Marriott用户信息泄露后的深思——SQL Server敏感数据审计

最新推荐文章于 2024-04-07 22:38:48 发布
最新推荐文章于 2024-04-07 22:38:48 发布
阅读量979 收藏
点赞数
文章标签: 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoujunah/article/details/105286524
版权

​当地时间3月31日

万豪(Marriott)国际集团表示正在调查一起涉及多达520万客户个人信息泄露事件。

 

在官网的声明中万豪表示涉及到的客户信息包括:

姓名、公司、生日、住址、电话号码、邮箱地址、会员账号,以及积分余额、关联的航空公司等。

 

声明同时表示:

目前事件仍在调查中,目前来看,客户的支付卡信息、护照、身份证号或驾照号码等信息还没有受到影响。

新浪博客前不久刚爆出信息泄漏,万豪集团又在三年后第二次泄漏用户信息,数据安全已经迫在眉睫。作为数据安全人员,如何审计公司的敏感数据,以确保较小可能性泄漏,规避组织数据泄漏风险,是我们要重点考虑的事情。我在数据安全方面已经发布了数篇文章,包括访问数据权限的限定,数据库备份的加密,数据敏感信息列的加密等,但这些还远远不够,后续还会陆续为大家分享数据安全方面的内容。

 

就万豪集团这次泄密来看,其已经对部分用户的敏感数据做安全防护,但是却没有全面覆盖。那么我们该如何发现我们组织或应用中存在哪些敏感数据?这些数据是否足够安全?本文将给出SQL Server数据库中敏感数据的审计方案,以供参考。

首先我们需要界定什么样的数据为敏感数据,如下我们给出百度百科的一段描述:

隐私保护研究下的隐私可界定为:隐私是指个体的敏感信息,群体或组织的敏感信息可以表示为个体的公共敏感信息。Banisar等人把用户隐私分为4类:①信息隐私,即个人数据的管理和使用,包括身份证号、银行账号、收入和财产状况、婚姻和家庭成员、医疗档案、消费和需求信息(如购物、买房、车、保险)、网络活动踪迹(如IP地址、浏览踪迹、活动内容)等;②通信隐私,即个人使用各种通信方式和其他人的交流,包括电话、QQ、E-mail、微信等;③空间隐私,即个人出入的特定空间或区域,包括家庭住址、工作单位以及个人出入的公共场所;④身体隐私,即保护个人身体的完整性,防止侵入性操作,如药物测试等.互联网中的用户隐私是指,个人、机构等实体不愿被外部世界知晓的信息,如用户的身份、轨迹、位置等敏感信息。

我们依据这样的一个隐私数据的界定,通过一个简单的脚本,即可以发现我们SQL Server数据库中存储有哪些显著的敏感数据,脚本如下:

EXEC sp_msforeachDB 'USE [?]
SELECT db_name() as [DB], 
object_name(o.object_id) AS [Object], 
c.name AS [Column]
FROM sys.columns c 
LEFT JOIN sys.types t
ON c.system_type_id=t.system_type_id AND c.user_type_id=t.user_type_id
JOIN sys.objects o 
ON c.object_id = o.object_id 
WHERE o.type IN (''U'',''V'') /* 表和视图 */
  AND (c.name like ''%mail%''
    OR c.name like ''%name%''
    OR c.name like ''%birth%''
    OR c.name like ''%sex%''
    OR c.name like ''%address%''
    OR c.name like ''%phone%''
    OR c.name like ''%QQ%''
    OR c.name like ''%weixin%''
    OR c.name like ''%weibo%''
    OR c.name like ''%blog%''
    OR c.name like ''%gender%''
    OR c.name like ''%card%''
    OR c.name like ''%identity%''
    OR c.name like ''%identity%'')
  AND db_name() NOT IN (''msdb'',''tempdb'',''master'')
  AND t.name NOT IN(''binary'',''varbinary'')'

脚本中使用sp_msforeachDB循环除系统库msdb、tempdb、master库以外的所有库,查询字段中包括邮箱mail、姓名name、生日birth、性别sex或gender、住址address、电话号码phone、QQ、微信weixin、微博weibo、博客blog、卡号card、身份证identity、密码pwd等敏感信息,排除了以二进制存储的内容(说明已经加密了)。我上面说该脚本可以查询的是显著的敏感信息,是因为您的组织命名规则会极大的影响这个结果,如您的组织使用汉字作为字段名称而非英文,或者使用的是对应名称的拼音,或者是英文简写,或者根本就是随意给的字符。这样的话,我们需要根据命名规则对上面模糊匹配的内容进行调整,以便列出敏感信息字段。

当然,我们最终还是需要向开发人员去核实用户信息记录的表及字段。以便能全面覆盖所有敏感信息。

之后,我们可以选择限制访问权限,或者加密明文的敏感信息,加密有敏感信息的数据库等安全措施,以保障数据的安全。

三空道人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
大数据安全审计——公安敏感数据的守护神
xmjulong的博客
02-26 4516
随着安全行业信息化向“大整合、高共享、深应用”快速发展,安全信息资源种类和数据激增,信息集中度和敏感度明显增加,信息应用和共享方式日趋复杂,数据盗取、越权访问等造成安全敏感信息泄露、侵犯公民隐私的现象时有发生。近年侵犯公民个人隐私的相关事件2015年5月3日成都被打女司机开房记录被公布2015年7月9日女警因女儿泄漏李易峰身份证等隐私信息被停职2016年2月29日男子猛踢虐待男童视频流出,其个人信...
ai审计_用于内部审计和风险管理的人工智能
weixin_26632369的博客
08-26 3492
ai审计 AUDITMAP.AI文本分析平台 (AUDITMAP.AI TEXT ANALYSIS PLATFORM) Table of Contents1. Abstract: Why AI for Internal Audit and Risk Management?2. Introduction3. Contemporary Internal Audit Challenges4. Audit...
SQLServer2019中的新安全性特性:保护敏感数据和用户身份
禅与计算机程序设计艺术
06-29 6467
作者:禅与计算机程序设计艺术 SQL Server 2019中的新安全性特性:保护敏感数据和用户身份 随着 SQL Server 2019 的发布,微软再次强化了 SQL Server 的安全性,新增了许多新的安全特性,旨在保护敏感数据和用
第7章 数据安全
最新发布
weixin_42749734的博客
04-07 1411
制度提供行为准则,但并不能列出所有可能的意外情况。细则是对制度的补充,并提供有关如何满足制度意图的其他详细信息。保密等级分类是重要的元数据特征,用于指导用户如何获得访问权限。每个组织都应创建或采用满足其业务需求的分级方案。任何分级方案都应清晰易行,它将包含从最低到最高的一系列密级。例如,从“一 般用途”到“绝密”。高度公开的数据泄露事件(其中敏感的个人信息被泄露)日益增多,导致出台了很多与数据相关的法律。聚焦于金融的数据事件促使全球各国政府实施更多的法规。这就产生了新的数据类别,可称为“监管信息”。
数据保护系列-数据安全审计分析
oripoint的博客
02-20 477
一体化数据安全审计分析平台,能够帮助企业进行事前事中事后全链路可视化实时审计分析,实现数据安全的持续保护与持续合规。
万豪 数据泄露 sql注入_如何防止数据库泄漏和注入
cumian8165的博客
07-13 521
万豪 数据泄露 sql注入by Cossack Labs Dev Stories 哥萨克实验室开发故事 如何防止数据库泄漏和注入 (How to prevent database leaks and injections) Most web and mobile apps have a backend that includes a database of some kind. Your fr...
数据泄露审计发现了什么
leon
01-24 1158
原文链接:http://www.youxia.org/2009/06/%E6%95%B0%E6%8D%AE%E6%B3%84%E9%9C%B2%E5%AE%A1%E8%AE%A1%E5%8F%91%E7%8E%B0%E4%BA%86%E4%BB%80%E4%B9%88.html   当波士顿的一家中型制药公司的IT经理第一次被要求参加一次数据泄露审计时,他感到非常兴奋。他认为审计
Marriott
03-10
通过Swift,开发者可以创建用户友好的界面,提供流畅的用户体验,同时利用Apple的框架如Core Data进行数据管理,以及使用MapKit展示酒店位置。 2. **后台服务**:Swift也可以用于构建服务器端应用,处理酒店业务...
msg_www.//2020msg.com_Free!_msg.marriott.com_Vc_
10-01
C ++ dynamically assigns values to the form. The code is free and open source download. Enter text in the pop-up dialog box. After clicking the application
西餐服务——ServiceAtItsBest.pptx
10-08
【西餐服务——Service At Its Best】 在西餐服务中,"Service At Its Best"意味着提供卓越的服务体验,这是衡量一家餐厅或酒店服务质量的重要标准。西餐服务涉及到多个方面,包括服务员的专业素养、酒店品牌的选择...
敏感词库sql文件
10-16
整理的一份敏感词库sql文件,大概有6900多条
数据库审计
10-25
让大家详细了解数据库审计系统的好处,和数据库审计的应用
数据库审计平台 --- 介绍
木苒的博客
08-17 6502
数据库审计平台---基础环境部署 数据库审计平台 --- 依赖环境部署 介绍 Themis是宜信公司DBA团队开发的一款数据库审核产品。可帮助DBA、开发人员快速发现数据库质量问题,提升工作效率 功能概述 事后审核,自主优化部分放在二期实现。亦可在项目设计阶段引入,起到一部分事前审核的作用。 通过WEB界面完成全部工作,主要使用者是DBA和有一定数据库基础的研发人员。 可针对某...
金融行业数据库安全审计
weixin_34255793的博客
06-14 308
数据库安全审计行业要求:审计内容是否至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。数据库开启情况:需开启相关内容的数据库审计功能,方能满足需求。审计内容SQL ServerOracle1用户的添加和删除可满足可满足2审计功能的启动和关闭可满足部分满足(关闭可审计)3审计策略的调整可满足可满足4权限变更可部分满足...
sqlserver 命令执行_SQL Server第1部分:为什么要监视SQL日志
weixin_39758953的博客
12-09 241
根据2019年发布的基于风险安全研究报告,数据经常会有泄露的风险,每秒有超过44条记录被盗,黑客最主要目标是利用企业数据库,获取其机密资产。一般来讲企业不会察觉到自己的数据库已经被破坏了几个月,一旦敏感数据泄漏,损坏将无法挽回。通过监视和分析异常活动日志,企业可以在早期阶段提高检测防御攻击的能力,如:尽早识别出未授权访问之类的事件,可以帮助您在数据损坏之前识别并阻止威胁。在本系列博客中关于SQL ...
SQL Server 2016中使用动态数据屏蔽来保护敏感数据
culuo4781的博客
07-20 795
Dynamic Data Masking is a new security feature introduced in SQL Server 2016 that limits the access of unauthorized users to sensitive data at the database layer. 动态数据屏蔽是SQL Server 2016中引入的新安...
防范第三方供应商数据泄露:策略与影响分析
近年来,第三方数据泄露事件显著增加,如Target Corporation、Marriott Corporation和美国人事管理办公室等知名机构遭受的攻击,都是由于与第三方供应商的安全合作不足所致。这些事件不仅损害了消费者信任,还对企业...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值