⑴ 企業資料庫一般存在哪些安全問題
在企業的經營發展過程當中,資料庫安全問題始終是一個重大問題。如果企業想要順利發展,對這方面的問題進行防範和控制是非常有必要的。在實際的工作中,想要防範和控制問題,就必須先對這部分的內容有所了解,那麼,企業資料庫一般存在哪些安全問題呢?今天小編就為大家做個詳細介紹。
企業資料庫安全問題很多,具體有不良的口令政策、SQL注入等,這些問題中,有來自企業員工本身的操作失誤,也有資料庫自帶的一些安全隱患。比如說口令政策,這就是由於人員的偷懶。很多企業的管理人員在工作過程中的疏忽大意,使得企業員工還在選擇一些被淘汰的加密方式,這種工作方式很容易就會導致企業資料庫被入侵,另外,有的企業雖然資料庫加密系統已經非常完善了,但是操作者為了省事,讓系統自動記錄密碼,或者直接將一些密鑰等加密工具長時間插在電腦主機上,也會為企業數據安全埋藏隱患。
如果說不良的口令政策是員工工作上的問題,那麼SQL注入就是資料庫層面的問題了。資料庫本身的安全性不是非常高,因此如果資料庫接受了用戶提供的不幹凈的,或者沒有經過驗證的數據所產生的SQL注入,就會為SQL注入攻擊敞開大門。比如說,通過修改從基於網路的格式收到的信息,攻擊者能夠提供惡意的SQL請求並且直接把指令發送到資料庫中。
這上邊就是企業在日常工作過程當中常見的一些資料庫安全問題介紹了,那麼,對於這部分的問題,我們還是應該具體問題具體分析,比如說對於不良的口令政策,企業一方面應該加強自己企業內部的一些密鑰管理。一方面可以提供一些較為安全的登錄方式。另外一方面,還應該在平時的工作過程中對員工進行定期的培訓,提高他們的安全意識。
而對於資料庫安全問題中的SQL注入,最好的辦法還是在企業中購買一款高質量的安全防護軟體。在這里,小編為大家推薦的是上訊信息的WEB安全網關(WAF),這款產品的專業性強,安全度高,能夠有效減少企業資料庫受到SQL注入攻擊的可能性,如果大家想要購買一款高質量的安全防護軟體,選擇上訊信息的WEB安全網關(WAF)准沒錯的。
⑵ 最近幾年資料庫泄漏事件
泄露事故統計數字正在逐步下降,但數據仍然面臨著由資料庫、應用以及終端保護不當所引發的嚴重風險。
從多個角度來看,2013年的數據泄露趨勢已經得到有效扼制,這對於安全行業來說當然是個好消息。不同於過去四到五年,今年的記錄當中不再充斥著大型資料庫泄露所導致的數以千萬計個人身份信息的外流。根據隱私權信息交流中心的調查,本年度公開報道的泄露事故數量及記錄在案的泄露事故數量雙雙呈下降趨勢。去年同期,得到確切統計的記錄泄露數量已經達到約278萬條,漏洞報告則為637份。而在今年,目前為止記錄在案的泄露事故約為107萬條,漏洞報告則為483份。這充分證明整個安全行業在合規性與安全最佳實踐方面所迎來的進步——然而這樣的戰績與理想目標相比仍然相去甚遠。
在對年初至今的數字進行比較時,我們發現記錄在案的泄露事故數量大幅降低了61.7%,然而報告提及的泄露事故數量則僅降低了24.2%。這表明泄露事故仍然快速發生——只不過如今的犯罪活動及違規事件開始逐步擴散而非集中於一點。泄露事件影響范圍更小,而且根據安全業內人士的說法,此類惡意活動的目標也更為廣泛。現在犯罪分子開始更多地竊取IP或者其它數字資產,由此引發的損失可能比客戶記錄本身更為嚴重——同時這也更加難以量化,無法提供頭條新聞所必需的統計結果。
通過對今年發生的泄露事故的深入鑽研,我們發現安全行業明顯仍有大量工作要做。2013年的追蹤記錄證明,有價值資料庫仍然沒有受到嚴格保護與加密、應用程序仍然存在大量安全漏洞、用戶們則仍然能夠從敏感資料庫中下載大量信息並將其保存在缺乏保護的終端當中。為了幫助大家更好地理解當前安全形勢,我們選取了幾項最具代表意義的實例,希望各位能夠從中吸取可資借鑒的教訓。
當事企業: CorporateCarOnline.com
泄露統計: 850,000份記錄被盜
事故細節:作為全美最具知名度的專業體育、娛樂外加五百強企業,CorporateCarOnline.com擁有大量用戶個人資料、信用卡號碼以及其它個人身份信息,然而由於其開發出的全球豪車租賃SaaS資料庫解決方案將全部信息以純文本形式儲存,最終導致這一切成為犯罪分子的囊中之物。名單中涉及不少大牌,包括湯姆·漢克斯、湯姆·達施勒以及唐納德·特朗普等。
經驗教訓:最重要的教訓在於認清這樣一個現實:面對極具價值的財務與社會工程信息,攻擊者們會爆發出極為可怕的技術能量。根據KrebsOnSecurity.com網站的調查,目前遭遇過違規活動的美國運通卡當中有四分之一為高額度甚至無限額度卡片,而且企業間諜分子或者娛樂小報記者也希望通過這類個人信息挖掘到有價值結論。與此同時,該公司在管理收支賬目時完全沒有考慮過信息安全性,甚至從未嘗試採取任何最基本的加密措施。
當事企業: Adobe
泄露統計: 約三百萬個人身份信息、超過1.5億用戶名/密碼組合以及來自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未說明產品的源代碼慘遭竊取。
事故細節: 自最初的違規事件發生之後,接踵而來的更多攻擊活動持續了一個多月之久,並最終導致了此次重大事故的發生。目前情況已經明確,Adobe正在努力恢復其失竊的大量登錄憑證信息——更令人驚訝的是,連其產品源代碼也一並泄露。
經驗教訓: 通過Adobe遭遇的這一輪震驚世界的攻擊活動,我們不僅切身感受到攻擊者在企業網路中建立根據地並奪取了整套業務儲備控制權後所能帶來的損害,同時也應學會在考慮將供應商引入軟體供應鏈之前、考察對方在安全領域營造出了怎樣的企業生態。作為此次泄露事故的後續影響,其潛在後果恐怕在很長一段時間內都無法徹底消除。
當事企業: 美國能源部
泄露統計: 53000位前任及現任能源部員工的個人身份信息遭到竊取
事故細節: 攻擊者將矛頭指向了DOEInfo——該機構利用ColdFusion所打造的、已經棄之不用的CFO辦公室公開訪問系統。能源部官員表示,此次泄露事故只限於內部員工的個人身份信息。
經驗教訓: 我們從中應該吸取兩大教訓。首先,安裝補丁過去是、現在是、未來也將一直是最為重要的安全任務。其次,各機構必須通過重新審視與敏感資料庫相對接的系統最大程度減少攻擊面,保證只向公眾開放必要的網站。
當事企業: Advocate Medical Group
泄露統計: 四百萬病人記錄遭到竊取
事故細節: 僅僅由於犯罪分子從辦公室里偷走了四台由該公司擁有的計算機,最終導致了這起四百萬病人記錄丟失的事故——公司官方將此稱為自2009年衛生部強制要求通告安全事故以來、美國發生過的第二大醫療信息泄露案件。
經驗教訓: 醫療行業的數據泄露事故在2013年的違規披露名單當中一直占據主導,但這一次的案件造成的影響顯然特別惡劣。僅僅由於一台物理計算設備失竊就最終導致從上世紀九十年代至今的病人記錄泄露,這充分暴露了該公司在物理安全、終端安全、加密以及數據保護等各個方面的全線失誤。需要強調的是,終端設備被盜與丟失在醫療行業中已經屢見不鮮。現在這些機構可能需要盡快思考終端設備到底能夠下載並保存多少來自中央資料庫的信息。
⑶ 請結合操作系統安全技術、計算機網路安全技術與資料庫系統安全技術等相關知識來分析該事件。
銀行卡的盜用、盜刷,折射出的不僅僅是銀行系統的脆弱,實際上銀行系統在這方面已經是非常努力了。實際上這種問題的發生,更多的是個人信息的泄露。泄露的渠道離不開如今網路的發展。那麼接下來從計算機操作系統、網路安全、資料庫存儲三方面來看這件事情。
一、計算機操作系統,這里多指個人計算機。一個系統的開發,離不開,計算、存儲、人機交互,如果僅僅是非聯網的需求,那麼除過硬體盜取(即盜走機器的整體或一部分,或物理安裝U盤之類),是沒有別的辦法丟失信息的。但是一旦聯到了各種網路上後,由於系統設計之初的缺陷,就給了很多遠程操控的可能。為了防止這種遠程操作,目前很多計算機系統廠家也在不斷的對已經銷售的系統進行升級補丁。網路安全公司也盡可能的提供更多的安全防護軟體來進行防禦。
但這方面的問題仍然嚴俊。從個人角度來說,要盡可能的不訪問不安全的鏈接。不搜索不熟悉的信息。如今比較重的災區,存在於游戲,情色等網站上。不打開帶有不明確意向的郵件附件,對同事發來的疑點郵件,最好進行其它手段,如電話詢問,當面詢問等方式確認這封郵件是他發出來的。及時的升級操作系統補丁,安裝口碑較好的防禦軟體。
二、網路安全,這里是指一個需要暴露在互聯網路下的公司網路,他由各種伺服器(小機或大機,虛擬化等方式形成的伺服器集群)組成。他的軟體防禦也和個人電腦有些相似,要從病毒,遠程操控等方面杜絕信息的泄露,俗稱被黑。這方面可以從劃分區域,比如核心區在核心防火牆內,只有特殊埠和鏈入口令的身份驗證後才能允許訪問。互聯網區與核心區只建立介面通道,只負責可對外公布的數據發布。但這一方面加入了多人合作的關系,有了「人」這個最大的變數,所以也要從員工本身的管控入手。給於各級別員工應有的許可權,制定合理的管控制度和績效考核。防止無關人員訪問到不應該獲得的核心數據。
三、資料庫,不管怎麼樣的數據,最終都要落地到存儲上,而存儲只是為了存,而數據存儲的目的是為了有效利用,所以資料庫的發明是了不起的創造,資料庫從是一個軟體的角度來說,同計算機一樣,做好補丁工作。從一個網路中的軟體角度來說,規劃好訪問埠,做好員工的訪問許可權。從一個需要被使用的軟體角度來說,做好各種數據的使用脫敏,這些都是非常必須的工作。
以上工作做到位以後,數據泄露的可能性將被大大降低,如果盜竊者不能形成一個有效的數據閉環,那麼部分信息的被遠程非法訪問,也不會造成不可挽回的損失。那麼命題中提到的銀行卡盜刷事件也會大大降低。
另外再補充點個人注意事項,將和銀行卡相關的密碼做為核心密碼,不要輕易和日常注冊密碼混用,在任何要求輸入核心密碼的網站或軟體是都需要三思,一思來源是否明確安全,二思是否存在它人的誘導,三思如果發生問題會產生多大的風險。
⑷ 數據安全的哪些案例,可以看
大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節,包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱,大數據安全事件風險成因復雜交織,既有外部攻擊,也有內部泄密,既有技術漏洞,也有管理缺陷,既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。
5月27日,中國互聯網協會副秘書長石現升稱,互聯網日益成為經濟社會運行基礎,網路數據安全意識、能力和保護手段正面臨新挑戰。
今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題,重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任,即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。
石現升介紹,實際早在2015年國務院就發布過《促進大數據發展行動綱要》,就明確要「健全大數據安全保障體系」、「強化安全支撐,提升基礎設施關鍵設備安全可靠水平」。
「目前,很多企業和機構還並不知道該如何提升自己的數據安全管理能力,也不知道依據什麼標准作為衡量。」一位業內人士分析稱,問題的症結在於國內數據安全管理尚處起步階段,很多企業機構都沒有設立數據安全評估體系,或者沒有完整的評估參考標准。
「大數據安全能力成熟度模型」已提國標申請
數博會期間,記者從「大數據安全產業實踐高峰論壇」上了解到,為解決此問題,全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同,著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》,該標準是基於阿里巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。
圖說:阿里巴巴集團安全部總監鄭斌介紹DSMM。
作為此標准項目的牽頭起草方,阿里巴巴集團安全部總監鄭斌介紹說,該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿,旨在與同行業分享阿里經驗,提升行業整體安全能力。
「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱,《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。
一位數據安全研究人員分析,企業要提升數據安全管理能力,首先就得認清自身數據保護能力水平,再對症下葯彌補缺失和短板,而該標准正是針對大多數企業普遍存在的,不了解或不清楚自身數據安全管理能力的問題。
從標准架構來看,會從組織機構數據採集、存儲、傳輸、處理、交換和銷毀六個數據生命周期,就企業組織建設、制度流程、技術工具和人員能力四個關鍵能力維度,至少30多個安全域進行全方位考核評估,最終將組織機構的數據安全能力劃分非正式執行、計劃跟蹤、充分定義、量化控制和持續優化,1級至5級的能力成熟等級,等級越高意味數據安全能力越強。
⑸ 在雲平台上的資料庫主要面臨哪些安全問題
資料庫存儲著系統的核心數據,其安全方面的問題在傳統環境中已經很突出,成為數據泄漏的重要根源。而在雲端,資料庫所面臨的威脅被進一步的放大。其安全問題主要來自於以下幾方面: 1) 雲運營商的「上帝之手」。如上所述,雲端資料庫的租戶對資料庫的可控性是很低的,而雲運營商卻具有對資料庫的所有許可權。從技術上來說,雲運營商完全可以在租戶毫無察覺的情況下進入資料庫系統;或者進入資料庫伺服器所在的虛擬機;或者進入虛擬機所在的宿主物理伺服器;或者直接獲取到資料庫文件所在的存儲設備。也就是說,任何租戶的數據,對雲運營商來說,幾乎是完全開放的。而對於有商業價值的數據,對雲運營商的眾多技術人員來說,絕對有足夠的吸引力;2) 來自於其它租戶的攻擊。同一個雲平台上的其它租戶,有可能通過虛擬機逃逸等攻擊方法,得到資料庫中的數據;3) 來自租戶自身內部人員的威脅。租戶內部人員能夠直接使用帳號密碼登錄到雲資料庫,從而進行越權或者違規的數據操作;4) 更廣泛的攻擊。有價值的數據放在雲上之後,各種來源的攻擊者,都「惦記」著這些數據。可能通過各種方法來進行攻擊以獲取數據,如近年來頻發的SQL注入攻擊事件,就導致了大量雲端數據的泄漏。要解決如上所述的數據安全問題,需要多方面的防禦手段。但是對資料庫訪問情況的記錄和審計,是最基本的安全需求。租戶需要清楚的知道,自己的資料庫,在什麼時間,被什麼人,以什麼工具,具體做什麼訪問,又拿到了什麼數據。並且需要知道什麼時候出現了攻擊行為和異常的訪問情況。這些功能,正是合格資料庫審計產品所必須具有的功能。在雲平台上的資料庫主要面臨哪些安全問題?
⑹ 大數據面臨哪些安全與隱私問題
(一)大數據遭受異常流量攻擊
大數據所存儲的數據非常巨大,往往採用分布式的方式進行存儲,而正是由於這種存儲方式,存儲的路徑視圖相對清晰,而數據量過大,導致數據保護,相對簡單,黑客較為輕易利用相關漏洞,實施不法操作,造成安全問題。由於大數據環境下終端用戶非常多,且受眾類型較多,對客戶身份的認證環節需要耗費大量處理能力。由於APT攻擊具有很強的針對性,且攻擊時間長,一旦攻擊成功,大數據分析平台輸出的最終數據均會被獲取,容易造成的較大的信息安全隱患。
(二)大數據信息泄露風險
大數據平台的信息泄露風險在對大數據進行數據採集和信息挖掘的時候,要注重用戶隱私數據的安全問題,在不泄露用戶隱私數據的前提下進行數據挖掘。需要考慮的是在分布計算的信息傳輸和數據交換時保證各個存儲點內的用戶隱私數據不被非法泄露和使用是當前大數據背景下信息安全的主要問題。同時,當前的大數據數據量並不是固定的,而是在應用過程中動態增加的,但是,傳統的數據隱私保護技術大多是針對靜態數據的,所以,如何有效地應對大數據動態數據屬性和表現形式的數據隱私保護也是要注重的安全問題。最後,大數據的數據遠比傳統數據復雜,現有的敏感數據的隱私保護是否能夠滿足大數據復雜的數據信息也是應該考慮的安全問題。
(三)大數據傳輸過程中的安全隱患
數據生命周期安全問題。伴隨著大數據傳輸技術和應用的快速發展,在大數據傳輸生命周期的各個階段、各個環節,越來越多的安全隱患逐漸暴露出來。比如,大數據傳輸環節,除了存在泄漏、篡改等風險外,還可能被數據流攻擊者利用,數據在傳播中可能出現逐步失真等。又如,大數據傳輸處理環節,除數據非授權使用和被破壞的風險外,由於大數據傳輸的異構、多源、關聯等特點,即使多個數據集各自脫敏處理,數據集仍然存在因關聯分析而造成個人信息泄漏的風險。
基礎設施安全問題。作為大數據傳輸匯集的主要載體和基礎設施,雲計算為大數據傳輸提供了存儲場所、訪問通道、虛擬化的數據處理空間。因此,雲平台中存儲數據的安全問題也成為阻礙大數據傳輸發展的主要因素。
個人隱私安全問題。在現有隱私保護法規不健全、隱私保護技術不完善的條件下,互聯網上的個人隱私泄露失去管控,微信、微博、QQ等社交軟體掌握著用戶的社會關系,監控系統記錄著人們的聊天、上網、出行記錄,網上支付、購物網站記錄著人們的消費行為。但在大數據傳輸時代,人們面臨的威脅不僅限於個人隱私泄露,還在於基於大數據傳輸對人的狀態和行為的預測。近年來,國內多省社保系統個人信息泄露、12306賬號信息泄露等大數據傳輸安全事件表明,大數據傳輸未被妥善處理會對用戶隱私造成極大的侵害。因此,在大數據傳輸環境下,如何管理好數據,在保證數據使用效益的同時保護個人隱私,是大數據傳輸時代面臨的巨大挑戰之一。
(四)大數據的存儲管理風險
大數據的數據類型和數據結構是傳統數據不能比擬的,在大數據的存儲平台上,數據量是非線性甚至是指數級的速度增長的,各種類型和各種結構的數據進行數據存儲,勢必會引發多種應用進程的並發且頻繁無序的運行,極易造成數據存儲錯位和數據管理混亂,為大數據存儲和後期的處理帶來安全隱患。當前的數據存儲管理系統,能否滿足大數據背景下的海量數據的數據存儲需求,還有待考驗。不過,如果數據管理系統沒有相應的安全機制升級,出現問題後則為時已晚。
⑺ 資料庫系統的脆弱性導致的安全事件
系統脆弱性是指計算機系統在硬體、軟體、協議的設計、實現以及系統安全策略上存在的缺陷和不足.系統脆弱性的存在是導致安全事件的主要原因,開展系統脆弱性的研究,對提高系統的安全性,減少安全事件的發生,具有非常重要的意義.在分析總結國內外相關研究的基礎上,從系統脆弱性的概念、特徵、危害、產生原因等方面出發建立了脆弱性分析模型;對系統脆弱性進行了分類分級研究,提出了一種新的漏洞分類方法,並將這種方法成功的應用於系統安全漏洞資料庫構建過程;闡述了漏洞檢測的主要方法:安全掃描、源代碼掃描和軟體錯誤注入法,並給出了源代碼掃描的具體應用實例.該文另一項重要的工作是設計並實現了系統安全漏洞資料庫.通過調研國內外漏洞資料庫現狀,詳盡分析已有資料庫的特點,提出了建庫目標;並以此目標為依據,設計實現了一個較為完善的漏洞資料庫.為實現漏洞數據錄入的自動化,開發了相應的工具軟體.該漏洞資料庫已在中國科學院國家計算機網路入侵防範中心運行,在主動防禦系統、安全掃描、漏洞檢測等領域得到了應用,實現了原設計指標,達到了國內領先水平.
⑻ 數據安全有哪些案例
「大數據時代,在充分挖掘和發揮大數據價值同時,解決好數據安全與個人信息保護等問題刻不容緩。」中國互聯網協會副秘書長石現升在貴陽參會時指出。
員工監守自盜數億條用戶信息
今年初,公安部破獲了一起特大竊取販賣公民個人信息案。
被竊取的用戶信息主要涉及交通、物流、醫療、社交和銀行等領域數億條,隨後這些用戶個人信息被通過各種方式在網路黑市進行販賣。警方發現,幕後主要犯罪嫌疑人是發生信息泄漏的這家公司員工。
業內數據安全專家評價稱,這起案件泄露數億條公民個人信息,其中主要問題,就在於內部數據安全管理缺陷。
國外情況也不容樂觀。2016年9月22日,全球互聯網巨頭雅虎證實,在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登陸密碼。
企業數據信息泄露後,很容易被不法分子用於網路黑灰產運作牟利,內中危害輕則竊財重則取命,去年8月,山東高考生徐玉玉被電信詐騙9900元學費致死案等數據安全事件,就可見一斑。
去年7月,微軟Window10也因未遵守歐盟「安全港」法規,過度搜集用戶數據而遭到法國數據保護監管機構CNIL的發函警告。
上海社會科學院互聯網研究中心發布的《報告》指出,隨著數據資源商業價值凸顯,針對數據的攻擊、竊取、濫用和劫持等活動持續泛濫,並呈現出產業化、高科技化和跨國化等特性,對國家和數據生態治理水平,以及組織的數據安全能力都提出了全新挑戰。
當前,重要商業網站海量用戶數據是企業核心資產,也是民間黑客甚至國家級攻擊的重要對象,重點企業數據安全管理更是面臨嚴峻壓力。
企業、組織機構等如何提升自身數據安全能力?
企業機構亟待提升數據安全管理能力
「大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節,包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱,大數據安全事件風險成因復雜交織,既有外部攻擊,也有內部泄密,既有技術漏洞,也有管理缺陷,既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。
5月27日,中國互聯網協會副秘書長石現升稱,互聯網日益成為經濟社會運行基礎,網路數據安全意識、能力和保護手段正面臨新挑戰。
今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題,重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任,即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。
石現升介紹,實際早在2015年國務院就發布過《促進大數據發展行動綱要》,就明確要「健全大數據安全保障體系」、「強化安全支撐,提升基礎設施關鍵設備安全可靠水平」。
「目前,很多企業和機構還並不知道該如何提升自己的數據安全管理能力,也不知道依據什麼標准作為衡量。」一位業內人士分析稱,問題的症結在於國內數據安全管理尚處起步階段,很多企業機構都沒有設立數據安全評估體系,或者沒有完整的評估參考標准。
「大數據安全能力成熟度模型」已提國標申請
數博會期間,記者從「大數據安全產業實踐高峰論壇」上了解到,為解決此問題,全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同,著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》,該標準是基於阿里巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。
阿里巴巴集團安全部總監鄭斌介紹DSMM。
作為此標准項目的牽頭起草方,阿里巴巴集團安全部總監鄭斌介紹說,該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿,旨在與同行業分享阿里經驗,提升行業整體安全能力。
「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱,《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。
⑼ 微盟刪庫事件,企業數據安全隱患如何避免呢
根據最新報道,2020年2月23日微盟的一個工作人員在家使用VPN(虛擬專用網路)登錄公司資料庫並惡意刪除資料庫文件,這一操作瞬間造成近300萬家微盟客戶的數據丟失,截止25號才恢復部分數據,但仍有大部分客戶數據還在恢復中,並且恢復後的數據完整性並無保障。那麼,在面對這一惡意刪庫事件的同時,我們的互聯網公司該通過何種方式來杜絕數據安全隱患,確保公司及客戶的數據安全性?
數據與網路安全成為現如今企業立身之根本,能夠保證網路安全與數據安全的企業可以不因這些惡意破壞而導致損失或業務停滯。拿捏在手上的敏感數據才能得到萬無一失的保護,在數據安全泄露、刪庫高頻發的網路時代,著重安全的企業才能夠走得更長遠。
⑽ 資料庫安全的安全問題
據Verizon2012年的數據泄露調查分析報告 和對發生的信息安全事件技術分析,總結出信息泄露呈現兩個趨勢:
(1)黑客通過B/S應用,以Web伺服器為跳板,竊取資料庫中數據;傳統解決方案對應用訪問和資料庫訪問協議沒有任何控制能力,比如:SQL注入就是一個典型的資料庫黑客攻擊手段。
(2)數據泄露常常發生在內部,大量的運維人員直接接觸敏感數據,傳統以防外為主的網路安全解決方案失去了用武之地。
資料庫在這些泄露事件成為了主角,這與我們在傳統的安全建設中忽略了資料庫安全問題有關,在傳統的信息安全防護體系中資料庫處於被保護的核心位置,不易被外部黑客攻擊,同時資料庫自身已經具備強大安全措施,表面上看足夠安全,但這種傳統安全防禦的思路,存在致命的缺陷。