stupid

最近微博，百度，都被“借贷宝10G视频”，“stupidgirl.zip”刷了屏，泄漏出来的视频非常让人震撼，同时也为现在的少女感到惋惜。听说视频是约11月29日泄漏，到今天仅仅数天，搜索量增长的速度环比增长953%，互联网传播势头迅猛，有图有真相：

搜索指数图

其实，现在越多的APP都开始追求真实用户量，因此注册时各种手机验证，邮箱验证，上传身份证及手持照片，都见惯不怪了，但是大家在可否有想到？这些存放在服务器上真实的个人隐私数据，其实可能也许并没有被电子监管（访问权限控制），也可能服务器没有做到足够的安全防护，前者，只要是企业内部的员工，涉及到操作权限的，都有可能把这些资料私自复制下来，转卖到各种黑色产业链牟取暴利，后者则是给各类的黑客入侵，复制，像这次裸条事件公诸网上...

只要黑客拿着你的帐号，身份证号，手机号，就可以利用穷举法，去攻破你的各种网上公共业务，例如邮箱，还有为什么现在电信诈骗如此猖獗，就是因为这样的“大数据”实在太容易获得了，骗子都有专门的大数据平台，把这些数据做深度挖掘（爱好单位亲属）......（大中型的诈骗集团上个SAPHANA都不是没有可能的）

因此，从近几年一些网络数据库泄漏的事件，如某酒店集团2000万房客数据记录，就看出企业对服务器的入侵防护，特别是访问权限方面控制的投入，不够重视，运营一个APP，可能他有一个庞大的服务器集群，却没有几台像样的防火墙，堡垒机，对数据的监控几乎没有或者仅仅停留在操作日志阶段。

说到堡垒机，可能IT都比较陌生，这里简单介绍一下概念（来自百度百科）：

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责。其从功能上讲，它综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过运维安全审计的翻译。打一个比方，运维安全审计扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误操作和非法操作进行审计监控，以便事后责任追踪。

安全审计作为企业信息安全建设不可缺少的组成部分，逐渐受到用户的关注，是企业安全体系中的重要环节。同时，安全审计是事前预防、事中预警的有效风险控制手段，也是事后追溯的可靠证据来源。

最后，以后减少这样的泄漏事件的频繁发生，应该从网络架构和业务流程入手，对数据访问入口（路径），存储方式（媒体），帐号（操作者），建立全面的防范手段和监控授权机制。