‘壹’ 有关腾讯数据库泄露,如何查询数据库
此题已经失去时效性,请回收!
腾讯数据库泄露已经是2013年的事情了!
‘贰’ 怎样防止企业数据库数据泄露
这个是综合问题
首先服务器的安全 是一个因素
很多通过漏洞获取数据的案例
还有一个是使用习惯
比如有人用密码123456 ...
有的把密码写纸上 桌面上等等 不好的习惯
对于这些形式的泄漏
不管是谁 包括五角大楼 中国银行 都不可能做到100%预防
但是都会尽力找专业的技术团队
定制周期巡查 技术维护
等等
‘叁’ 最近几年数据库泄漏事件
泄露事故统计数字正在逐步下降,但数据仍然面临着由数据库、应用以及终端保护不当所引发的严重风险。
从多个角度来看,2013年的数据泄露趋势已经得到有效扼制,这对于安全行业来说当然是个好消息。不同于过去四到五年,今年的记录当中不再充斥着大型数据库泄露所导致的数以千万计个人身份信息的外流。根据隐私权信息交流中心的调查,本年度公开报道的泄露事故数量及记录在案的泄露事故数量双双呈下降趋势。去年同期,得到确切统计的记录泄露数量已经达到约278万条,漏洞报告则为637份。而在今年,目前为止记录在案的泄露事故约为107万条,漏洞报告则为483份。这充分证明整个安全行业在合规性与安全最佳实践方面所迎来的进步——然而这样的战绩与理想目标相比仍然相去甚远。
在对年初至今的数字进行比较时,我们发现记录在案的泄露事故数量大幅降低了61.7%,然而报告提及的泄露事故数量则仅降低了24.2%。这表明泄露事故仍然快速发生——只不过如今的犯罪活动及违规事件开始逐步扩散而非集中于一点。泄露事件影响范围更小,而且根据安全业内人士的说法,此类恶意活动的目标也更为广泛。现在犯罪分子开始更多地窃取IP或者其它数字资产,由此引发的损失可能比客户记录本身更为严重——同时这也更加难以量化,无法提供头条新闻所必需的统计结果。
通过对今年发生的泄露事故的深入钻研,我们发现安全行业明显仍有大量工作要做。2013年的追踪记录证明,有价值数据库仍然没有受到严格保护与加密、应用程序仍然存在大量安全漏洞、用户们则仍然能够从敏感数据库中下载大量信息并将其保存在缺乏保护的终端当中。为了帮助大家更好地理解当前安全角势,我们选取了几项最具代表意义的实例,希望各位能够从中吸取可资借鉴的教训。
当事企业: CorporateCarOnline.com
泄露统计: 850,000份记录被盗
事故细节:作为全美最具知名度的专业体育、娱乐外加五百强企业,CorporateCarOnline.com拥有大量用户个人资料、信用卡号码以及其它个人身份信息,然而由于其开发出的全球豪车租赁SaaS数据库解决方案将全部信息以纯文本形式储存,最终导致这一切成为犯罪分子的囊中之物。名单中涉及不少大牌,包括汤姆·汉克斯、汤姆·达施勒以及唐纳德·特朗普等。
经验教训:最重要的教训在于认清这样一个现实:面对极具价值的财务与社会工程信息,攻击者们会爆发出极为可怕的技术能量。根据KrebsOnSecurity.com网站的调查,目前遭遇过违规活动的美国运通卡当中有四分之一为高额度甚至无限额度卡片,而且企业间谍分子或者娱乐小报记者也希望通过这类个人信息挖掘到有价值结论。与此同时,该公司在管理收支账目时完全没有考虑过信息安全性,甚至从未尝试采取任何最基本的加密措施。
当事企业: Adobe
泄露统计: 约三百万个人身份信息、超过1.5亿用户名/密码组合以及来自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未说明产品的源代码惨遭窃取。
事故细节: 自最初的违规事件发生之后,接踵而来的更多攻击活动持续了一个多月之久,并最终导致了此次重大事故的发生。目前情况已经明确,Adobe正在努力恢复其失窃的大量登录凭证信息——更令人惊讶的是,连其产品源代码也一并泄露。
经验教训: 通过Adobe遭遇的这一轮震惊世界的攻击活动,我们不仅切身感受到攻击者在企业网络中建立根据地并夺取了整套业务储备控制权后所能带来的损害,同时也应学会在考虑将供应商引入软件供应链之前、考察对方在安全领域营造出了怎样的企业生态。作为此次泄露事故的后续影响,其潜在后果恐怕在很长一段时间内都无法彻底消除。
当事企业: 美国能源部
泄露统计: 53000位前任及现任能源部员工的个人身份信息遭到窃取
事故细节: 攻击者将矛头指向了DOEInfo——该机构利用ColdFusion所打造的、已经弃之不用的CFO办公室公开访问系统。能源部官员表示,此次泄露事故只限于内部员工的个人身份信息。
经验教训: 我们从中应该吸取两大教训。首先,安装补丁过去是、现在是、未来也将一直是最为重要的安全任务。其次,各机构必须通过重新审视与敏感数据库相对接的系统最大程度减少攻击面,保证只向公众开放必要的网站。
当事企业: Advocate Medical Group
泄露统计: 四百万病人记录遭到窃取
事故细节: 仅仅由于犯罪分子从办公室里偷走了四台由该公司拥有的计算机,最终导致了这起四百万病人记录丢失的事故——公司官方将此称为自2009年卫生部强制要求通告安全事故以来、美国发生过的第二大医疗信息泄露案件。
经验教训: 医疗行业的数据泄露事故在2013年的违规披露名单当中一直占据主导,但这一次的案件造成的影响显然特别恶劣。仅仅由于一台物理计算设备失窃就最终导致从上世纪九十年代至今的病人记录泄露,这充分暴露了该公司在物理安全、终端安全、加密以及数据保护等各个方面的全线失误。需要强调的是,终端设备被盗与丢失在医疗行业中已经屡见不鲜。现在这些机构可能需要尽快思考终端设备到底能够下载并保存多少来自中央数据库的信息。
‘肆’ 如何发现数据库连接泄露
1. 根据日志查找;
首先,翻看系统日志,找到连接池溢出的时刻。然后,对应这个时间,查找用户正在进行的操作。
这种方法适合于不启动任何监控程序或进程,不改变系统设置,就能人为的缩小可能泄露连接的代码范围。
2. 利用连接池本身的utility设施;比如C3P0,以下是需要用到的两个参数(推荐):
unreturnedConnectionTimeout
Default: 0
Seconds. If set, if an application checks out but then fails to check-in [i.e. close()] a Connection within the specified period of time, the pool will unceremoniously destroy() the Connection. This permits applications with occasional Connection leaks to survive, rather than eventually exhausting the Connection pool. And that's a shame. Zero means no timeout, applications are expected to close() their own Connections. Obviously, if a non-zero value is set, it should be to a value longer than any Connection should reasonably be checked-out. Otherwise, the pool will occasionally kill Connections in active use, which is bad. This is basically a bad idea, but it's a commonly requested feature. Fix your $%!@% applications so they don't leak Connections! Use this temporarily in combination with to figure out where Connections are being checked-out that don't make it back into the pool!Default: false
If true, and if unreturnedConnectionTimeout is set to a positive value, then the pool will capture the stack trace (via an Exception) of all Connection checkouts, and the stack traces will be printed when unreturned checked-out Connections timeout. This is intended to debug applications with Connection leaks, that is applications that occasionally fail to return Connections, leading to pool growth, and eventually exhaustion (when the pool hits maxPoolSize with all Connections checked-out and lost). This parameter should only be set while debugging, as capturing the stack trace will slow down every Connection check-out.
当我们同时使用这两个参数时,比如unreturnedConnectionTimeout设为5秒,设为true。那么,当一个连接被check out 5秒,还没有被check in的时候,连接池会抛出一个错误堆栈。有了堆栈,那我们就可以精确定位出现问题的代码位置了。
当然,这个方法中的参数并不是C3P0特有的,其他连接池配置中,应该也有类似的参数。
‘伍’ 泄露的数据库连接问题,怎么解决
指的是如果在某次使用或者某段程序中没有正确地关闭Connection、Statement和ResultSet资源,那么每次执行都会留下一些没有关闭的连接,这些连接失去了引用而不能得到重新使用,因此就造成了数据库连接的泄漏。数据库连接的资源是宝贵而且是有限的,如果在某段使用频率很高的代码中出现这种泄漏,那么数据库连接资源将被耗尽,影响系统的正常运转。
‘陆’ 数据库账号密码泄露服务器会被入侵吗
看什么账号,如果是sa或者root被泄露就可能被直接入侵,
其它的账号被泄露也有被入侵的概率.比如:通过数据库得到网站管理员的账号密码,再利用网站漏洞得到webshell,再进一步控制服务器.
‘柒’ 网站数据库泄露是一种怎样的状况
现在在电脑或者手机上无论注册个什么,都要求你填写真实的姓名地址,就算你写假名假地址,也能注册,但一般都要留下手机号码,用来接收验证码,这号码你不写自己的就收不到验证码,你就注册不了。现在手机号码早都是实名了。所以互联网网站后台你的信息很清楚,移动公司的信息管理也不规范,个别没素质的员工利用职务便利倒卖你的信息给互联网公司。
‘捌’ 数据库泄露意味着什么
您有秘密吗?
您担心电脑数据的安全吗?
您可曾想过,计算机失窃、遗失,也会造成数据泄密?
您可曾想过,电脑维护人员维修你的电脑时也能窃取机密信息?
您可曾想过,企业内部职员可以通过移动存储设备(如U盘),或者邮件、文件传输、上载等方式轻松地泄密?
隐私信息或技术资料以电子形式储存在计算机中,通过网络或可移动介质传递,安全难以得到保障。一旦信息遭到泄露,有可能对个人或企业造成难以估计的损失,因此对数据进行加密是目前解决信息泄密的最有效方法。
K/3数据安全平台是以自动防护为理念的信息安全系列软件产品,实现自动、动态、透明地对存储在计算机上的数据进行加密处理,加密强度大、安全级别高,能有效提高内网的安全保密性。
一、应用背景
1.现状分析
随着信息技术的发展,企业为了提高信息处理的效率,越来越多地把文档转化为电子文档形式,甚至把90%以上的企业机密信息以电子文档的形式存储在企业内网中。同时,企业也大量使用ERP、CRM、OA等与数据库相关的电子信息管理方案。这些新型管理手段的使用,在给企业带来更高的生产效率的同时也给企业的信息安全管理带来了新的挑战。虽然企业采用了反病毒软件、防火墙、入侵检测、身份认证等手段,但依然无法阻止电子形式的信息通以各种方式从企业中泄漏出去。而当前的大部分网络安全技术出发点是解决对外防护的问题,对内防护十分薄弱。面对日益严重的信息安全威胁,企业原有的安全方案渐渐显得力不从心。
1几乎每个企业都会遇到“合理”避税的问题;一旦泄密,企业将进入非常被动的状态;
2几乎每个高新企业都要保护技术秘密;一旦泄密,企业将失去核心竞争力,丧失行业领导地位;
3几乎每个企业都要保护标书、合同、报价单等商业私密,一但泄密,企业将失去客户。
2.信息安全威胁
2.1据波莱蒙研究所表示,企业在数据入侵时的平均损失呈逐年递增趋势。数据入侵给企业带来的平均损失是660万美元,有的公司的损失甚至高达3200万美元。企业因数据入侵而遭受的最大损失是丢失业务。据其表示,在去年的每条记录平均损失202美元中,有139美元(占69%)是指丢失业务。
2.2根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过70%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。
2.3据中国国家信息安全测评中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。
……
3.常见的泄密途径
3.1黑客通过安装恶意软件(如木马程序)把信息复制出去而泄密。
3.2计算机感染病毒自动向外发送的泄密。
3.3计算机失窃、遗失造成的数据泄密。
3.4内部人员通过移动存储设备复制信息,或者以邮件、文件上传等形式泄密。
3.5第三方维护人员利用工作之便窃取信息造成泄密。
4.加密机密资料,彻底解决安全隐患
4.1所有机密资料不能随便流出企业;
4.2所有机密资料在企业内部透明流通,消除安全隐患的同时,又不影响正常业务操作;
4.3所有机密资料可设置各种安全等级,根据授权使用;
4.4机密资料只有一个可控且唯一的安全出口。
二、产品概述
1.平台简介
金蝶K/3数据安全平台能有效保护您的数据安全!
平台采用“驱动层”底层透明加密技术,结合世界先进加密算法,提供完全自动化、动态化、透明化数字文件加密保护。
金蝶K/3数据安全平台解决方案
2.平台特性
2.1采用驱动层动态透明加解密技术;
2.2唯一的企业密钥,密钥长度最高可达到8192位;
2.3采用高强度加密算法,可多种加密算法混合使用及多次加密;
2.4可加密任何类型的文件或数据库;
2.5可加密在任何储存介质上的文件;
2.6严格的身份认证体系;
2.7完善的、可无限扩充文件密级控制;
2.8加密文件只有被授权解密才能转成明文外向传送;
2.9加解密策略库、日志审计报表均可自由定制;
2.10平台简单易用,无需第三方软件配合,基本上不改变现有操作模式。
3.系统拓扑结构图
金蝶K/3数据安全平台解决方案
4.功能概览:
金蝶K/3数据安全平台解决方案
5.技术优势:
5.1数据库加密
数据库在运行、备份过程中均为密文,通过应用软件导出报表,无论是C/S或B/S应用模式,报表均被自动加密;并配备“数据库锁定热键”,可在网内任一计算机按预设键,即时锁死已加密的数据库,企业可从容应对各种突发事件。
金蝶K/3数据安全平台解决方案
5.2文件加密
安全平台客户端创建文件时,文件即被自动加密,并自动根据文件创建者权限在文件内添加相应的“部门”、“密级”属性。加密后的文件可在企业内部自由流通,安全平台通过严格的文件访问机制,确定文件不被非授权用户使用。
金蝶K/3数据安全平台解决方案
支持的应用列表:
金蝶K/3数据安全平台解决方案
5.3可无限扩展的密级管理机制
灵活的“部门”+“密级”管理机制,全面掌控机密资料流向,真正实现任意细粒度控制。
安全平台根据人员“部门”、“密级”授权和文件的“部门”、“密级”属性进行比对,在部门相符,人员“密级”授权大于或等于文件“密级”属性的情况下,才允许正常打开加密文件。
当企业行政架构发生变化时,“部门”、“密级”均可任意增加或插入,无需特殊处理已加密文件,即可自动继承相关授权,可轻松应对未来的扩展。
当文件临时需要交由企业内部其他部门使用时,可通过OA的审批流程或在安全平台客户端直接把文件内含的“部门”、“密级”属性变更到为新的“部门”、“密级”。
当企业内部某些人员需要跨部门工作时,可通过安全平台控制台,对特定人员授与相应的“部门”、“密级”操作权限。
金蝶K/3数据安全平台解决方案
5.4灵活的解密机制
多种灵活的解密方式,可结合OA或PLM使用,实现工作程审批解密或邮件白名单自动解密,减少领导手工解密的工作量,提高企业效率。
金蝶K/3数据安全平台解决方案
5.5打印限制功能
可根据不同用户权限,限制相应进程的打印功能。减少机密文件通过纸质形式泄密的机会。
5.6进程限制功能
可根据不同用户权限,限制相应进程的运行功能。禁用与工作无关的应用,提高工作效率。
5.7网址访问控制功能
可根据不同用户权限,设定网址访问权限,分别使用黑白名单管理,禁止用户访问与工作无关的网页,提高工作效率。
5.8远程监控
根据不同用户权限,可随时监控任一安全平台客户端的计算机屏幕,安全终端所有操作行为无所遁形。
5.9工作时间排程
可根据实际情况,任意设定数据库服务器及平台各用户的工作时间,在非工作时间内,无法登录平台,无法使用已加密的文件,确保机密资料安全。
5.10支持多种登录模式
包括“用户名+密码”、“用户名+智能卡数字证书(CA)”、用户名捆绑IP、Mac地址、开机自动登录等。
5.11多种隐蔽机制
隐蔽安全平台运行界面、未登录平台前隐藏已加密的文件,使用企业机密更加安全。隐藏后,在资源管理器看不到已加密文件,在SQL企业管理器中看不到已加密的数据库,在金蝶账套管理也看不到已加密账套。
5.12支持离线应用
安全平台根据离线后有效时间、离线后登录次数等进行离线控制,即使计算机离开公司环境,仍受到实时监控,加密效果与在公司内部使用一样。
5.13完善的日志记录
详细记录安全终端的各项关键操作,根据客户需要输出相应报表。
‘玖’ 什么是数据库连接泄漏
先说数据库连接池,java连接数据的jdbc,在连接数据库是耗时很多,会造成性能瓶颈。
为了解决则个问题,用到了数据库连接池,连接池在程序启动的时候,会取得多个数据库连接,例如50-100个,当使用的时候,从数据库连接池中取出,使用之后不真正关闭数据库连接,而是把连接放回连接池,这样就不会造成频繁去数据库取连接而消耗性能。
数据库连接池泄露就是数据库连接取了,用完了之后没有放回连接池,这样就没有可用的连接给出了。
‘拾’ B站数据库泄露是真的吗 B站数据库泄露原因是什么
你好:
答案是:A B D
OSPF是链路状态路由协议,所以C对;A是SQL的软件数据库,B邻站数据库用于传输设备,D是用于IP路由表的转发非协议;