万豪酒店数据库遭入侵 5亿顾客信息或泄露

新闻播报

11月30日晚万豪国际集团官方微博发布声明称，喜达屋旗下酒店的客房预订数据库中的宾客信息曾在未经授权的情况下被访问。该数据库包含最多约5亿名客人的信息，这些信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息，对于部分客户可能还包括支付卡号和支付卡有效期。

万豪国际声明称，已向相关执法部门报告此事件，并将继续配合执法部门的调查，并已开始通知相关监管机构。该事件已发酵6天，目前万豪酒店并未再发布任何官方消息。

其实早在消息泄露了数个小时之后，酒店就遭到了住客的集体投诉，住客认为，酒店最大的特殊性就是会掌握大量的个人基本信息，如果酒店自身的信息管理不当，住客们的隐私就会存在很大的安全隐患，所以酒店在信息安全管理方面是要负责任的。

在互联网发展迅猛的今天，无论是企业还是个人，信息安全问题一直处在风口浪尖，颇受争议，同时也是网络安全从业者关注的重中之重。那么针对企业网络安全人员，如何构建数据库安全体系，进行数据库安全检查，从而有效的降低被入侵的安全隐患问题？

针对上述问题，i春秋社区的神裤衩给出了如下建议：

检查服务器对外开放端口不要只看3306，最好能把默认数据库连接端口改下，关注下防火墙的包过滤，能不能做到外部恶意命令阻断。

控制信息的出入，保护内部网络免遭某些基于路由的攻击，对网络存取和访问进行监控审计，防止内部网络信息的泄漏。

防火墙作用发挥好，能大大的增加入侵的时间，端口的检查一定不要只注意数据库的端口，看看服务器上是否还开启其他不必要的服务，www，ftp等，有时候一些不必要的服务会造成服务器沦陷。

应用审计方面，最好不同项目不同的用户，着重检查弱口令和用户权限配置等问题，权限不要是root权限，这样很危险，最好用户的权限能够限制在相应的表中，如果有数据库选择的是mysql，需进行安全配置。

Web端的程序最好就使用低权限的用户，密码不要通用一个，比如tcl之前thinkphp任意命令执行，config密码泄露导致一个域管理程序被人入侵。

将危害影响降到最低，这和短板效应相对，记得有个说法是：Pt> Dt + Rt，防护时间大于检测时间加上响应时间，那么系统是安全的。

接下来聊聊安全审计，根据审计对象，可以分成三个层次：

1、网络安全审计

2、系统安全审计

3、信息内容安全审计，属于高层审计

安全审计的主要功能有：

1、通过安全审计来检测和调查安全策略执行的情况以及资产遭到破坏的情况。

2、监督可疑用户，取消可疑用户的权限，调用更强的保护机制，去掉或修复故障网络以及系统的某些失效部件。

其他补充

1、还有就是说DBMS的补丁，系统其他服务是否有漏洞啊（这也是为什么要最好关闭其他服务的原因）；

2、硬件方面是否有备份服务器进行定期备份；

3、说到接口，如果是内网的数据服务器最好和外网有着物理隔离，不要同时开放对内外网连接；

4、查看数据库的服务，对数据库进行安全配置，包括用户权限配置、弱口令，保证没有经过授权的用户，进程无法窃取信息；

5、停止并卸载不必要的服务和应用，防止其他应用造成“短板”；

6、定期进行数据备份，有应急响应方案；

7、对应用网络进行安全审计，特别是Web端的程序；

8、防火墙对恶意代码和不安全的访问进行限制或阻断；

9、日志系统开启。