eygle.com   eygle.com
eygle.com eygle
eygle.com  
 

« 如何使用ordered提示改变SQL执行计划 | Blog首页 | Oracle HowTo:如何使用Leading提示改变表连接方式 »

逻辑严谨与数据安全

这几天,一则消息在网上广为流传:黑客侵入北京移动充值中心,盗取密码谋利370万.主要内容说的是:

    UT斯达康有限公司深圳分公司某工程师利用互联网,多次侵入中国移动充值中心数据库修改密码后进行销售。自2005年3月以来,造成北京移动通信有限责任公司损害共计价值人民币370余万元。

据更详细报道称:

该工程师利用他为西藏移动做技术时使用的密码(此密码自其离开后一直没有更改),轻松进入了西藏移动的服务器。通过西藏移动的服务器,...又跳转到了北京移动数据库,取得了数据库的最高权限,并通过读取数据库日志文件,反推破译出密码。

我们看到,此次安全事件最主要的原因是因为工程密码从来就没有修改过,从而带来了安全漏洞.说这是黑客攻击,其实还算不上.只能说是因为管理不擅的人为原因导致了这次入侵及损失.

在这次事件中,我想说的是,也许受损失更大的并不是中国移动,而是UT斯达康的这位工程师.移动的损失可以被追回被弥补,可是这次事件给这位工程师带来的伤害可能是一生的.

如果大家不幸看过《无极》或者幸运的看过《一个馒头引发的血案》,你可能就可以理解:当陈满神拿一生的荣华富贵来引诱只有一个馒头的小女孩的时候,可怜的孩子上当了;当中国移动把保险箱的大门向这位工程师开放的时候,他犹豫了,他同样做出了错误的选择。

我并非为这个孩子开脱,只是我们可不可以责备一下呢:中国移动你为什么不把大门锁好?

话题扯远了,我其实想说说数据安全。

同以前我在DBA生存守则里表达的一样,8/2法则在这个领域同样适用,其实80%的安全问题全是由于人为的疏忽,原本可以轻易避免的,在疏忽之下就被无限放大。在任何时候我们都不能心存侥幸.

在关于数据库备份的文章中,我曾经提到:

备份重于一切
          系统总是要崩溃的,没有有效的备份只是等哪一天死!

在安全领域也是同样,如果你心里没有安全意识和忧患意识,那么系统被攻破或遭受损失只是早晚而已。

提高系统的安全性通常可以来自两个方面:

1.严谨的个人以及严谨的执行
2.可靠的制度和严格的执行

我们知道,可靠的制度通常来自严谨的思考和不断的探索,在未有制度之前,我们需要人才,他们可以通过自身的严密思考和稳健逻辑构建高效安全的系统;在系统逐渐成熟的过程中,制度得以建立。有了制度以后,后来人只需要贯彻执行就不会出太大的问题。汉代的约法三章萧规曹随;美国的大陆会议、独立宣言,莫不为一国奠定了立国之本。可见好的先行者和良好制度以及严格执行是多么的重要。

我相信中国移动的各项制度恐怕都是有的,只不过没有被有效的执行而已。形同虚设的制度有等若无。

在缺少天才的时代,我们需要规则来维持秩序。

 


历史上的今天...
    >> 2011-02-25文章:
    >> 2008-02-25文章:
           Oracle10g 10.2.0.4 PatchSet发布
    >> 2005-02-25文章:

无觅

By eygle on 2006-02-25 14:21 | Comments (7) | FAQ | Life | 693 |

7 Comments

最烦这些做内鬼的,一点"技术含量"都没有
呵呵

也不能完全这么说,通常一个严格的公司,密码申请和更改是有严格规定的.

又作开发,自然懂得表数据,又作管理,自然又掌握了表结构,修改起来小菜一叠。一个w就可以在服务器上看到多少带着用户名和密码的sqlplus :)

这种系统,一般的黑客还真不一定能进的去。家贼最难防。
而且移动的应用系统修改一次密码是非常的复杂的,因为涉及的主机和应用太多,特别是集团公司和全网业务的接口主机更是不能随便的修改的,影响面是比较广泛的。

当然了,这确实是个问题,值得深思!

联通的平台,我是知道的.
至少密码管理是相当严格的,不存在这种工程密码一直不更改,被延用的问题.

集成方要想登陆系统通常也相当复杂.

我接触过一个铁通的数据库,用户名和密码特简单,几乎就类似于123这样的了,只是在系统级别做了个IP限制,危险啊

看来问题无处不在阿。


CopyRight © 2004~2020 云和恩墨,成就未来!, All rights reserved.
数据恢复·紧急救援·性能优化 云和恩墨 24x7 热线电话:400-600-8755 业务咨询:010-59007017-7040 or 7037 业务合作: marketing@enmotech.com