从CSDN泄密看数据安全

昨日惊闻CSDN的数据库遭泄密，近600万用户的信息被泄露。我之前在CSDN上有个账户，赶紧改了密码，接下来检查了一下自己负责的项目，一切还好算是放心了。不过，在岁末爆出的这个问题，又为我们敲响了重要警钟，数据安全绝对不容忽视，下面特此说一下自己对数据安全的几点认识和思考。

　　个人方面应该注意的：
一、密码设置的习惯。很多人习惯将邮箱、微博、博客、论坛、网上支付、购物等帐号设置相同的密码，如果是这样的情况则一个账户的密码泄露则全部密码都暴露了，因此建议大家注意密码设置的不同并根据账户重要度设置密码的复杂度，并通过相应密码管理软件来妥善保管。
二、定期修改密码，这样可有效避免因网站数据库泄露而影响到自身帐号。
三、设置绑定手机号码，当密码变更时可以收到提示信息或密码遗失时可以方便找回密码。
四、个人的邮箱或网盘，不要存放重要的工作资料和个人金融类信息，以免密码泄露后危及企业信息安全和引起个人财产的损失。
五、避免使用邮箱关联和帐户关联。这种设置是方便了邮箱的切换，但是一个邮箱泄露了，其他关联邮箱的资料和信息也自然泄露了。

运维人员需注意的：
一、服务器和网络设备等密码一定要符合相应的复杂度。
二、远程连接时，应设置成普通账户登入然后才能切换到root或管理员级别进行操作。
三、对账户严格分级权限控制，并设置好审计等。
四、需要从数据库中提取或者存入数据，连接数据库时，注意完成相应操作后及时关闭数据库连接。
五、对数据库深入防御。保护数据库的措施越多，攻击者就越难获得和使用数据库内的信息。比如：敏感关键信息加密存储、避免使用默认端口、对数据库的连接进行IP限制、审计追踪控制等。CSDN的账户密码进行明文存储绝对是个低级错误。
六、重要、关键数据的定期及时备份存储，并对备份的压缩包进行加密。

企业管理人员需注意的:
一、完善安全制度并加强安全制度的落实。
二、加强人员的安全教育和管理，避免人为因素或防控不严而泄露。
三、加大对安全的投入和支持企业信息化安全建设。
四、网站发布的任何信息进行严格内容审查，对此类账户密码信息一经发现上传，即刻报案取证追查源头。

好了，总结了这些，也希望广大同行们给予补充和更多建议。安全任重而道远，牢记责任警钟长鸣！

本文出自 “滴水穿石孙杰” 博客，请务必保留此出处http://xjsunjie.blog.51cto.com/999372/748837