信息系统运维外包的可靠性是数据安全最大的坑

作者:Sender Su  来源:本站原创  发布日期:2024-11-23  最后修改日期:2024-11-23

周末说两个故事。

说到数据安全,安全行业已经产生了大量数据安全产品,各种脱敏手段。很多甲方单位以为买了部署上就万事大吉了。

但是在信息系统运维这个角度,那些脱敏手段能起的作用实在有限,甚至是完全用不上。

artielc banner

笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士

关于数据安全和数据脱敏,一搜一大把,笔者就不做文抄公了。

一般来说,企业采购部署的信息系统,无疑是要外包其运维的。笔者之前就多次提及,很多企业连数据字典都不会找开发商要,更不可能主动参与到信息系统的运维。

而且,信息系统的运维基本上都会游离在网络安全运维范围之外。道理也很简单:

国内的安服公司,大多数就是只能做安服。

于是,信息系统运维这件事,实际的主控,就往往会落在软件开发商,然后基于成本最小化和利润最大化......读者都应该懂。

除非刚好,信息系统用户单位也不是废的,在数据安全问题上高度警惕和寸步不让,还非常主动。

1、采购部署某 OA 系统。

采购部署验收都完成了,测试环境临时许可也到期了,删除测试环境。

2个月后,用户单位:“这个流程设计器我们觉得有 BUG,情况如此如此,请测试复现和修正。”

开发商:“麻烦把部署的系统连同数据库整个打包给我们。”

用户单位:“这不就所有已经产生的数据都要给你们?而且,我们买的是你们的标准品,这还要打包给回你们?就算计划要做二开产生分支,那也是给回你们做,你们不把产品的分支自己管起来的吗?”

开发商:“是这样的,我们自己没有保存,麻烦你们提供。”

用户单位:“......你们有没有什么工具,可以清除数据库里面的比如邮件内容,事项表单内容之类,只保留流转过程给你们 DEBUG?”

开发商:“没有。别的单位都是直接给的,没那么多意见的。”

用户单位:@#$%^&*

2、采购部署某财务系统。

财务系统以薛定谔的猫的状态运行了3个月之后,确定了有些功能要调整。

开发商:“麻烦把生产数据库 DUMP 出来给我们做测试。”

用户单位(心想:又来?):“不是有测试环境吗?”

开发商:“测试环境的数据不够多,重现不了问题,需要把生产环境的数据导进去测试环境进行测试。”

用户单位:“只能说有点道理。那么你们有无数据清理工具,可以把我们财务的敏感信息清掉再 DUMP 给你们?”

开发商:“没有这样的工具,况且,测试环境不就在你们单位里面,数据没有离开你们单位啊。”

用户单位:@#$%^&*

3、对策

上面这两个故事都是高度简化了的,过程中一来二往的啰嗦细节已经省略,如有雷同纯属巧合。

对于第一个故事,最后就是笔者自己动手,在数据库找出所有需要清理的表,除了必须要清理的系统用户信息之外,还包括所有的活动记录信息,比如流程表单内容,公告通知内容,内部邮件等等,写了过百条 UPDATE 命令,把这些信息的字段都清空。

而第二个故事,重点变成了管人,于是在运维服务合同中,加强了运维人员的保密管理要求,包括运维人员的人事背景信息需要交用户单位审阅和存档(用户单位也承担保密义务),用户单位有权对运维人员的安排提出异议等条款。

所以:

数据安全这件事,并不是上一两套什么系统就能高枕无忧的,重在执行。

4、彩蛋:在更早之前曾经部署过另一个厂商的财务系统

这套必须用 sa 账号连接数据库的系统,在使用期间需要频繁维护。财务要经常呼叫(开发商授权)的运维单位,然后授权经过堡垒机远程访问。

网络安全例行巡检,发现服务器上装了一套向日葵!马上问财务,财务马上联系运维单位。

运维单位:“因为这套系统需要频繁维护,我们顺手装了一套向日葵在服务器上,以后就可以直接维护了。”

用户单位:@#$%^&*

注:题头图用豆包生成,手指问题有所改善,但选择风格区别不明显。

本栏目相关
  •  2024-12-02 网络安全行业的评选特别多,信哪个?
  •  2023-11-22 勒索软件团伙为了让受害者掏钱,居然直接报告给监管部门
  •  2024-03-19 电影《沙丘》中的零信任和风险管理(剧透)
  •  2024-05-28 微软 AI PC 的新功能“回顾”一定是个大坑
  •  2024-07-29 “观星者哥布林”的警示:瞄准病急乱投医的软件供应链水坑攻击
  •  2024-07-20 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Windows所思
  •  2024-09-08 CISecurity.org 已经拒绝中国大陆 IP 地址访问
  •  2024-09-26 WSUS 行将就木:微软决定放弃这款差强人意的更新管理工具
  •  2024-07-21 蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历史和警惕钓鱼网站
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码:

    本栏目热门内容
  • 评论:关于DBA这个角色职业未来之我见
  • 勒索软件团伙为了让受害者掏钱,居然直接报告给监管...
  • 评论:我对终身学习的看法和自己的方法
  • 评论:都一窝蜂地迁移基础设施......但真准备好了?...
  • 电影《沙丘》中的零信任和风险管理(剧透)
  • 信息化项目甲方避坑指东之一
  • 国产化替代:资源有限的甲方如何选择操作系统?
  • 信息化项目甲方避坑指东之二
  • 微软 AI PC 的新功能“回顾”一定是个大坑
  • “观星者哥布林”的警示:瞄准病急乱投医的软件供应...
  • 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Win...
  • 数据分类分级不是皇帝的新衣,是甲方信息化部门的尚...
  • CISecurity.org 已经拒绝中国大陆 IP 地址访问
  • WSUS 行将就木:微软决定放弃这款差强人意的更新管...
  • 信息化项目甲方避坑指东之三
  • 蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历...
  • 高“效”运维已死,高质运维永生
  • 中国·广州 2024年国家网络安全宣传周现场精彩一瞥
  • IT环境多样性:供应链安全和网络弹性之源!
  • 网络安全日志保留6个月?可能要三年。
  • 国产化替代:操作系统厂商需要加快制订加固基准
  • 采购使用传呼机、对讲机归谁管?
  • 从香港网络安全峰会2024观察香港网安市场机遇
  • 安全加固必须要有可人读的基准文本而不是傻瓜式的黑...
  • 香港网络安全峰会2024所见
  • BASIC 语言发明人去世,想起自己用过很多种 BASIC
  • 信息系统运维外包的可靠性是数据安全最大的坑
  • 网络安全行业的评选特别多,信哪个?