1. 程式人生 > >房屋中介內部人員薅羊毛,怎麼治?

房屋中介內部人員薅羊毛,怎麼治?

房屋中介公司,一手握著大量的房源資訊,一手握著大量的房客資料。公司靠著為房主和房客牽線搭橋,賺取佣金。那麼,問題來了,一旦房主和房客能夠直接聯絡,或者有人只需收取比中介公司低得多的佣金就能讓兩者直接建立聯絡,中介公司還能坐收佣金嗎?

筆者從某知名房屋中介公司負責人處瞭解到,公司在發展早期,為了快速搶佔市場,精力主要集中在如何快速觸達使用者,促進成單上面。對於資訊系統的安全考慮卻沒有被提上日程。往往內部開發、測試、運維人員都可以毫無障礙地訪問生產資料庫,在與友商的競爭中,也曾因為能迅速排查問題而屢屢獲勝。

然而,隨著公司業務越做越大,安全問題開始露頭。

很多房客沒有緣由不再續約,調查後發現很多人還租住在原來的房子裡。大批量同類事件讓負責人意識到,必然是哪裡出了紕漏,才會導致這種系統性事件。但經過排查系統BUG、檢驗******可能性之後仍毫無思緒。負責人找到筆者得到建議:何不試試資料庫審計?

資料庫審計薅出那個薅羊毛的人

不試不知道,一試嚇一跳。試用資料庫一週之後,就發現了眉目。原來夜深人靜的時候,有人使用root使用者進入資料庫,大量地匯出資料。該負責人確認近期並沒有此類工作安排。根據查出的IP,順藤摸瓜地找到了背後的黑手,居然是他平時極為信任的運維小哥。在確鑿的證據面前,運維小哥只好交代真相:競爭對手找到了他,表示只要他提供大量有價值的資料,就可以按量付給他不菲的報酬。面對金錢的誘惑,同時也確信公司並沒有任何安全手段,運維小哥終於向資料伸出了魔爪。

運維小哥自然是開除並扭送公安機關了,然後負責人卻陷入了深思:難保下一位運維小哥也如此,而且還有很多開發、測試人員,都掌握著root使用者許可權,難道我要發現一個開除一個嗎?放任內部人員薅羊毛,就是在葬送公司前程啊?必須找到解決辦法。

我笑了:資料庫安全運維,瞭解一下!

資料庫安全運維,讓內部人員縮回薅羊毛的手

通過資料庫賬號代理,確保root密碼只掌握在負責人手裡,其他不管是運維、開發,還是測試,統統只能用運維繫統的指定賬號。

細粒度的操作許可權控制,給每個人劃好框框,讓你只能查資料,無法修改;讓你只能操作A表,就絕對不能操作B表;不小心刪除資料?做不到!想批量下載資料?沒門!

核心的運維行為審批,臨時性的關鍵操作,必須通過提申請,獲得臨時授權,完事許可權立即回收,不留隱患。

通過動態資料脫敏功能,讓運維就只管運維,至於房源資訊,都是假的!

運維行為審計,你的操作都在我的掌握之內,規規矩矩啥事沒有,否則,可別怪我翻舊賬哦。

試用了一個星期,負責人給筆者打來電話:有了資料庫安全運維,再也不怕內部人員薅羊毛了。