事件回顧：

4月3日，土耳其爆發重大資料洩露事件，近5000W土耳其公民個人資訊牽涉其中，包括姓名、身份證號、父母名字、住址等等一連串敏感資訊被駭客打包放在芬蘭某IP地址下，人們可透過P2P任意下載他們感興趣的資料。同時為了證明這些被盜取資料的真實性，駭客特地公佈了土耳其現任總統埃爾多安的個人資訊以作示範，並且對該洩密資料庫的程式設計水平大肆嘲諷。

事件分析：

在此先且不論這次網路攻擊是否出於政治動機，直觀整個事件，暴露出來的是資料庫安全軟肋，主要有兩個關鍵點：

　　1、未嚴格限制訪問資料庫賬號的許可權，造成入侵賬號對資料的越權非法訪問。

　　2、未對敏感資料進行加密。造成敏感資料明文洩露。

　　對此，IT168諮詢了安華金和權威專家，專家指出“資料庫安全軟肋，對於這類嚴重洩密事件，提出安全防護措施：

　　敏感資料加密

　　“我們必須修復你們草率的DB工作”——面對來自駭客的挑釁，針對資料庫核心資料進行加密，對政府部門而言，保持自身公信力，政府需要對公民的個人資料做安全保護。資料庫加密技術可以有效解決這類問題。國內在此領域成熟的資料庫加密產品有資料庫保險箱DBCoffer，突破了傳統資料庫安全加固產品的技術瓶頸，真正實現資料高度安全、應用完全透明、密文高效訪問。DBCoffer可以有效防止由於明文儲存引起的洩密、防止外部非法入侵竊取敏感資料、防止內部高許可權使用者資料竊取、防止合法使用者違規資料訪問。

　限制訪問許可權

　　嚴格的資料庫訪問許可權設定可以防止絕大部分的駭客利用shell入侵，是保護資料庫安全的重要組成部分。限制訪問許可權可以採取兩大類方式：

　　1、 透過資料庫本身設定：

　　利用資料庫自身許可權對訪問賬號進行許可權設定，以防止駭客獲取帶有許可權的shell後對資料庫進行非法查詢。

　　2、 透過第三方安全產品進行限制

　　雖然資料庫系統自身可以對訪問賬號進行初步的許可權控制，但在實際應用中往往需要對使用者進行更多細節方面的設定，這在實現上存在一定困難，即便可以達到目的，但其複雜性仍需大量的人力及專業的資料庫知識。對此，資料庫防火牆等專業安全產品可以提供更便利有效的許可權設定，對所有訪問賬號進行統一的規範化管理。

事件回顧:

4月3日，土耳其爆發重大資料洩露事件，近5000萬土耳其公民個人資訊牽涉其中，包括姓名、身份證號、父母名字、住址等等一連串敏感資訊被駭客打包放在芬蘭某IP地址下，人們可透過P2P任意下載他們感興趣的資料。同時為了證明這些被盜取資料的真實性，駭客特地公佈了土耳其現任總統埃爾多安的個人資訊以作示範，並且對該洩密資料庫的程式設計水平大肆嘲諷。

資料洩露的背後，不單因為駭客的攻擊，也有一定的內因性。

就像

2013年12月，土耳其最高選舉委員會網站遭俄羅斯駭客攻擊，選民資料庫中5400萬土耳其人包括姓名、身分證號碼、地址等在內的個人資料被盜。據稱洩露的原因是土耳其最高選舉委員會把選民的個人資料與所有政黨分享。

內因——

1、部分人員資訊保安意識貧乏。

2、資訊系統的防護裝置薄弱

3、沒有對重要資訊設定密碼，沒有對敏感資訊設定訪問許可權

4、技術水平的欠缺

管理建議：

1、資訊保安教育和培訓宜定期開展，增強資訊保安意識。

2、加強系統的防護裝置，及時更新。

3、設定訪問許可權，對相對應的資訊要有密碼保護

4、不斷更新技術水平

洩露的只是重要人物的資料。普通大眾還怕出名不及。在洩露當中，大眾只是陪襯。說白了，這是政治陰謀。就像我們現在的隱私，早已暴露在網際網路中了。包括我們每個人的喜歡，常去地點，通訊，家庭。當我們成為一些政治利益的時候，我們一些陰暗的地方也會被曝光。不過，別把我們抬舉高了，我們這些小魚，翻不了大浪罷了