如何保证系统敏感信息的安全性?

苦逼的猴子 发布于 05/13 18:22
阅读 436
收藏 0

各位大神好:

    我们公司因为最近频繁发生资源泄露的问题(就是一些比较敏感的用户的手机号等信息的泄露),领导突然决定对所有的敏感信息进行加密,并且要求加密的数据,要让项目组里面只有一个人知道(项目经理),其余人都不知道这些信息,即使知道生产数据库,能连上去,看到的也只是加密的数据,解不开。我在网上翻了好多资料,对称加密啊,非对称加密这些,好像都不能解决这个问题,因为代码是开放的,大家都可以看,后来也想单独写成一个服务,但是像手机号这些数据,他是能加密也能解密的数据,别人只需要打个断点,就能看到,没有意义,这种情况,大家有没有什么解决思路?

帮忙看下呢,谢谢啦!!!

加载中
1
大賢者
大賢者
代码开放的,加密key是私有的
1
gammey
gammey

手机号码加密?

那你系统要调用这个手机号码的时候怎么办呢?还不是解密出来然后运算再显示出来?使用人最终还是能看到这些信息啊。

所以你这样在数据库里加密有什么意义?

核心问题是你们的信息怎么泄漏的,数据库权限怎么管理的,业务系统怎么管理维护的。

 

0
kakai
kakai

有些唯一键虽然敏感,但不要轻易加密,特别是手机号这种,不然,有需要用手机号查询数据时,你们就有得搞了,而且可能照样得对开发人员或测试人员开放这个加密key,毫无意义。还有以后的客服、运营团队,用户咨询时还需要核对这些敏感数据,只要能以明文形式让某些人看到,照样存在数据泄露。像以往大型网站的数据泄露事件,暴露出来的手机号、邮箱等也是未加密的,防止数据泄露应该从其它方面考虑,让门外汉的领导瞎指挥,以后吃亏的还是你们。建议多方面解释给你们领导听听,不要领导出来个想法,你们就焦头烂额。

0
好运来了
好运来了

线上数据控制访问权限,数据加密密钥存储或截断分发给几个人员。

加密存储可以了解下关“加密机”

0
火眼金睛容嬷嬷
火眼金睛容嬷嬷

资源泄露要找到原因,是什么渠道泄露的.如果只是为了隔离开发人员,直接给一套测试用库,采用测试模拟数据不就行了.

0
塔寨村妇女主任

测试的key 和线上的key不是同一套,线上的key只有少数几个人有,且数据库敏感信息加密,线上可以部署一个解密系统需要的人,控制访问权限,只有几人可以去解密。需要的时候来进行查询

0
ecp
ecp

Who Am I - Kein System ist sicher   如何保证项目经理不泄密

0
流浪鲨鱼
流浪鲨鱼

对需要加密的数据进行 可逆加密,可逆加密的key,由项目经理保管,这样断点查看,也只能看到,加密过得数据,需要看这个数据时,要输入key,才能查看

返回顶部
顶部