現代化的數據中心，是否有中低層人員監守自盜的可能性？

01-15

提供雲存儲的數據中心，看介紹普遍都採用了伺服器端數據加密且數據分塊存儲在不同伺服器。在這種情況下，中低層員工未經授權大量獲取解密後的用戶數據的難度有多高？
問題背景：暴力機關獲取數據和提供服務存儲服務的公司高層以行政命令的方式獲取數據，作為用戶來說沒有什麼辦法也難以探知。但是，作為用戶最不想的就是自己的數據被某幾個以權謀私的基層人員拿出去幾毛錢一條的賣掉，就好像「上午剛去銀行辦了個留學貸款，下午各種移民中介英語補習班就找上門」這種事情。

微軟雲後台管理人員來說一下。我不是數據中心執行人員，所以只能說說政策層面。

數據中心監守自盜是所有數據中心都非常、非常擔心的事情。因為什麼軟體安保措施在物理接觸面前都只是防君子不防小人。

所以很顯然，對監守自盜的防禦的基礎就是限制物理接觸。這種限制實際上和監獄執行的措施是類似的。

比方說，數據中心內不允許執行人員使用任何移動存儲設備。極少數需要使用的情況要從保安庫調取，要兩名主管走雙因素驗證的簽署流程授權。

那怎麼保證執行人員不會自己帶進來呢？這就靠安檢了。數據中心進出門安檢接近機場安檢。進門要經過10手指指紋登記，走金屬感測門，然後可能還要觸檢。出門的時候機場是不檢查的，但數據中心出門也要走安檢。

那麼數據中心內部難道不用筆記本電腦、手機等帶存儲能力的電子設備嗎？當然是用的。那這些設備怎麼防禦呢？

這就是第二個層次的物理防禦了，所有使用的設備都要部署組織管理軟體，筆記本更是使用出廠時就內置微軟管理模塊的安全客戶端（直接從筆記本工廠寄給員工、預裝微軟內部版受控操作系統）。

部署組織管理軟體的設備的所有行為都是受到監控的，安全等級也會有嚴格的要求。比如所有提權操作都要雙因素驗證什麼的…很麻煩但是必須做。

那麼即便無法使用自己的設備來偷數據，內部人員就不能通過管理下的伺服器自己的互聯網來上傳偷取的數據了嗎？

這就是物理防禦的第三個層次了。這事兒其實很簡單——伺服器不聯網就行了。數據中心內的伺服器並不是都需要連接互聯網的，於是所有需要互聯網的伺服器都具備更高的安保措施，執行人員不能直接管理這些伺服器。

同層次上的另一種保護就是重要加密數據密鑰獨立存放。也就是把數據通過加密技術分成兩部分，一部分是加密的，放在一個地點，然後解密數據的密鑰放在另一個地點。

以上說的只是個簡單的梗概，實際執行的策略要複雜不少。所有物理防禦策略整合在一起可防止數據中心執行人員將數據帶出數據中心，基本避免了數據中心執行人員偷盜數據的可能性。

還有更高几個層次的保護措施就不說了，涉密了。

當然，另一個角度說，任何策略都是人實施的。如果實施的人（主要是中層以上管理執行人員）沒有安全意識，「主動」降低安全等級，那必然導致安全漏洞的出現。那時候可能一個對數據中心有些了解的黑客都能遠程盜取數據。

所以最終的安全措施，也是最重要的一條是——安全操作規範的培訓、考核和審查。

資深運維來答

13年的時候聞業內某機房被遊戲公司買通，其運維人員在idc的交換機上開鏡像埠給到競爭對手公司，導致競爭對手公司拿到大量數據。

現代化的數據中心，你做什麼都是留了底的，只要不是整個公司上下都想一致泄露隱私，那麼就只有兩個辦法：

政府要求
被黑客攻破

以前還聽說google內部有一個「釣魚」網站，可以看到一些隱私的數據。這個網站是給那些授權了的人去用的。但是如果你沒有被授權，你還是能打開，然後看到那個警告。如果你不顧警告繼續操作，馬上就被開除（逃。不知道真的假的。

雲廠商都會遵守SOD，Seperation of Duty。簡單說，擁有物理訪問許可權的員工，不可有系統許可權。反之亦然。

主要還是看公司規範,像我前公司,離職一個多月了,我還能vpn,連上他們的伺服器.

很早之前的事了，現在可能不這樣。

那會李宇春火的時候，大家在一起開玩笑說春哥到底是男是女，我老婆一個同事一臉嚴肅的說，女的。我們說你怎麼知道，她說，她老公查過了。

她老公是給市公安局做數據維護的。那個年代，個人數據保護沒有現在這樣受人關注。我還偶爾找他查過自己的賓館記錄，純屬驗證和好玩性質。應該有網友記得，之前爆出過一個4個多G的賓館記錄數據，我查過，上面還真有我的信息，當時第一反應是不是這小子同行搞出去的。

之前因為工作的原因，接觸過一些倒賣個人信息的從業人員，這幾年法規越來越完善，現在已經洗手不幹了。一次吃飯，就聽他接電話，有人買全市一線通的數據，就是市教育局手上的全市中小學生家長的聯繫電話，問他多少錢，說200.我很驚訝，說這麼便宜，回我說，是啊，競爭太激烈了。我又問，你們這數據哪來的？教育局有人這麼大膽？他笑而不語，追問再三，才說，教育局誰干這事啊，都是軟硬體維護口子出來的。

這個必須匿名。

之前某郵箱被脫褲的時候，知乎有個解（xi）釋（di）是說因為政府要求要隨時查看郵箱，所以所有的密碼他們都用明文保存。而至於監守自盜，胡說，那可是經過你們同意的，比如這次某寶讓你們分享賬單，就有一行幾乎不能注意到的小字默認勾選了什麼協議，勾選協議的能是盜嗎

有人的地方就有風險，一個系統最薄弱的地方永遠是人

銀行那種明顯有管理漏洞。

SOD，簡單說：

首先，數據與密碼管理分離

其次，獲取數據要經過授權流程。

只要嚴格經過這兩條，理論上是不應該出現問題的。日誌都有記錄的。

所謂監守自盜流程管理漏洞問題更加大。

可能性很大，區別的看服務商，有些雲服務商提供的安全措施僅限於紙面上。

太消極了，從描述看更多的像是想使用雲服務商的存儲服務，建議通過應用層對數據加密後存到雲服務商平台。

@沈萬馬從數據中心管理人員的角度講了限制物理接觸的防護措施，作為補充，我來從用戶的角度介紹一下軟體層面的防護措施。當然，目前來說，我說的這些措施還沒有得到大規模應用，有些僅僅是理論實驗階段，不過其中幾個是有希望成為未來的主流技術的。

數據以加密的形式存儲

這個可以說是非常古老的理念了。比如你的文檔傳到雲盤之前用rar或者7zip加密，然後密碼設置的足夠複雜，那麼即使雲盤管理員偷到了你的數據，也無法在破解你的內容。

目前已經有些商用的解決方案，在公司的網路流量進出口處裝上加解密系統，對於所有上傳和下載的數據進行過濾檢查，當發現是數據上傳到外部保存或傳輸時（包括雲盤/郵箱等等），自動將內容進行加密，下載時解密。

2. 基於Intel SGX的加密計算模型

簡單來說，就是CPU上加了一個模塊，假設你的程序在用戶態進行計算，當涉及核心機密的數據處理時，你的程序可以申請將自己以及相關數據遷入到加密模塊中進行計算，此時即使數據中心的管理員拿到了該計算機的最高許可權，也無法獲取你在加密模塊中的計算內容。

目前，商用的Intel SGX已經做出來了，但是還沒有得到廣泛的應用

3. data oblivious computation

這個概念是一個大框，裡面包涵了非常非常多的東西。

先用memory oblivious舉例。假設數據中心管理員通過某種方式獲取了我的程序的內存的訪問模式（memory access pattern），那麼即使他不知道我內存里存的具體東西是什麼，但是呢，他知道我先訪問了第a個位元組和第b個位元組，又訪問了第a+1個位元組和b+1個位元組，接著又訪問了第a+2個位元組和b+2個位元組，等等，他就有可能可以猜出我的程序是在作什麼具體的計算（例如在進行字元串的比較），這樣我的程序的用途就被泄露了，而這可能導致進一步的針對我的應用的攻擊。例如我的程序是一個託管在雲上的網站，他發現每次他嘗試登錄時，就會有剛才的那個內存訪問模式，那他就猜到了內存中第a個位元組的地方存的是密碼，那麼他就可以偷密碼了。

這個過程看著比較複雜，但是實際上很多人都試過，就是你們用金山遊俠獲取並修改遊戲中各種數值的方法。

那麼如果我就希望我的程序不要被泄露信息該怎麼辦呢？一種na?ve的方式是，我每一次讀的時候，就隨機讀很多地方，我每次要寫時，除了目標地址，我還隨機寫很多其他的地方。當然，這是我隨便說的，真正的演算法很複雜，在此不細說了。

值得注意的是，除了針對內存的，還有針對網路的，硬碟的等等。例如假設你租用了數據中心的多台機器，管理員雖然無法獲取系統許可權，但是可以知道哪些時候哪些機器那些埠收發過數據包，那麼同樣可以根據數據包的收發方式獲得很多有用的信息，那麼又有針對的技術來防止這種信息的泄露。

當然，以上這些大多還處於理論階段，原因是目前的演算法大多要麼是性能的overhead過大，要麼是效果不是足夠的好。

有這個可能性.但現在管得特嚴.就看你的膽子了

起碼在移動是這樣的

技術問題利益問題監管問題。

其實你這麼問就是想要回答有。

稜鏡門哈哈哈

防君子很容易,防小人很難,中低層一般還接觸不到數據層面

越接觸核心部位越防不了,不過能到動數據級別的大佬,為了點數據把工作丟了,甚至判刑,得問他願不願意了,肯不肯幹了

那是沒找到門路

數據安全跟篩子也差不多…

最近正在複習網路安全基礎，裡面提到了雲計算一大安全威脅就是來自內部人員的威脅

瀉藥。有這種可能，但是真的很低。首先硬碟都是加密的，再者他們也沒有許可權隨意登錄你的虛擬機。我這兩天幫客戶解決問題，很多問題都需要登錄客戶虛擬機才能解決，但是這些操作我們都沒有許可權做。

雲廠商一般都有Data at Rest加密，拿到盤也解不出來數據

客戶的數據中心是我們駐場的地方，有一天，一個甲方人員，想查一個人的住址，然後系統里沒有，就打電話過去問了，當然編了一個聽起來靠譜的理由。

數據這東西放到那，哪怕許可權控制的再好，總有能夠到的，總有能用不合規的途徑查到的。當然也有可能是世面見的小，限制了我的想像力。

比如我能想到的比較嚴格的方法，多個數字證書多人分別保管，通過非正常手段查詢修改數據需要專人審核後兩道三人同時使用數字證書認證才能操作。且不談執行的可行性，數字證書如果被通過某種手段備份，然後就形同虛設了。

滑稽一把。哥，玩過看門狗系列不