資料庫處漏
⑴ 常見的操作系統漏洞有哪些怎麼解決
再強大再安全的 操作系統 ,也會出現一些漏洞從而被病毒攻擊。那麼如何解決漏洞被攻擊的問題呢?下面由我整理了常見的操作系統漏洞及解決 方法 ,希望對你有幫助。
常見的操作系統漏洞及解決方法
常見的操作系統漏洞一、 SQL注入漏洞
SQL注入攻擊(SQL Injection),簡稱注入攻擊、SQL注入,被廣泛用於非法獲取網站控制權,是發生在應用程序的資料庫層上的安全漏洞。在設計程序,忽略了對輸入字元串中夾帶的SQL指令的檢查,被資料庫誤認為是正常的SQL指令而運行,從而使資料庫受到攻擊,可能導致數據被竊取、更改、刪除,以及進一步導致網站被嵌入惡意代碼、被植入後門程序等危害。
通常情況下,SQL注入的位置包括:
(1)表單提交,主要是POST請求,也包括GET請求;
(2)URL參數提交,主要為GET請求參數;
(3)Cookie參數提交;
(4)HTTP請求頭部的一些可修改的值,比如Referer、User_Agent等;
(5)一些邊緣的輸入點,比如.mp3文件的一些文件信息等。
SQL注入的危害不僅體現在資料庫層面上,還有可能危及承載資料庫的操作系統;如果SQL注入被用來掛馬,還可能用來傳播惡意軟體等,這些危害包括但不局限於:
(1)資料庫信息泄漏:資料庫中存放的用戶的隱私信息的泄露。作為數據的存儲中心,資料庫里往往保存著各類的隱私信息,SQL注入攻擊能導致這些隱私信息透明於攻擊者。
(2)網頁篡改:通過操作資料庫對特定網頁進行篡改。
(3)網站被掛馬,傳播惡意軟體:修改資料庫一些欄位的值,嵌入網馬鏈接,進行掛馬攻擊。
(4)資料庫被惡意操作:資料庫伺服器被攻擊,資料庫的系統管理員帳戶被篡改。
(5)伺服器被遠程式控制制,被安裝後門。經由資料庫伺服器提供的操作系統支持,讓黑客得以修改或控制操作系統。
(6)破壞硬碟數據,癱瘓全系統。
解決SQL注入問題的關鍵是對所有可能來自用戶輸入的數據進行嚴格的檢查、對資料庫配置使用最小許可權原則。 通常使用的方案有:
(1)所有的查詢語句都使用資料庫提供的參數化查詢介面,參數化的語句使用參數而不是將用戶輸入變數嵌入到SQL語句中。當前幾乎所有的資料庫系統都提供了參數化SQL語句執行介面,使用此介面可以非常有效的防止SQL注入攻擊。
(2)對進入資料庫的特殊字元('"<>&*;等)進行轉義處理,或編碼轉換。
(3)確認每種數據的類型,比如數字型的數據就必須是數字,資料庫中的存儲欄位必須對應為int型。
(4)數據長度應該嚴格規定,能在一定程度上防止比較長的SQL注入語句無法正確執行。
(5)網站每個數據層的編碼統一,建議全部使用UTF-8編碼,上下層編碼不一致有可能導致一些過濾模型被繞過。
(6)嚴格限制網站用戶的資料庫的操作許可權,給此用戶提供僅僅能夠滿足其工作的許可權,從而最大限度的減少注入攻擊對資料庫的危害。
(7)避免網站顯示SQL錯誤信息,比如類型錯誤、欄位不匹配等,防止攻擊者利用這些錯誤信息進行一些判斷。
(8)在網站發布之前建議使用一些專業的SQL注入檢測工具進行檢測,及時修補這些SQL注入漏洞。
常見的操作系統漏洞二、 跨站腳本漏洞
跨站腳本攻擊(Cross-site scripting,通常簡稱為XSS)發生在客戶端,可被用於進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。
XSS攻擊使用到的技術主要為HTML和Javascript,也包括VBScript和ActionScript等。XSS攻擊對WEB伺服器雖無直接危害,但是它藉助網站進行傳播,使網站的使用用戶受到攻擊,導致網站用戶帳號被竊取,從而對網站也產生了較嚴重的危害。
XSS類型包括:
(1)非持久型跨站:即反射型跨站腳本漏洞,是目前最普遍的跨站類型。跨站代碼一般存在於鏈接中,請求這樣的鏈接時,跨站代碼經過服務端反射回來,這類跨站的代碼不存儲到服務端(比如資料庫中)。上面章節所舉的例子就是這類情況。
(2)持久型跨站:這是危害最直接的跨站類型,跨站代碼存儲於服務端(比如資料庫中)。常見情況是某用戶在論壇發貼,如果論壇沒有過濾用戶輸入的Javascript代碼數據,就會導致其他瀏覽此貼的用戶的瀏覽器會執行發貼人所嵌入的Javascript代碼。
(3)DOM跨站(DOM XSS):是一種發生在客戶端DOM(Document Object Model文檔對象模型)中的跨站漏洞,很大原因是因為客戶端腳本處理邏輯導致的安全問題。
XSS的危害包括:
(1)釣魚欺騙:最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站,或者注入釣魚JavaScript以監控目標網站的表單輸入,甚至發起基於DHTML更高級的釣魚攻擊方式。
(2)網站掛馬:跨站時利用IFrame嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上,或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。
(3)身份盜用:Cookie是用戶對於特定網站的身份驗證標志,XSS可以盜取到用戶的Cookie,從而利用該Cookie盜取用戶對該網站的操作許可權。如果一個網站管理員用戶Cookie被竊取,將會對網站引發巨大的危害。
(4)盜取網站用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份使,攻擊者可以獲取到用戶對網站的操作許可權,從而查看用戶隱私信息。
(5)垃圾信息發送:比如在SNS社區中,利用XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。
(6)劫持用戶Web行為:一些高級的XSS攻擊甚至可以劫持用戶的Web行為,監視用戶的瀏覽歷史,發送與接收的數據等等。
(7)XSS蠕蟲:XSS 蠕蟲可以用來打 廣告 、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS攻擊等。
常用的防止XSS技術包括:
(1)與SQL注入防護的建議一樣,假定所有輸入都是可疑的,必須對所有輸入中的script、iframe等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入介面,也包括HTTP請求中的Cookie中的變數,HTTP請求頭部中的變數等。
(2)不僅要驗證數據的類型,還要驗證其格式、長度、范圍和內容。
(3)不要僅僅在客戶端做數據的驗證與過濾,關鍵的過濾步驟在服務端進行。
(4)對輸出的數據也要檢查,資料庫里的值有可能會在一個大網站的多處都有輸出,即使在輸入做了編碼等操作,在各處的輸出點時也要進行安全檢查。
(5)在發布應用程序之前測試所有已知的威脅。
常見的操作系統漏洞三、 弱口令漏洞
弱口令(weak password) 沒有嚴格和准確的定義,通常認為容易被別人(他們有可能對你很了解)猜測到或被解除工具解除的口令均為弱口令。設置密碼通常遵循以下原則:
(1)不使用空口令或系統預設的口令,這些口令眾所周之,為典型的弱口令。
(2)口令長度不小於8個字元。
(3)口令不應該為連續的某個字元(例如:AAAAAAAA)或重復某些字元的組合(例如:tzf.tzf.)。
(4)口令應該為以下四類字元的組合,大寫字母(A-Z)、小寫字母(a-z)、數字(0-9)和特殊字元。每類字元至少包含一個。如果某類字元只包含一個,那麼該字元不應為首字元或尾字元。
(5)口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail地址等等與本人有關的信息,以及字典中的單詞。
(6)口令不應該為用數字或符號代替某些字母的單詞。
(7)口令應該易記且可以快速輸入,防止他人從你身後很容易看到你的輸入。
(8)至少90天內更換一次口令,防止未被發現的入侵者繼續使用該口令。
常見的操作系統漏洞四、 HTTP報頭追蹤漏洞
HTTP/1.1(RFC2616)規范定義了HTTP TRACE方法,主要是用於客戶端通過向Web伺服器提交TRACE請求來進行測試或獲得診斷信息。當Web伺服器啟用TRACE時,提交的請求頭會在伺服器響應的內容(Body)中完整的返回,其中HTTP頭很可能包括Session Token、Cookies或 其它 認證信息。攻擊者可以利用此漏洞來欺騙合法用戶並得到他們的私人信息。該漏洞往往與其它方式配合來進行有效攻擊,由於HTTP TRACE請求可以通過客戶瀏覽器腳本發起(如XMLHttpRequest),並可以通過DOM介面來訪問,因此很容易被攻擊者利用。
防禦HTTP報頭追蹤漏洞的方法通常禁用HTTP TRACE方法。
常見的操作系統漏洞五、 Struts2遠程命令執行漏洞
Apache Struts是一款建立Java web應用程序的開放源代碼架構。Apache Struts存在一個輸入過濾錯誤,如果遇到轉換錯誤可被利用注入和執行任意Java代碼。
網站存在遠程代碼執行漏洞的大部分原因是由於網站採用了Apache Struts Xwork作為網站應用框架,由於該軟體存在遠程代碼執高危漏洞,導致網站面臨安全風險。CNVD處置過諸多此類漏洞,例如:「GPS車載衛星定位系統」網站存在遠程命令執行漏洞(CNVD-2012-13934);Aspcms留言本遠程代碼執行漏洞(CNVD-2012-11590)等。
修復此類漏洞,只需到Apache官網升級Apache Struts到最新版本:http://struts.apache.org
常見的操作系統漏洞六、 框架釣魚漏洞(框架注入漏洞)
框架注入攻擊是針對Internet Explorer 5、Internet Explorer 6、與 Internet Explorer 7攻擊的一種。這種攻擊導致Internet Explorer不檢查結果框架的目的網站,因而允許任意代碼像Javascript或者VBScript跨框架存取。這種攻擊也發生在代碼透過多框架注入,肇因於腳本並不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠商瀏覽器和腳本。
如果應用程序不要求不同的框架互相通信,就可以通過完全刪除框架名稱、使用匿名框架防止框架注入。但是,因為應用程序通常都要求框架之間相互通信,因此這種方法並不可行。 因此,通常使用命名框架,但在每個會話中使用不同的框架,並且使用無法預測的名稱。一種可行的方法是在每個基本的框架名稱後附加用戶的會話令牌,如main_display。
常見的操作系統漏洞七、 文件上傳漏洞
文件上傳漏洞通常由於網頁代碼中的文件上傳路徑變數過濾不嚴造成的,如果文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件後綴以及文件類型,攻擊者可通過 Web 訪問的目錄上傳任意文件,包括網站後門文件(webshell),進而遠程式控制制網站伺服器。
因此,在開發網站及應用程序過程中,需嚴格限制和校驗上傳的文件,禁止上傳惡意代碼的文件。同時限制相關目錄的執行許可權,防範webshell攻擊。
常見的操作系統漏洞八、 應用程序測試腳本泄露
由於測試腳本對提交的參數數據缺少充分過濾,遠程攻擊者可以利用洞以WEB進程許可權在系統上查看任意文件內容。防禦此類漏洞通常需嚴格過濾提交的數據,有效檢測攻擊。
常見的操作系統漏洞九、 私有IP地址泄露漏洞
IP地址是網路用戶的重要標示,是攻擊者進行攻擊前需要了解的。獲取的方法較多,攻擊者也會因不同的網路情況採取不同的方法,如:在區域網內使用Ping指令,Ping對方在網路中的名稱而獲得IP;在Internet上使用IP版的QQ直接顯示。最有效的辦法是截獲並分析對方的網路數據包。攻擊者可以找到並直接通過軟體解析截獲後的數據包的IP包頭信息,再根據這些信息了解具體的IP。
針對最有效的「數據包分析方法」而言,就可以安裝能夠自動去掉發送數據包包頭IP信息的一些軟體。不過使用這些軟體有些缺點,譬如:耗費資源嚴重,降低計算機性能;訪問一些論壇或者網站時會受影響;不適合網吧用戶使用等等。現在的個人用戶採用最普及隱藏IP的方法應該是使用代理,由於使用代理伺服器後,「轉址服務」會對發送出去的數據包有所修改,致使「數據包分析」的方法失效。一些容易泄漏用戶IP的網路軟體(QQ、MSN、IE等)都支持使用代理方式連接Internet,特別是QQ使用「ezProxy」等代理軟體連接後,IP版的QQ都無法顯示該IP地址。雖然代理可以有效地隱藏用戶IP,但攻擊者亦可以繞過代理,查找到對方的真實IP地址,用戶在何種情況下使用何種方法隱藏IP,也要因情況而論。
常見的操作系統漏洞十、 未加密登錄請求
由於Web配置不安全,登陸請求把諸如用戶名和密碼等敏感欄位未加密進行傳輸,攻擊者可以竊聽網路以劫獲這些敏感信息。建議進行例如SSH等的加密後再傳輸。
常見的操作系統漏洞十一、 敏感信息泄露漏洞
SQL注入、XSS、目錄遍歷、弱口令等均可導致敏感信息泄露,攻擊者可以通過漏洞獲得敏感信息。針對不同成因,防禦方式不同。
⑵ 資料庫泄露意味著什麼
您有秘密嗎?
您擔心電腦數據的安全嗎?
您可曾想過,計算機失竊、遺失,也會造成數據泄密?
您可曾想過,電腦維護人員維修你的電腦時也能竊取機密信息?
您可曾想過,企業內部職員可以通過移動存儲設備(如U盤),或者郵件、文件傳輸、上載等方式輕松地泄密?
隱私信息或技術資料以電子形式儲存在計算機中,通過網路或可移動介質傳遞,安全難以得到保障。一旦信息遭到泄露,有可能對個人或企業造成難以估計的損失,因此對數據進行加密是目前解決信息泄密的最有效方法。
K/3數據安全平台是以自動防護為理念的信息安全系列軟體產品,實現自動、動態、透明地對存儲在計算機上的數據進行加密處理,加密強度大、安全級別高,能有效提高內網的安全保密性。
一、應用背景
1.現狀分析
隨著信息技術的發展,企業為了提高信息處理的效率,越來越多地把文檔轉化為電子文檔形式,甚至把90%以上的企業機密信息以電子文檔的形式存儲在企業內網中。同時,企業也大量使用ERP、CRM、OA等與資料庫相關的電子信息管理方案。這些新型管理手段的使用,在給企業帶來更高的生產效率的同時也給企業的信息安全管理帶來了新的挑戰。雖然企業採用了反病毒軟體、防火牆、入侵檢測、身份認證等手段,但依然無法阻止電子形式的信息通以各種方式從企業中泄漏出去。而當前的大部分網路安全技術出發點是解決對外防護的問題,對內防護十分薄弱。面對日益嚴重的信息安全威脅,企業原有的安全方案漸漸顯得力不從心。
1幾乎每個企業都會遇到「合理」避稅的問題;一旦泄密,企業將進入非常被動的狀態;
2幾乎每個高新企業都要保護技術秘密;一旦泄密,企業將失去核心競爭力,喪失行業領導地位;
3幾乎每個企業都要保護標書、合同、報價單等商業私密,一但泄密,企業將失去客戶。
2.信息安全威脅
2.1據波萊蒙研究所表示,企業在數據入侵時的平均損失呈逐年遞增趨勢。數據入侵給企業帶來的平均損失是660萬美元,有的公司的損失甚至高達3200萬美元。企業因數據入侵而遭受的最大損失是丟失業務。據其表示,在去年的每條記錄平均損失202美元中,有139美元(佔69%)是指丟失業務。
2.2根據FBI和CSI對484家公司進行的網路安全專項調查結果顯示:超過70%的安全威脅來自公司內部,在損失金額上,由於內部人員泄密導致的損失,是黑客造成損失的16倍,是病毒造成損失的12倍。
2.3據中國國家信息安全測評中心調查,信息安全的現實威脅也主要為內部信息泄露和內部人員犯罪,而非病毒和外來黑客引起。
……
3.常見的泄密途徑
3.1黑客通過安裝惡意軟體(如木馬程序)把信息復制出去而泄密。
3.2計算機感染病毒自動向外發送的泄密。
3.3計算機失竊、遺失造成的數據泄密。
3.4內部人員通過移動存儲設備復制信息,或者以郵件、文件上傳等形式泄密。
3.5第三方維護人員利用工作之便竊取信息造成泄密。
4.加密機密資料,徹底解決安全隱患
4.1所有機密資料不能隨便流出企業;
4.2所有機密資料在企業內部透明流通,消除安全隱患的同時,又不影響正常業務操作;
4.3所有機密資料可設置各種安全等級,根據授權使用;
4.4機密資料只有一個可控且唯一的安全出口。
二、產品概述
1.平台簡介
金蝶K/3數據安全平台能有效保護您的數據安全!
平台採用「驅動層」底層透明加密技術,結合世界先進加密演算法,提供完全自動化、動態化、透明化數字文件加密保護。
金蝶K/3數據安全平台解決方案
2.平台特性
2.1採用驅動層動態透明加解密技術;
2.2唯一的企業密鑰,密鑰長度最高可達到8192位;
2.3採用高強度加密演算法,可多種加密演算法混合使用及多次加密;
2.4可加密任何類型的文件或資料庫;
2.5可加密在任何儲存介質上的文件;
2.6嚴格的身份認證體系;
2.7完善的、可無限擴充文件密級控制;
2.8加密文件只有被授權解密才能轉成明文外向傳送;
2.9加解密策略庫、日誌審計報表均可自由定製;
2.10平台簡單易用,無需第三方軟體配合,基本上不改變現有操作模式。
3.系統拓撲結構圖
金蝶K/3數據安全平台解決方案
4.功能概覽:
金蝶K/3數據安全平台解決方案
5.技術優勢:
5.1資料庫加密
資料庫在運行、備份過程中均為密文,通過應用軟體導出報表,無論是C/S或B/S應用模式,報表均被自動加密;並配備「資料庫鎖定熱鍵」,可在網內任一計算機按預設鍵,即時鎖死已加密的資料庫,企業可從容應對各種突發事件。
金蝶K/3數據安全平台解決方案
5.2文件加密
安全平台客戶端創建文件時,文件即被自動加密,並自動根據文件創建者許可權在文件內添加相應的「部門」、「密級」屬性。加密後的文件可在企業內部自由流通,安全平台通過嚴格的文件訪問機制,確定文件不被非授權用戶使用。
金蝶K/3數據安全平台解決方案
支持的應用列表:
金蝶K/3數據安全平台解決方案
5.3可無限擴展的密級管理機制
靈活的「部門」+「密級」管理機制,全面掌控機密資料流向,真正實現任意細粒度控制。
安全平台根據人員「部門」、「密級」授權和文件的「部門」、「密級」屬性進行比對,在部門相符,人員「密級」授權大於或等於文件「密級」屬性的情況下,才允許正常打開加密文件。
當企業行政架構發生變化時,「部門」、「密級」均可任意增加或插入,無需特殊處理已加密文件,即可自動繼承相關授權,可輕松應對未來的擴展。
當文件臨時需要交由企業內部其他部門使用時,可通過OA的審批流程或在安全平台客戶端直接把文件內含的「部門」、「密級」屬性變更到為新的「部門」、「密級」。
當企業內部某些人員需要跨部門工作時,可通過安全平台控制台,對特定人員授與相應的「部門」、「密級」操作許可權。
金蝶K/3數據安全平台解決方案
5.4靈活的解密機制
多種靈活的解密方式,可結合OA或PLM使用,實現工作程審批解密或郵件白名單自動解密,減少領導手工解密的工作量,提高企業效率。
金蝶K/3數據安全平台解決方案
5.5列印限制功能
可根據不同用戶許可權,限制相應進程的列印功能。減少機密文件通過紙質形式泄密的機會。
5.6進程限制功能
可根據不同用戶許可權,限制相應進程的運行功能。禁用與工作無關的應用,提高工作效率。
5.7網址訪問控制功能
可根據不同用戶許可權,設定網址訪問許可權,分別使用黑白名單管理,禁止用戶訪問與工作無關的網頁,提高工作效率。
5.8遠程監控
根據不同用戶許可權,可隨時監控任一安全平台客戶端的計算機屏幕,安全終端所有操作行為無所遁形。
5.9工作時間排程
可根據實際情況,任意設定資料庫伺服器及平台各用戶的工作時間,在非工作時間內,無法登錄平台,無法使用已加密的文件,確保機密資料安全。
5.10支持多種登錄模式
包括「用戶名+密碼」、「用戶名+智能卡數字證書(CA)」、用戶名捆綁IP、Mac地址、開機自動登錄等。
5.11多種隱蔽機制
隱蔽安全平台運行界面、未登錄平台前隱藏已加密的文件,使用企業機密更加安全。隱藏後,在資源管理器看不到已加密文件,在SQL企業管理器中看不到已加密的資料庫,在金蝶賬套管理也看不到已加密賬套。
5.12支持離線應用
安全平台根據離線後有效時間、離線後登錄次數等進行離線控制,即使計算機離開公司環境,仍受到實時監控,加密效果與在公司內部使用一樣。
5.13完善的日誌記錄
詳細記錄安全終端的各項關鍵操作,根據客戶需要輸出相應報表。
⑶ 最近幾年資料庫泄漏事件
泄露事故統計數字正在逐步下降,但數據仍然面臨著由資料庫、應用以及終端保護不當所引發的嚴重風險。
從多個角度來看,2013年的數據泄露趨勢已經得到有效扼制,這對於安全行業來說當然是個好消息。不同於過去四到五年,今年的記錄當中不再充斥著大型資料庫泄露所導致的數以千萬計個人身份信息的外流。根據隱私權信息交流中心的調查,本年度公開報道的泄露事故數量及記錄在案的泄露事故數量雙雙呈下降趨勢。去年同期,得到確切統計的記錄泄露數量已經達到約278萬條,漏洞報告則為637份。而在今年,目前為止記錄在案的泄露事故約為107萬條,漏洞報告則為483份。這充分證明整個安全行業在合規性與安全最佳實踐方面所迎來的進步——然而這樣的戰績與理想目標相比仍然相去甚遠。
在對年初至今的數字進行比較時,我們發現記錄在案的泄露事故數量大幅降低了61.7%,然而報告提及的泄露事故數量則僅降低了24.2%。這表明泄露事故仍然快速發生——只不過如今的犯罪活動及違規事件開始逐步擴散而非集中於一點。泄露事件影響范圍更小,而且根據安全業內人士的說法,此類惡意活動的目標也更為廣泛。現在犯罪分子開始更多地竊取IP或者其它數字資產,由此引發的損失可能比客戶記錄本身更為嚴重——同時這也更加難以量化,無法提供頭條新聞所必需的統計結果。
通過對今年發生的泄露事故的深入鑽研,我們發現安全行業明顯仍有大量工作要做。2013年的追蹤記錄證明,有價值資料庫仍然沒有受到嚴格保護與加密、應用程序仍然存在大量安全漏洞、用戶們則仍然能夠從敏感資料庫中下載大量信息並將其保存在缺乏保護的終端當中。為了幫助大家更好地理解當前安全形勢,我們選取了幾項最具代表意義的實例,希望各位能夠從中吸取可資借鑒的教訓。
當事企業: CorporateCarOnline.com
泄露統計: 850,000份記錄被盜
事故細節:作為全美最具知名度的專業體育、娛樂外加五百強企業,CorporateCarOnline.com擁有大量用戶個人資料、信用卡號碼以及其它個人身份信息,然而由於其開發出的全球豪車租賃SaaS資料庫解決方案將全部信息以純文本形式儲存,最終導致這一切成為犯罪分子的囊中之物。名單中涉及不少大牌,包括湯姆·漢克斯、湯姆·達施勒以及唐納德·特朗普等。
經驗教訓:最重要的教訓在於認清這樣一個現實:面對極具價值的財務與社會工程信息,攻擊者們會爆發出極為可怕的技術能量。根據KrebsOnSecurity.com網站的調查,目前遭遇過違規活動的美國運通卡當中有四分之一為高額度甚至無限額度卡片,而且企業間諜分子或者娛樂小報記者也希望通過這類個人信息挖掘到有價值結論。與此同時,該公司在管理收支賬目時完全沒有考慮過信息安全性,甚至從未嘗試採取任何最基本的加密措施。
當事企業: Adobe
泄露統計: 約三百萬個人身份信息、超過1.5億用戶名/密碼組合以及來自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未說明產品的源代碼慘遭竊取。
事故細節: 自最初的違規事件發生之後,接踵而來的更多攻擊活動持續了一個多月之久,並最終導致了此次重大事故的發生。目前情況已經明確,Adobe正在努力恢復其失竊的大量登錄憑證信息——更令人驚訝的是,連其產品源代碼也一並泄露。
經驗教訓: 通過Adobe遭遇的這一輪震驚世界的攻擊活動,我們不僅切身感受到攻擊者在企業網路中建立根據地並奪取了整套業務儲備控制權後所能帶來的損害,同時也應學會在考慮將供應商引入軟體供應鏈之前、考察對方在安全領域營造出了怎樣的企業生態。作為此次泄露事故的後續影響,其潛在後果恐怕在很長一段時間內都無法徹底消除。
當事企業: 美國能源部
泄露統計: 53000位前任及現任能源部員工的個人身份信息遭到竊取
事故細節: 攻擊者將矛頭指向了DOEInfo——該機構利用ColdFusion所打造的、已經棄之不用的CFO辦公室公開訪問系統。能源部官員表示,此次泄露事故只限於內部員工的個人身份信息。
經驗教訓: 我們從中應該吸取兩大教訓。首先,安裝補丁過去是、現在是、未來也將一直是最為重要的安全任務。其次,各機構必須通過重新審視與敏感資料庫相對接的系統最大程度減少攻擊面,保證只向公眾開放必要的網站。
當事企業: Advocate Medical Group
泄露統計: 四百萬病人記錄遭到竊取
事故細節: 僅僅由於犯罪分子從辦公室里偷走了四台由該公司擁有的計算機,最終導致了這起四百萬病人記錄丟失的事故——公司官方將此稱為自2009年衛生部強制要求通告安全事故以來、美國發生過的第二大醫療信息泄露案件。
經驗教訓: 醫療行業的數據泄露事故在2013年的違規披露名單當中一直占據主導,但這一次的案件造成的影響顯然特別惡劣。僅僅由於一台物理計算設備失竊就最終導致從上世紀九十年代至今的病人記錄泄露,這充分暴露了該公司在物理安全、終端安全、加密以及數據保護等各個方面的全線失誤。需要強調的是,終端設備被盜與丟失在醫療行業中已經屢見不鮮。現在這些機構可能需要盡快思考終端設備到底能夠下載並保存多少來自中央資料庫的信息。
⑷ 資料庫安全的概念是什麼一般影響資料庫安全的因素有哪些
資料庫安全包含兩層含義:第一層是指系統運行安全,系統運行安全通常受到的威脅如下,一些網路不法分子通過網路,區域網等途徑通過入侵電腦使系統無法正常啟動,或超負荷讓機子運行大量演算法,並關閉cpu風扇,使cpu過熱燒壞等破壞性活動; 第二層是指系統信息安全,系統安全通常受到的威脅如下,黑客對資料庫入侵,並盜取想要的資料。資料庫系統的安全特性主要是針對數據而言的,包括數據獨立性、數據安全性、數據完整性、並發控制、故障恢復等幾個方面。
資料庫安全的防護技術有:資料庫加密(核心數據存儲加密)、資料庫防火牆(防漏洞、防攻擊)、數據脫敏(敏感數據匿名化)等。(來自網路)
安華金和針對於資料庫安全的防護技術全部擁護,並且在政府、金融、社保、能源、軍工、運營商、教育、醫療、企業等各行業樹立多個標桿案例。