-22 10:23
1、你在日常工作中，是否有很强的数据防护意识？
答：日常生活工作的一些重要信息，建议大家保存在KeePass 里，这样安全一些。

2、你是如何保障自己企业的数据安全的？
答：企业的数据那涉汲的面就太广了，还是请安全人员来做吧。我也不懂。

作者: infoback 时间: 2013-11-22 10:48
回复 46# 2009532140

恩恩啊，那就可以最大程度杜绝网上申请回泄露消息的可能，不错不错

作者: 2009532140 时间: 2013-11-22 10:50
回复 48# infoback

经常遇到打电话问我个人信息的鸟人...
我靠，咱们搞软件的纵横网络这么多年

作者: infoback 时间: 2013-11-22 10:55
回复 49# 2009532140

啊哈哈，我觉得信息泄露不能避免，所以平时要以自己主动防护为主，技术软件防护为辅，当然我指的是个人运用，

作者: gnah 时间: 2013-11-22 11:33
企鹅也出事了,幸亏不怎么玩这东西

作者: jimmy-_-lixw 时间: 2013-11-22 12:36
又一波信息泄露门，续之前的XX网站泄露，陆续有来新暴露~

作者: jimmy-_-lixw 时间: 2013-11-22 12:44
回复 7# zhaopingzi

活动率越高，网上的信息填写准确越高，泄露的风险越高。
网上现在还有专门的“大数据”利用的，针对大数据库搜索入侵。

作者: fire_cpp 时间: 2013-11-22 15:12
傻子才在ＱＱ、论坛这类东西上填真实信息。能不填就千万别填，能填假的就别填真的。是男的一定填女的，是１３岁一定填３０岁。

作者: infoback 时间: 2013-11-22 16:01
回复 54# kooleon

最近还在为收到快递之后没能有把快递单上个人信息撕掉而有点郁闷（妹的，贴在塑料袋子上的那张纸真的好难撕

可以教你一招，用水擦一下，非常方便的。

作者: infoback 时间: 2013-11-22 16:02
回复 55# fire_cpp

是１３岁一定填３０岁、、、、你不怕骚扰咩。。。

作者: forgaoqiang 时间: 2013-11-22 21:14
看样子IT工作人员中 keeppass 挺有人气的好多人提到了~

kooleon 发表于 2013-11-22 15:10
参与讨论话题：

1、你在日常工作中，是否有很强的数据防护意识？

作者: lbseraph 时间: 2013-11-22 23:19
1、你在日常工作中，是否有很强的数据防护意识？
平时比较注意。公司的密码策略一般比较严格，比如密码长度最少8位，要至少包含数字、字母、特殊字符各一个，每3个月还要更改，新密码还不能和过去的几次密码有多位一样的。工作的时候如果离开座位一会也会电脑锁屏，电脑硬盘是加密过的（也是公司的IT策略，不过这有个很麻烦的事，如果系统挂掉后，没法像普通方法那样把硬盘挂到另外一台电脑恢复数据；之前都有好几个同事中招，搞得数据没有了）。

公司也屏蔽掉不少网站，不能上QQ等。用的软件都要经过IT测试过没问题才能安装的，不能随便安装。自己出来遵守已有的规定外，也不随便把文件上传到外网或U盘拷贝带走。生活上不同网站的账号和密码都大多不一样，这样也会有个问题，时间久了就会忘记原有密码，还好现在的找回密码基本比较好用。

2、你是如何保障自己企业的数据安全的？
我还不算公司IT部门的，现在公司的IT都是外包出去的了。自己其实就是遵守公司的IT政策（像上面的密码策略就挺严格的），不随便安装未经过IT部门测试认证的软件或工具。前一段竟然发现支付宝插件和公司使用的微软的Office Communicator有冲突，会导致OC莫名其妙断开。像腾讯、360的软件都被公司IT列为禁止安装的软件，有同事用代理上Q，被IT扫描到用QQ就让同事卸载QQ。看到前面有人的女同学竟然被骗了18w的房款，无语啊。女童靴们在电脑相关方面如果有疑问一定得先咨询一下周边做IT的男同胞，能省很多事。公司也有推荐使用Keepass来保存密码（平时工作用的平台有10来个账号密码，靠自己大脑记的话很累人，再说还有自己生活上的银行、邮箱、论坛密码等等），这个工具挺好用的，推荐使用。

作者: net_robber 时间: 2013-11-22 23:46
企业数据，主要有两类，一类是企业自身的数据，另一类是企业用户的数据

但是，不管针对哪一类数据，加密都是必须的

作者: fire_cpp 时间: 2013-11-23 15:00
回复 57# infoback

好吧，１８岁一定填８０岁！要骚扰的，放马过来吧。

作者: pprpg 时间: 2013-11-23 16:37

不是有句话：“最安全的服务器是那台拔掉所有连线的”。
可就这样，也架不住有人把它直接抱走。

腾讯的数据安全实力应该在国内是最强的之一了吧。
可它也远远达不到没有漏洞的水平，用了这么多软件，这么多人，没有漏洞才见鬼了。

作者: pprpg 时间: 2013-11-23 16:41

不知道是否只泄露群数据库，说不定还有更有价值的库，还在某些人手里握着。

作者: 东北胖子 时间: 2013-11-23 17:08
有呀，我在工作的时候，一般都不用QQ来传文件，一般都是自己的内部通信软件。

作者: lbseraph 时间: 2013-11-23 17:18
最近几年我们被泄露的信息不少啊~如果有个工具能直接在互联网上面识别搜索到的个人信息自动删除就好了。也就在科幻电影里面看到过（竟然连照片也能删掉，识别能力真好啊），不知道FBI这类部门是否有这种程序~

作者: 漂浮的木头 时间: 2013-11-23 19:36
表示有俩QQ号，都不经常用

作者: fengzhanhai 时间: 2013-11-23 20:29
关于安全问题是一个非常抽象但不可忽视的问题，对于企业信息安全问题不能只依赖于企业员工个人的安全素养还必须有严格的规章制度，很多时候企业的信息安全问题都是由于企业内部员工泄露的或者在操作过程中失误导致数据的丢失或者业务中断~所以这个时候光有制度还是不够的，现提供以下几点建议供大家参考：
1）要有可以落地的账户权限管理规范及身份验证机制；
2）建设统一审计系统。这个时候要做到一切接触企业信息的人员访问情况可审计。
3）严格的角色管理，不同的角色只能访问不同的数据~
4）生产网络和测试网络隔离~
5）备份介质异地存放~
6）如果有条件可一并建设防抵赖系统~
7）员工使用的存储设备和信息系统直接进行拷贝必须使用专用加密存储设备，其他均设为未经授权设备一旦插入主机则进行实时短信告警
其他N多

作者: infoback 时间: 2013-11-23 21:38
回复 67# fengzhanhai

说的很不错哟

作者: action08 时间: 2013-11-24 10:22
@东北胖子

我来做个广告
http://bbs.chinaunix.net/thread-4112715-1-1.html

作者: fengzhanhai 时间: 2013-11-24 19:45
回复 68# infoback

谢谢你的评价~只是一己之见，高屋建瓴的东西还需大家群策群力

作者: infoback 时间: 2013-11-24 21:04
回复 70# fengzhanhai

真的说的很好，不过真的涉及到细节可能就比较复杂了，比如3）严格的角色管理，不同的角色只能访问不同的数据，这个其实跟整个公司构架就有关系了，互相制约，但是有有联系，不过很多大家都没总结出，您这么一说很多一下子知道努力的方向了

作者: xiegy1980 时间: 2013-11-25 12:34
本帖最后由 xiegy1980 于 2013-11-25 12:36 编辑

要是那啥 “零钱” 出现泄漏问题，那问题就大多了？

作者: godymoon 时间: 2013-11-25 12:56
回复 5# gilet

作者: lkkkun 时间: 2013-11-25 15:04
1、你在日常工作中，是否有很强的数据防护意识？
现在很多人都有社交软件，而且大部分的社交都用这些软件，保护自己的隐私真的很重要。
2、你是如何保障自己企业的数据安全的？
在我目前的工作中，我的工作PC 一般都不连接外网的，而且同事之前数据的传送都是邮件或者ftp，或者世局域网内的共享服务器，给外界的东西都有经过一个密码加密。

作者: xdsnet 时间: 2013-11-25 15:51
本帖最后由 xdsnet 于 2013-11-25 15:55 编辑

1、你在日常工作中，是否有很强的数据防护意识？
个人有一定的数据防护意识。其实数据防护有两个方面的方面，一个是数据保存稳定保存可用，另外一个是安全，不能让不该接触到的人读取到，这一个方面其实又包括了两个方面，其一是防止接触，另外一个是泄漏后数据防护（不可读出）。对于数据保存稳定，当然是软硬件投入加大了，对于另个一个方面则主要是制度性的，做好能做到物理隔离，然后数据加密。因为数据加密后的读出涉及解密，对于一些大的数据要耗费较多的资源，这也使得如果要同时方便使用，可能软硬件投入会加大。

2、你是如何保障自己企业的数据安全的？
这个更多的是从制度上建设，然后才能谈软硬件投入。毕竟计算机等是由人控制的，人的思想上有了意识才能有防卫。
首先要定义数据安全等级，那些人能够接触那些数据要有所划分，分别赋予权限，同时明确职责，加强相应的安全防护教育；
其次是配套进行软硬件投入，光有制度是空话，光有防护不工作也不行。要在安全防护下还不影响到实际工作才行，所以一些必要的软硬件投入不可少，根据数据的性质、安全等级，可能使用和安全防护两个方面需要的资源各有差异，要根据这些差异需求结合工作实际进行软硬件的投入（这个投入也可能依据技术的发展持续进行）；
再有就是一些应急处理程序的明确、安全系统维护人员的明确，这包括相关安全人员的管理、相应制度的执行（检查、监督），应急流程（比如掌握安全密码的人突然逝世是否会造成有些数据永久读取不出来了？.......）

根据不同企业的实际，肯定有很多数据安全防护的不同需求，要根据这些需要去识别数据安全的定义和工作才能有效进行数据防护，处理好数据防护与工作需要的关系（大多数时候数据防护会影响到工作数据的便捷流转）

作者: shreychen 时间: 2013-11-25 17:01
{:3_186:} 回复 5# gilet

作者: Hongqiyaodao 时间: 2013-11-26 12:17
提示: 作者被禁止或删除内容自动屏蔽

作者: 无界追踪 时间: 2013-11-26 13:29
这个表示对于自己的项目比较重要的,在配置svn的时候,禁止外部访问, 对自己比叫重要的消息一般不放到网络上

作者: liuyupy 时间: 2013-11-26 13:35

fengzhanhai 发表于 2013-11-23 20:29
关于安全问题是一个非常抽象但不可忽视的问题，对于企业信息安全问题不能只依赖于企业员工个人的安全素养还 ...

问一条: 最后一条怎么实现? 买安全产品?

补几条随意的想法:
面向网络
1) 内外网分离
2) 端口过滤
3) 上行流量统计
4) 定期要求员工查杀病毒、木马
面向数据(防拷贝泄露)
1) 重要资源Word/Excel等加密(需要用户名/密码) + 有效期授权,可以使用安全插件实现
面向合作方
1) 虚拟机办公环境,虚拟机内无法拷贝、访问外网

作者: fengzhanhai 时间: 2013-11-26 17:16
回复 79# liuyupy
hehe，现在市面上有很多移动安全类硬盘支持该功能,金融性企业较为常见，此功能也可使用shell实现，无须购买企业级产品，但是无法保证移动存储设备的安全性

作者: qingduo04 时间: 2013-11-27 06:40
回复 80# fengzhanhai

这些功能要是真的shell能实现？估计这个编程高手得多高啊！
商用的安全产品，简单程序就可以实现。
真想学习一下。

作者: qingduo04 时间: 2013-11-27 06:48
本帖最后由 qingduo04 于 2013-11-27 06:52 编辑

hbsycw 发表于 2013-11-21 11:29
参与讨论话题：

1、你在日常工作中，是否有很强的数据防护意识？

关于安全这方面，还有一些安全规范作为指导，比如SOX （萨班斯法案）等部分内容
SOX 法案要求在网络、安全、系统、数据库、项目实施等多方面进行把控
其中网络方面必须关闭部分端口，部署多套安全产品。
系统方面要求用户名不能共享，密码是字符、数字、字母等组合，长度超过8位，三个月一换等特殊要求，为的就是保障系统安全。
在项目实施中，引入内外网分离，用于保障数据，数据导出导入必须通过严格的审核才可以。

作者: qingduo04 时间: 2013-11-27 06:55
回复 71# infoback

对于数据库的数据来说，目前还有一种安全措施，是把敏感数据进行加密，如果你需要访问敏感数据，则需要进行审批。

不过这种可实施性很差，毕竟安全级别越高，工作的难度就越大。

作者: qinyiwang 时间: 2013-11-27 09:59
本帖最后由 qinyiwang 于 2013-11-27 10:00 编辑

今天360和腾讯的官司要宣判了吧，不过昨天乌云上居然爆出360任意用户密码修改的漏洞 http://www.wooyun.org/bugs/wooyun-2013-044069 ；腾讯也经常中招

作者: fengzhanhai 时间: 2013-11-27 12:01
回复 81# qingduo04 呵呵，你说的很对，商业化的产品不是那么轻而易举的就能实现的，但是如果公司没有那么多预算，还想实现这方面的功能的话，可以让员工着手去模仿这个产品的某些功能而不是全部，亲！毕竟这样的产品还有相应的内置芯片，软硬件都要配合好产能成为一款企业级产品

作者: crazyhadoop 时间: 2013-11-28 14:57
还得看厂家是否靠谱啊，防不胜防啊

作者: ddd010 时间: 2013-11-28 22:48
当年的CSDN用户数据泄露都还不是一样。

腾讯的数据还是安全性还是很不错的，这点我非常赞同。
1、你在日常工作中，是否有很强的数据防护意识？
我自05年开始上网，各种注册账号，各种信息。我自己维护的还是非常不错。防护意识非常的强。
2、你是如何保障自己企业的数据安全的？
规范+符合规范。

作者: infoback 时间: 2013-11-29 10:53
回复 83# qingduo04

数据库采用堡垒机的方法？

作者: qingduo04 时间: 2013-11-29 11:06
回复 88# infoback

数据库主机或者数据库都是通过堡垒机去跳转的。首先你需要有堡垒机的账号和密码，才可以进入堡垒机的。

作者: forgaoqiang 时间: 2013-12-03 03:42
应该是备份不小心让人家”脱库“下来了的要不就是内部人员所为~~

pprpg 发表于 2013-11-23 16:41
不知道是否只泄露群数据库，说不定还有更有价值的库，还在某些人手里握着。

作者: 2009532140 时间: 2013-12-06 11:58
回复 39# gyl990664438

还有个，之前在国土资源部工作的时候，他们实现IP 地址嵌入操作系统内核..
那么，这台电脑只能通过国土资源部给你分配的IP来访问internet..
这个很蛋疼的..IP 根本改不了...

作者: infoback 时间: 2013-12-08 18:03
回复 6# zhaopingzi

还是随便填呀，只要符合规则就行，系统让过的

作者: 2009532140 时间: 2013-12-11 08:31
回复 7# zhaopingzi

这个是真的...
不仅因为该网站具有权威性..
再者，仅仅是填写的联系信息也没啥用啊

作者: 2009532140 时间: 2013-12-11 08:34
回复 59# lbseraph

靠！
跟我们公司一样！
QQ被封了！
原来网页的能上，现在彻底玩完了！

作者: lbseraph 时间: 2013-12-11 14:42

2009532140 发表于 2013-12-06 11:58
回复 39# gyl990664438

还有个，之前在国土资源部工作的时候，他们实现IP 地址嵌入操作系统内核..

这招亮了~

作者: 2009532140 时间: 2013-12-11 14:44

lbseraph 发表于 2013-12-11 14:42
这招亮了~

本来我对公家的技术有所怀疑..
从这个事件之后，发现他们也有几把刷子...

作者: 2009532140 时间: 2013-12-11 14:47
回复 13# forgaoqiang

DMZ区域的服务器都是开放极少的端口，iptables限制的死死的。

这招忒恶心....
本来用代理能上Q。现在不能了

作者: 2009532140 时间: 2013-12-11 14:49
总的来说：这些公司数据保护措施基本都是公司制定的规则...
个人来说，这些规则有点烦...

作者: lbseraph 时间: 2013-12-11 15:21
论坛太多，csdn那个密码都忘了是哪个了~太久没去逛了~

作者: 或者是2012 时间: 2013-12-13 10:21
回复 1# arron刘

电子书？

作者: 2009532140 时间: 2013-12-26 10:56
(～ o ～)~zZ
好久了~~~

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)