在最近热播的《三体》电视剧中,叶文洁在“不要回答”的提示后,毅然发送的宇宙广播,牵动了每个地球人的心。
然而作为一个数据库工作者,叶文洁的一系列“小动作”引起了我们的注意。
最初,因为身份问题,她的举动处处受限:可以看程序员代码,但不许接触数据库。
这说明红岸基地具备比较严格的入门资格审查和权限管理。
然而,在作为监听员工作时,她发现了一个漏洞:在监听系统的信息处理部分,能够查看和访问译解系统的终端,只有我面前那两台。
在只有一个人在场工作的情况下,叶文洁:(将收到的信息)全部转存到了一个多重加密的隐形子目录中,用一年前接收到的一段噪音,代替了这五个小时的内容。
这说明在关键工作中,缺乏三权分立的岗位角色,增删改查一揽子权限过高,关键操作缺少监督见证。
叶文洁能够任意创建目录、转移文件、替换文件,最终威胁了整个地球的安危。咱们老法师都知道:root 大道,不可轻授。
那么最后问题是怎么暴露的呢?
道高一尺,魔高一丈。原来雷政委还在主机上部署了一个木马:他背着所有人,在主计算机中,长期运行着一个秘密程序。
这说明:系统缺乏必要的安全巡检,存在严重的安全隐患,最终被未知木马驻留。红岸系统,定期安检、定期系统刷新缺乏啊!
然而,雷政委做对了DBA最重要的第一原则:红岸系统发出和接收到的所有信息,都有备份!
回到技术世界,其实监听员、运维人员,处理的是业务工作,都不应该具备操作数据的权限,只有进行了岗位职责的划分,才能够有效防范因为“掩盖”问题的个体操作。
云和恩墨的 zCloud 正是通过一个统一的 dbPaaS 管理平台,将数据库的监控和运维工作平台化和自动化,通过平台能力将人与系统隔开,既规范和提高了效率,又可以避免人为意图的数据侵入。
当然,最根本的是从数据库上解决问题。云和恩墨 MogDB 数据库具备“账本数据库“和”全密态“能力,可以支持重要数据账本化,防篡改,并且可以在存储、传输、计算中保持加密状态,全方位保障数据安全。
回到现实中,我们还是要首先赞扬雷政委。
我在 DBA 的四大守则中明确指出,对于数据库来说:备份重于一切。而雷政委的回答是:都有备份。
只要有备份,就能够及时发现删除操作,并且从备份中恢复出关键数据。云和恩墨推出的数据库极速恢复平台 zDBM ,就是为了解决生产数据安全问题。zDBM基于日志复制,可以实现多副本打开,用于开发测试和审核验证。一份数据,多种用途,让备份真正变得“可用”!
如果红岸系统具备定期的备份和安全巡检、日志指令检查,那么雷政委的木马无法长期潜伏,叶文洁发送的信息也可以提前发现,雷志成、杨卫宁可以不用牺牲,并且现在,地球可能还是安全的。。。
数据安全任重道远,在《2022年7月中国数据库行业分析报告-居安思危,安全先行》中,我们分享了:数据库DevOps的三十六计 和 数据安全的16条军规,对数据安全作出了方方面面的总结。关注我们,回复:下载 可以找到这份报告。
最后还有一个小故事:
在我最早作为DBA的工作中,一度发现在数据库主机上做了什么操作,领导都立刻知道。
困扰了很久,后来偶然发现,他在每个主机上都启动了一个tail -f进程,监控history 的命令历史,然后 mail 发给他的邮箱。
姜还是老的辣啊!
云和恩墨大讲堂 | 一个分享交流的地方
长按,识别二维码,加入万人交流社群
请备注:云和恩墨大讲堂
点个“在看”
你的喜欢会被看到❤
636
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
