V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
billgreen1
V2EX  ›  程序员

对公司加强数据库管理有点不满。。。

  •  
  •   billgreen1 · 2017-04-07 11:57:53 +08:00 · 4875 次点击
    这是一个创建于 2778 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我是数据科学部的, 最近 IT 部门说要加强对数据库管理,取消所有人的读 /写权限。数据部门如果要读取数据,得写申请要读取哪个库的哪个表。然后交给他们,他们导出最近 3 年的数据,然后交给我们这边。

    突然就莫名其妙的的有点生气,感觉这样太不合理。

    想了解各位贵司都是如何操作的。
    32 条回复    2017-04-08 21:50:53 +08:00
    sagaxu
        1
    sagaxu  
       2017-04-07 12:02:59 +08:00
    一个邮件开通帐号,然后随便读
    ChefIsAwesome
        2
    ChefIsAwesome  
       2017-04-07 12:03:35 +08:00
    你们麻烦,人家不也麻烦。麻烦从来就不是问题,解决麻烦提高效率更是程序员天生就爱干的事情。加流程肯定是有原因的,你们交流好为什么要加流程,怎么改善流程就行了呗。
    MFC
        3
    MFC  
       2017-04-07 12:22:30 +08:00   ❤️ 1
    加强数据库内部控制,是防止内鬼泄露数据的好办法。

    我的设想更极端,数据库完全不直接开放读写,而是通过防火墙边界上的 web service 提供统一接口共享。
    knightdf
        4
    knightdf  
       2017-04-07 12:57:32 +08:00
    一个 readonly 帐号,随便读
    Shura
        5
    Shura  
       2017-04-07 13:08:20 +08:00 via Android
    为什么突然要加强数据库管理呢?
    sunsol
        6
    sunsol  
       2017-04-07 13:11:04 +08:00
    再架个同步数据库同步指定数据算了
    xdz0611
        7
    xdz0611  
       2017-04-07 13:21:26 +08:00
    @MFC #3 亚马逊不就这么搞的么, 所以搞出了个 aws, 挺好
    nandaye
        8
    nandaye  
       2017-04-07 13:30:22 +08:00
    你们居然可以导出生产数据?
    我们这边只是在虚拟桌面上有部分表只读权限。绝对是不能导出的。
    roist
        9
    roist  
       2017-04-07 13:35:31 +08:00
    说句不好听的话,楼主可真是个妈宝
    ivvei
        10
    ivvei  
       2017-04-07 13:35:47 +08:00
    @MFC 只要能看到数据,该泄密还不是一样泄密。
    ivvei
        11
    ivvei  
       2017-04-07 13:40:03 +08:00   ❤️ 3
    这种事情建议先了解下为什么突然出这么个措施,目的是什么。然后针对这个目的看看是不是有逼可撕,是不是有更好的解决办法。需要上级出面就去争取上级的力量。现在的这个措施明显对两边部门都是降低效率的,显然是个下策。但是公司都宁愿出此下策了,那估计是之前发生了什么事情吧。
    billgreen1
        12
    billgreen1  
    OP
       2017-04-07 13:41:13 +08:00 via iPhone
    @roist 这算人参公鸡嘛?
    learnshare
        13
    learnshare  
       2017-04-07 13:55:02 +08:00
    线上数据应该谁也不允许看才对
    billgreen1
        14
    billgreen1  
    OP
       2017-04-07 13:57:43 +08:00 via iPhone
    @learnshare,是所有数据库, MySQL,mongo, etc,包括线上和线下
    zhengxiaowai
        15
    zhengxiaowai  
       2017-04-07 14:09:27 +08:00
    我们使用 AWS 本部门都有权限,但是需要其他部门数据时候一般都给个同步地址
    8355
        16
    8355  
       2017-04-07 14:10:43 +08:00
    从去年开始我们也开始这样搞了.
    提出这个需求的是运维.因为现在生产的数据很值钱.老板也同意了.
    当时觉得很不习惯,本来有读权限,可以随时查看数据方便调试.
    首先数据跑了一下 AES 加密防止泄漏
    后来运维给开发了一套 web 的应用
    主要就是 sql 解析器
    不同的权限可以查不同的表
    虽然效率确实比以前慢了很多感觉做什么都有很多掣肘
    但后来想想为了安全生产就想开了.
    nfroot
        17
    nfroot  
       2017-04-07 14:42:53 +08:00
    @8355 感觉运维真是一个奇怪的职位(原谅我外行),还要开发应用给你们用……还要 24 小时待命(猜的),这说明技术要求也不低,总有一种比开发还强大的感觉……所以 薪水会更高么 0 0
    maemual
        18
    maemual  
       2017-04-07 14:51:19 +08:00
    > 我是数据科学部的, 最近 IT 部门说要加强对数据库管理,取消所有人的读 /写权限。数据部门如果要读取数据,得写申请要读取哪个库的哪个表。然后交给他们,他们导出最近 3 年的数据,然后交给我们这边。

    如果不是发生了什么事情, DBA 也不想这么麻烦啊,明显双方都麻烦的事情。

    > 突然就莫名其妙的的有点生气,感觉这样太不合理。

    你觉得不合理也得思考思考为什么吧

    > 想了解各位贵司都是如何操作的。

    对于数据平台,专门在凌晨自动同步数据库数据到 hadoop 上,数据平台自己随便玩。
    qiubaowei
        19
    qiubaowei  
       2017-04-07 14:55:34 +08:00 via iPhone
    我们只有只读权限。
    JulyXing
        20
    JulyXing  
       2017-04-07 14:57:23 +08:00
    数据库的权限管理问题,本来就应该重视。想起当初携程的事情,不知道是真是假。
    8355
        21
    8355  
       2017-04-07 14:57:45 +08:00
    @nfroot #17 没有啊 运维基本都会 python 写个普通的小程序没什么吧.运维搞的好基本没什么太多东西需要做啊. 很多脚本都写好了. 装环境之类的直接跑脚本就好了. 难道你理解的运维是人肉运维吗? 肯定是多数时间系统自己监控 出了问题报警邮件和短信啊.然后人工介入.
    maplerecall
        22
    maplerecall  
       2017-04-07 15:43:43 +08:00
    很合理啊……不方便归不方便,但认为不合理那就不对了,这种线上库就该加强管理,谁想读写都得申请,出了问题才能方便理清责任,现在这种数据越来越重要的时代对数据加强管控并没有什么不妥。
    Phariel
        23
    Phariel  
       2017-04-07 15:45:32 +08:00
    这不是很正常 大公司不要说数据库了 你就是访问或者使用一个模块都可能得有权限审批 不然几千上万人的大公司人手一份全权限不都乱了套了?
    mytsing520
        24
    mytsing520  
       2017-04-07 16:09:43 +08:00
    正常。。
    murmur
        25
    murmur  
       2017-04-07 16:13:39 +08:00
    生产数据有些是隐私 能随便给开发人员么 我们也有生产模拟环境 但是都是处理过的数据 附件 金额什么全被抹去了
    liprais
        26
    liprais  
       2017-04-07 16:50:46 +08:00
    以前在另一家公司的时候,数据科学团队的实习生因为觉得 varchar 类型不好用,直接改成了 int...表里的数据全毁,从那之后果断收权限了.....
    atnopc
        27
    atnopc  
       2017-04-07 17:02:36 +08:00
    这不奇怪啊,那些做医院的。
    什么?你要直接操作数据库权限?
    最多给你个 api,还是按规则可以给的表里指定字段的查询权限
    想要别的,先去走个流程审批后再说
    tinyproxy
        28
    tinyproxy  
       2017-04-07 19:30:18 +08:00 via iPhone
    @liprais 没备份么(╯‵□′)╯︵┻━┻
    yruite
        29
    yruite  
       2017-04-07 23:35:05 +08:00
    我是推崇权限控制和流程控制的,京东就有内鬼出售数据,加强数据库管理是对客户负责,也是对公司负责。
    xy90321
        30
    xy90321  
       2017-04-08 17:23:12 +08:00
    我们的生产环境是要去带专门门禁和 24 小时视频监控的专用物理机房里登录专门的终端通过专线才能连接上的...

    所有纸质资料只能带入不能带出,存储设备就更是做梦了...

    生产环境的数据导出之前都要有专门的负责人员把所有隐私项目全部 mask 掉以后才能拿出来的

    即使如此按照规定用完以后还需要拿强制擦除工具确保一定级别的复写擦除以后才算完事...

    所以我很惊讶题主公司竟然才开始搞这些吗
    dexterlei
        31
    dexterlei  
       2017-04-08 20:39:25 +08:00
    @xy90321 wow
    techme
        32
    techme  
       2017-04-08 21:50:53 +08:00
    京东数据泄露内鬼被抓 涉案 50 亿条公民信息泄露
    2017-03-13 21:14:44 来源:凤凰 WEMONEY
    可能因为别的公司出了问题,很多公司才开始重视起来这方面吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3030 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 14:19 · PVG 22:19 · LAX 06:19 · JFK 09:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.