数据库中的用户隐私和数据安全

Question

有没有一种方法可以设计一个数据库，在系统入侵的情况下保护用户的配置文件数据？

例如，私有数据可能很有价值，即使它可能与金融交易或密码没有直接关系。电话号码、电子邮件地址等可以转售

有没有办法设计一个以会员为基础的网站，其中个人信息被存储并由网站的授权代理处理。但是，在这种情况下，如果数据库与系统断开连接，则数据可能会贬值。

我意识到大多数用户隐私和数据问题主要集中在UI上，并防止未经授权的用户访问与他们无关的数据。然而，我的问题是如何在后端内部保护用户信息。我也意识到这是一个数据丢失的情况，你可以做任何反应(技术上的)，但我试图发现的是，是否可以主动做一些事情来减少打击。

我的问题是:如何在不影响数据实际用途的情况下保护个人数据？

我可以看到需要对所有信息进行加密，但这将阻止组访问与用户相关的数据。例如，您可以使用私钥加密用户的邮政编码，但是如何保留使用邮政编码的位置信息的能力。也许是为了向用户声明“这些人可能就在你附近”

在这种假设的情况下，攻击者会得到一个被利用的数据库。他们不能使用原始系统来操纵数据库。

Answer 1

如果您仅在用户登录时访问他们的信息，则可以使用他们的密码来解密数据库中的数据。例如，在此期间，您可以根据邮政编码计算单向散列，并存储未解密的散列。但是，如果您在站点的生命周期内开发数据库，您将无法更新从未登录的老用户的信息。也许这在实践中不是问题。

Answer 2

我将假定您指示入侵者不仅获得了对机器的访问权限，还获得了任何MySQL密码。

在这种情况下，我能想到的唯一解决方案就是在数据库下面使用加密的文件系统。

然而，即使在那里，你仍然失去了对设备的物理控制-所以如果入侵者已经找到了文件系统的解密密钥，你仍然处于众所周知的困境。

另一种选择是拆分应用程序，这样网站和数据库就不会共享同一系统。当然，通常以只读用户身份运行站点是一个好主意，™:)

以散列或加密的形式将数据存储在数据库中是一个很好的开始，但您仍然需要访问解密密钥，否则它将是官样文章。

当然，归根结底，保护数据库的最佳方法是阻止访问--这不是一个可行的解决方案。

当一家银行或商店的客户列表以未经授权的形式被访问时，这是一个周期性地出现在媒体上的问题-数据只有通过接口/应用程序才是安全的:它在某些时候仍然是明文的，在其他所有东西下面。

Answer 3

在你的例子中，适当的访问控制可能是最明智的方法，因为你不想放弃，比如对相关字段进行排序或查询的能力。