这是一个创建于 2428 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近公司在做安全合规这块,请了一个三方安全服务公司过来,端着电脑一条一条的与旁边的同事核对,随意听见几条。
乙:你们 MySQL 密码有设置定期修改吗?
甲:没有。
乙:为什么不呢,会不会产生安全问题呢?
甲:可...能...会吧
......
乙:你们数据库默认的 db 都删掉了吧?
甲:删了,我们是云数据库,不存在这个 test
乙:我看到 redis 里面好多 db0,db1,db2...这些默认的没删啊
甲:这个...不用吧
乙:为什么不呢,会不会产生安全问题呢?
......
乙:你们数据有做异地备份吗?
甲:我们是云 RDS,备份上传到了 OSS
乙:在同一个华东 1 可用区吗
甲:是的
乙:那就算没异地备份了
类似的问题有很多,感觉就是为了一个安全证书,说啥咱都点头。很多都不实际呀,像数据库密码,业务 7×24 访问,定期修改密码,业务还怎么用嘛,没办法做到同时修改数据库密码和应用配置的密码啊
不知各位 V 友怎么看
 |
1
hcymk2 2018-03-16 17:21:02 +08:00
你去问下 oracle
|
 |
2
Len1133 2018-03-16 17:22:55 +08:00
应用接入到配置中心,可以自动化数据库配置
|
 |
3
xmh51 2018-03-16 17:25:18 +08:00
甲:我们是云 RDS,备份上传到了 OSS
乙:在同一个华东 1 可用区吗 赞同啊,同物理节点,还叫毛线异地备份。 |
 |
4
SuperMild 2018-03-16 17:26:27 +08:00 via iPhone
甲说的都很对啊
|
 |
5
timwei 2018-03-16 17:27:26 +08:00
ISO27001
CIS Benchmark |
|
6
SuperMild 2018-03-16 17:29:11 +08:00 via iPhone
密码肯定要定期更换的,不然是有安全隐患。
|
 |
7
mentalkiller 2018-03-16 17:34:10 +08:00
我怎么感觉三方安全公司问的没什么毛病啊?
|
 |
8
gefranks 2018-03-16 17:48:57 +08:00
都是很基本的安全问题。。
oracle db 本来就有默认的密码安全策略。。。经常要改一堆密码,改过来再改过去 |
 |
9
yzyun08 2018-03-16 18:47:07 +08:00
你们到底需要这种安全服务吗?
|
 |
10
seanlook OP |
|
12
seanlook OP @mentalkiller 比如各位 redis 里面的 db1-db15 都删掉了吗,站在运维和开发的角度,这些 db 多多少少都有在用的。mysql 里面 test 删掉那是必然的
|
 |
13
julyclyde 2018-03-18 16:18:08 +08:00
这几条问题都没错
|
Select Language