“上医治未病”：数据安全警示录

    盖国强的“Oracle 手册系列”，详细记录了他参与的众多网络安全事件拯救过程。

    先来看看近8年来载入史册的全球数据安全泄露事件：

    2005年至2007年，百货公司T.J.Maxx 和Marshalls的4500万个信用卡和借记卡号码遭窃。实施这起攻击的黑客阿尔伯特·冈萨雷斯在2008年被绳之以法，2010年被判处20年有期徒刑。在2005年和2008年间，冈萨雷斯总计盗取了超过1.7亿个信用卡和借记卡帐号，令其成为史上最成功的“信用卡大盗”。

    2007年11月，英国税务及海关总署丢失了多张光盘，里面存有2500万英国公民的姓名、地址等个人信息。

    2009年中，谷歌、雅虎等数十家硅谷企业遭到史无前例的黑客攻击，谷歌承认其部分知识产权信息遭窃。

    2010年，全球最“著名”的网络泄密事件当属维基百科的创始人阿桑奇在网上公布美国政府在阿富汗战争、伊拉克战争时期的机密档案，档案数目多达9.2万份。

    而在我国，数据安全战场上的硝烟从未停止过。

    2011年3月，陕西移动近1400万条个人信息遭泄露，犯罪嫌疑人所在的某技术公司承担着陕西某电信企业手机资费计算系统软件平台的开发、运行、维护、咨询、防毒等多项工作，可以获取该电信运营商拥有的手机用户号码、姓名、年龄、性别、身份证号、住址、每月通信费用等资料。犯罪嫌疑人为了个人利益，窃取用户信息并出售。 

    最近一次最大的网络安全事件当属CSDN“泄密门”事件。2011年12月21日，黑客在网上公开了CSDN网站用户数据库，包括600余万个明文的注册邮箱账号和密码可能遭集中曝光。事件发生之后，CSDN相关网页更一度紧急关闭，以升级为由暂时关闭。随后又曝出了一系列的密码安全事故，多家大型网站的用户信息遭泄露。

    网络安全已经成为互联网不得不说的故事了。每一家互联网企业都曾有过大大小小的网络安全事件。盖国强（网名Eygle）的团队每年都会帮助不少企业挽救数据，度过危机。深谙此道的他写过不少数据安全方面的书籍，在最近出版的《Oracle DBA手记4：数据安全警示录》中，他将自己近年来遭遇的安全案例写了下来。这本书几乎就是一本数据安全手册指南，没有过多的理论，清一色的实战案例。这些案例不是简单的流程回放，而是相当深入细致的技术指导。作者详细记录了他参与的众多拯救过程，其中包括相当专深的技术探讨。对于数据安全的从业人员来说，一寸光阴一寸金，要在最短时间内抢救数据，避免过大的损失，平日里的基础功夫就要做得扎扎实实。盖国强的“Oracle 手册系列”是这方面广受认可的佳作。对技术人员而言，多知道一点类似案例，能在出现“灾情”时吸收别人的经验及时做好营救工作。对企业管理者而言，多看别家案例，才会明白数据库为何会遭遇灭顶之灾，也才能理解为何千里之堤一朝溃于蚁穴。

    两千多年前，《黄帝内经》就提出“上医治未病，中医治欲病，下医治已病”，也就是说，医术最高明的医生并不是擅长治病的人，而是能够预防疾病、去除隐患的人。数据安全也是同理，未雨绸缪，防患于未然，虽是老生常谈，但真正能具备这一意识，同时能做到这点的人，实为稀有。对于企业来说，不应该只是把技术人员当做救火队员看待，能力挽狂澜的技术人员固然优秀，但能帮助企业少犯错误、提前预防、规避灾难的技术人员才是最有力的企业保障，这样的人才是难能可贵的。

    《Oracle DBA手记4：数据安全警示录》，盖国强著，电子工业出版社2012年6月，65.00元