万豪酒店数据库遭入侵 5亿顾客信息或泄露

新闻播报

11月30日晚万豪国际集团官方微博发布声明称，喜达屋旗下酒店的客房预订数据库中的宾客信息曾在未经受权的状况下被访问。该数据库包含最多约5亿名客人的信息，这些信息包括顾客的姓名、通讯地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其余一些我的信息，对于部分客户可能还包括支付卡号和支付卡有效期。

万豪国际声明称，已向相关执法部门报告此事件，并将继续配合执法部门的调查，并已开始通知相关监管机构。该事件已发酵6天，目前万豪酒店并未再发布任何官方消息。

 其实早在消息泄露了数个小时以后，酒店就遭到了住客的集体投诉，住客认为，酒店最大的特殊性就是会掌握大量的我的基本信息，若是酒店自身的信息管理不当，住客们的隐私就会存在很大的安全隐患，因此酒店在信息安全管理方面是要负责任的。

在互联网发展迅猛的今天，不管是企业仍是我的，信息安全问题一直处在风口浪尖，颇受争议，同时也是网络安全从业者关注的重中之重。那么针对企业网络安全人员，如何构建数据库安全体系，进行数据库安全检查，从而有效的下降被入侵的安全隐患问题？

针对上述问题，i春秋社区的神裤衩给出了以下建议：

检查服务器对外开放端口不要只看3306，最好能把默认数据库链接端口改下，关注下防火墙的包过滤，能不能作到外部恶意命令阻断。

控制信息的出入，保护内部网络免遭某些基于路由的攻击，对网络存取和访问进行监控审计，防止内部网络信息的泄漏。

防火墙做用发挥好，能大大的增长入侵的时间，端口的检查必定不要只注意数据库的端口，看看服务器上是否还开启其余没必要要的服务，www，ftp等，有时候一些没必要要的服务会形成服务器沦陷。

应用审计方面，最好不一样项目不一样的用户，着重检查弱口令和用户权限配置等问题，权限不要是root权限，这样很危险，最好用户的权限可以限制在相应的表中，若是有数据库选择的是mysql，需进行安全配置。

Web端的程序最好就使用低权限的用户，密码不要通用一个，好比tcl以前thinkphp任意命令执行，config密码泄露致使一个域管理程序被人入侵。

将危害影响降到最低，这和短板效应相对，记得有个说法是：Pt> Dt + Rt，防御时间大于检测时间加上响应时间，那么系统是安全的。

接下来聊聊安全审计，根据审计对象，能够分红三个层次：

一、网络安全审计

二、系统安全审计

三、信息内容安全审计，属于高层审计

安全审计的主要功能有：

一、经过安全审计来检测和调查安全策略执行的状况以及资产遭到破坏的状况。

二、监督可疑用户，取消可疑用户的权限，调用更强的保护机制，去掉或修复故障网络以及系统的某些失效部件。

其余补充

一、还有就是说DBMS的补丁，系统其余服务是否有漏洞啊（这也是为何要最好关闭其余服务的缘由）；

二、硬件方面是否有备份服务器进行按期备份；

三、说到接口，若是是内网的数据服务器最好和外网有着物理隔离，不要同时开放对内外网链接；

四、查看数据库的服务，对数据库进行安全配置，包括用户权限配置、弱口令，保证没有通过受权的用户，进程没法窃取信息；

五、中止并卸载没必要要的服务和应用，防止其余应用形成“短板”；

六、按期进行数据备份，有应急响应方案；

七、对应用网络进行安全审计，特别是Web端的程序；

八、防火墙对恶意代码和不安全的访问进行限制或阻断；

九、日志系统开启。