⑴ 企业数据库一般存在哪些安全问题
在企业的经营发展过程当中,数据库安全问题始终是一个重大问题。如果企业想要顺利发展,对这方面的问题进行防范和控制是非常有必要的。在实际的工作中,想要防范和控制问题,就必须先对这部分的内容有所了解,那么,企业数据库一般存在哪些安全问题呢?今天小编就为大家做个详细介绍。
企业数据库安全问题很多,具体有不良的口令政策、SQL注入等,这些问题中,有来自企业员工本身的操作失误,也有数据库自带的一些安全隐患。比如说口令政策,这就是由于人员的偷懒。很多企业的管理人员在工作过程中的疏忽大意,使得企业员工还在选择一些被淘汰的加密方式,这种工作方式很容易就会导致企业数据库被入侵,另外,有的企业虽然数据库加密系统已经非常完善了,但是操作者为了省事,让系统自动记录密码,或者直接将一些密钥等加密工具长时间插在电脑主机上,也会为企业数据安全埋藏隐患。
如果说不良的口令政策是员工工作上的问题,那么SQL注入就是数据库层面的问题了。数据库本身的安全性不是非常高,因此如果数据库接受了用户提供的不干净的,或者没有经过验证的数据所产生的SQL注入,就会为SQL注入攻击敞开大门。比如说,通过修改从基于网络的格式收到的信息,攻击者能够提供恶意的SQL请求并且直接把指令发送到数据库中。
这上边就是企业在日常工作过程当中常见的一些数据库安全问题介绍了,那么,对于这部分的问题,我们还是应该具体问题具体分析,比如说对于不良的口令政策,企业一方面应该加强自己企业内部的一些密钥管理。一方面可以提供一些较为安全的登录方式。另外一方面,还应该在平时的工作过程中对员工进行定期的培训,提高他们的安全意识。
而对于数据库安全问题中的SQL注入,最好的办法还是在企业中购买一款高质量的安全防护软件。在这里,小编为大家推荐的是上讯信息的WEB安全网关(WAF),这款产品的专业性强,安全度高,能够有效减少企业数据库受到SQL注入攻击的可能性,如果大家想要购买一款高质量的安全防护软件,选择上讯信息的WEB安全网关(WAF)准没错的。
⑵ 最近几年数据库泄漏事件
泄露事故统计数字正在逐步下降,但数据仍然面临着由数据库、应用以及终端保护不当所引发的严重风险。
从多个角度来看,2013年的数据泄露趋势已经得到有效扼制,这对于安全行业来说当然是个好消息。不同于过去四到五年,今年的记录当中不再充斥着大型数据库泄露所导致的数以千万计个人身份信息的外流。根据隐私权信息交流中心的调查,本年度公开报道的泄露事故数量及记录在案的泄露事故数量双双呈下降趋势。去年同期,得到确切统计的记录泄露数量已经达到约278万条,漏洞报告则为637份。而在今年,目前为止记录在案的泄露事故约为107万条,漏洞报告则为483份。这充分证明整个安全行业在合规性与安全最佳实践方面所迎来的进步——然而这样的战绩与理想目标相比仍然相去甚远。
在对年初至今的数字进行比较时,我们发现记录在案的泄露事故数量大幅降低了61.7%,然而报告提及的泄露事故数量则仅降低了24.2%。这表明泄露事故仍然快速发生——只不过如今的犯罪活动及违规事件开始逐步扩散而非集中于一点。泄露事件影响范围更小,而且根据安全业内人士的说法,此类恶意活动的目标也更为广泛。现在犯罪分子开始更多地窃取IP或者其它数字资产,由此引发的损失可能比客户记录本身更为严重——同时这也更加难以量化,无法提供头条新闻所必需的统计结果。
通过对今年发生的泄露事故的深入钻研,我们发现安全行业明显仍有大量工作要做。2013年的追踪记录证明,有价值数据库仍然没有受到严格保护与加密、应用程序仍然存在大量安全漏洞、用户们则仍然能够从敏感数据库中下载大量信息并将其保存在缺乏保护的终端当中。为了帮助大家更好地理解当前安全角势,我们选取了几项最具代表意义的实例,希望各位能够从中吸取可资借鉴的教训。
当事企业: CorporateCarOnline.com
泄露统计: 850,000份记录被盗
事故细节:作为全美最具知名度的专业体育、娱乐外加五百强企业,CorporateCarOnline.com拥有大量用户个人资料、信用卡号码以及其它个人身份信息,然而由于其开发出的全球豪车租赁SaaS数据库解决方案将全部信息以纯文本形式储存,最终导致这一切成为犯罪分子的囊中之物。名单中涉及不少大牌,包括汤姆·汉克斯、汤姆·达施勒以及唐纳德·特朗普等。
经验教训:最重要的教训在于认清这样一个现实:面对极具价值的财务与社会工程信息,攻击者们会爆发出极为可怕的技术能量。根据KrebsOnSecurity.com网站的调查,目前遭遇过违规活动的美国运通卡当中有四分之一为高额度甚至无限额度卡片,而且企业间谍分子或者娱乐小报记者也希望通过这类个人信息挖掘到有价值结论。与此同时,该公司在管理收支账目时完全没有考虑过信息安全性,甚至从未尝试采取任何最基本的加密措施。
当事企业: Adobe
泄露统计: 约三百万个人身份信息、超过1.5亿用户名/密码组合以及来自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未说明产品的源代码惨遭窃取。
事故细节: 自最初的违规事件发生之后,接踵而来的更多攻击活动持续了一个多月之久,并最终导致了此次重大事故的发生。目前情况已经明确,Adobe正在努力恢复其失窃的大量登录凭证信息——更令人惊讶的是,连其产品源代码也一并泄露。
经验教训: 通过Adobe遭遇的这一轮震惊世界的攻击活动,我们不仅切身感受到攻击者在企业网络中建立根据地并夺取了整套业务储备控制权后所能带来的损害,同时也应学会在考虑将供应商引入软件供应链之前、考察对方在安全领域营造出了怎样的企业生态。作为此次泄露事故的后续影响,其潜在后果恐怕在很长一段时间内都无法彻底消除。
当事企业: 美国能源部
泄露统计: 53000位前任及现任能源部员工的个人身份信息遭到窃取
事故细节: 攻击者将矛头指向了DOEInfo——该机构利用ColdFusion所打造的、已经弃之不用的CFO办公室公开访问系统。能源部官员表示,此次泄露事故只限于内部员工的个人身份信息。
经验教训: 我们从中应该吸取两大教训。首先,安装补丁过去是、现在是、未来也将一直是最为重要的安全任务。其次,各机构必须通过重新审视与敏感数据库相对接的系统最大程度减少攻击面,保证只向公众开放必要的网站。
当事企业: Advocate Medical Group
泄露统计: 四百万病人记录遭到窃取
事故细节: 仅仅由于犯罪分子从办公室里偷走了四台由该公司拥有的计算机,最终导致了这起四百万病人记录丢失的事故——公司官方将此称为自2009年卫生部强制要求通告安全事故以来、美国发生过的第二大医疗信息泄露案件。
经验教训: 医疗行业的数据泄露事故在2013年的违规披露名单当中一直占据主导,但这一次的案件造成的影响显然特别恶劣。仅仅由于一台物理计算设备失窃就最终导致从上世纪九十年代至今的病人记录泄露,这充分暴露了该公司在物理安全、终端安全、加密以及数据保护等各个方面的全线失误。需要强调的是,终端设备被盗与丢失在医疗行业中已经屡见不鲜。现在这些机构可能需要尽快思考终端设备到底能够下载并保存多少来自中央数据库的信息。
⑶ 请结合操作系统安全技术、计算机网络安全技术与数据库系统安全技术等相关知识来分析该事件。
银行卡的盗用、盗刷,折射出的不仅仅是银行系统的脆弱,实际上银行系统在这方面已经是非常努力了。实际上这种问题的发生,更多的是个人信息的泄露。泄露的渠道离不开如今网络的发展。那么接下来从计算机操作系统、网络安全、数据库存储三方面来看这件事情。
一、计算机操作系统,这里多指个人计算机。一个系统的开发,离不开,计算、存储、人机交互,如果仅仅是非联网的需求,那么除过硬件盗取(即盗走机器的整体或一部分,或物理安装U盘之类),是没有别的办法丢失信息的。但是一旦联到了各种网络上后,由于系统设计之初的缺陷,就给了很多远程操控的可能。为了防止这种远程操作,目前很多计算机系统厂家也在不断的对已经销售的系统进行升级补丁。网络安全公司也尽可能的提供更多的安全防护软件来进行防御。
但这方面的问题仍然严俊。从个人角度来说,要尽可能的不访问不安全的链接。不搜索不熟悉的信息。如今比较重的灾区,存在于游戏,情色等网站上。不打开带有不明确意向的邮件附件,对同事发来的疑点邮件,最好进行其它手段,如电话询问,当面询问等方式确认这封邮件是他发出来的。及时的升级操作系统补丁,安装口碑较好的防御软件。
二、网络安全,这里是指一个需要暴露在互联网络下的公司网络,他由各种服务器(小机或大机,虚拟化等方式形成的服务器集群)组成。他的软件防御也和个人电脑有些相似,要从病毒,远程操控等方面杜绝信息的泄露,俗称被黑。这方面可以从划分区域,比如核心区在核心防火墙内,只有特殊端口和链入口令的身份验证后才能允许访问。互联网区与核心区只建立接口通道,只负责可对外公布的数据发布。但这一方面加入了多人合作的关系,有了“人”这个最大的变量,所以也要从员工本身的管控入手。给于各级别员工应有的权限,制定合理的管控制度和绩效考核。防止无关人员访问到不应该获得的核心数据。
三、数据库,不管怎么样的数据,最终都要落地到存储上,而存储只是为了存,而数据存储的目的是为了有效利用,所以数据库的发明是了不起的创造,数据库从是一个软件的角度来说,同计算机一样,做好补丁工作。从一个网络中的软件角度来说,规划好访问端口,做好员工的访问权限。从一个需要被使用的软件角度来说,做好各种数据的使用脱敏,这些都是非常必须的工作。
以上工作做到位以后,数据泄露的可能性将被大大降低,如果盗窃者不能形成一个有效的数据闭环,那么部分信息的被远程非法访问,也不会造成不可挽回的损失。那么命题中提到的银行卡盗刷事件也会大大降低。
另外再补充点个人注意事项,将和银行卡相关的密码做为核心密码,不要轻易和日常注册密码混用,在任何要求输入核心密码的网站或软件是都需要三思,一思来源是否明确安全,二思是否存在它人的诱导,三思如果发生问题会产生多大的风险。
⑷ 数据安全的哪些案例,可以看
大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
图说:阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。
一位数据安全研究人员分析,企业要提升数据安全管理能力,首先就得认清自身数据保护能力水平,再对症下药弥补缺失和短板,而该标准正是针对大多数企业普遍存在的,不了解或不清楚自身数据安全管理能力的问题。
从标准架构来看,会从组织机构数据采集、存储、传输、处理、交换和销毁六个数据生命周期,就企业组织建设、制度流程、技术工具和人员能力四个关键能力维度,至少30多个安全域进行全方位考核评估,最终将组织机构的数据安全能力划分非正式执行、计划跟踪、充分定义、量化控制和持续优化,1级至5级的能力成熟等级,等级越高意味数据安全能力越强。
⑸ 在云平台上的数据库主要面临哪些安全问题
数据库存储着系统的核心数据,其安全方面的问题在传统环境中已经很突出,成为数据泄漏的重要根源。而在云端,数据库所面临的威胁被进一步的放大。其安全问题主要来自于以下几方面: 1) 云运营商的“上帝之手”。如上所述,云端数据库的租户对数据库的可控性是很低的,而云运营商却具有对数据库的所有权限。从技术上来说,云运营商完全可以在租户毫无察觉的情况下进入数据库系统;或者进入数据库服务器所在的虚拟机;或者进入虚拟机所在的宿主物理服务器;或者直接获取到数据库文件所在的存储设备。也就是说,任何租户的数据,对云运营商来说,几乎是完全开放的。而对于有商业价值的数据,对云运营商的众多技术人员来说,绝对有足够的吸引力;2) 来自于其它租户的攻击。同一个云平台上的其它租户,有可能通过虚拟机逃逸等攻击方法,得到数据库中的数据;3) 来自租户自身内部人员的威胁。租户内部人员能够直接使用帐号密码登录到云数据库,从而进行越权或者违规的数据操作;4) 更广泛的攻击。有价值的数据放在云上之后,各种来源的攻击者,都“惦记”着这些数据。可能通过各种方法来进行攻击以获取数据,如近年来频发的SQL注入攻击事件,就导致了大量云端数据的泄漏。要解决如上所述的数据安全问题,需要多方面的防御手段。但是对数据库访问情况的记录和审计,是最基本的安全需求。租户需要清楚的知道,自己的数据库,在什么时间,被什么人,以什么工具,具体做什么访问,又拿到了什么数据。并且需要知道什么时候出现了攻击行为和异常的访问情况。这些功能,正是合格数据库审计产品所必须具有的功能。在云平台上的数据库主要面临哪些安全问题?
⑹ 大数据面临哪些安全与隐私问题
(一)大数据遭受异常流量攻击
大数据所存储的数据非常巨大,往往采用分布式的方式进行存储,而正是由于这种存储方式,存储的路径视图相对清晰,而数据量过大,导致数据保护,相对简单,黑客较为轻易利用相关漏洞,实施不法操作,造成安全问题。由于大数据环境下终端用户非常多,且受众类型较多,对客户身份的认证环节需要耗费大量处理能力。由于APT攻击具有很强的针对性,且攻击时间长,一旦攻击成功,大数据分析平台输出的最终数据均会被获取,容易造成的较大的信息安全隐患。
(二)大数据信息泄露风险
大数据平台的信息泄露风险在对大数据进行数据采集和信息挖掘的时候,要注重用户隐私数据的安全问题,在不泄露用户隐私数据的前提下进行数据挖掘。需要考虑的是在分布计算的信息传输和数据交换时保证各个存储点内的用户隐私数据不被非法泄露和使用是当前大数据背景下信息安全的主要问题。同时,当前的大数据数据量并不是固定的,而是在应用过程中动态增加的,但是,传统的数据隐私保护技术大多是针对静态数据的,所以,如何有效地应对大数据动态数据属性和表现形式的数据隐私保护也是要注重的安全问题。最后,大数据的数据远比传统数据复杂,现有的敏感数据的隐私保护是否能够满足大数据复杂的数据信息也是应该考虑的安全问题。
(三)大数据传输过程中的安全隐患
数据生命周期安全问题。伴随着大数据传输技术和应用的快速发展,在大数据传输生命周期的各个阶段、各个环节,越来越多的安全隐患逐渐暴露出来。比如,大数据传输环节,除了存在泄漏、篡改等风险外,还可能被数据流攻击者利用,数据在传播中可能出现逐步失真等。又如,大数据传输处理环节,除数据非授权使用和被破坏的风险外,由于大数据传输的异构、多源、关联等特点,即使多个数据集各自脱敏处理,数据集仍然存在因关联分析而造成个人信息泄漏的风险。
基础设施安全问题。作为大数据传输汇集的主要载体和基础设施,云计算为大数据传输提供了存储场所、访问通道、虚拟化的数据处理空间。因此,云平台中存储数据的安全问题也成为阻碍大数据传输发展的主要因素。
个人隐私安全问题。在现有隐私保护法规不健全、隐私保护技术不完善的条件下,互联网上的个人隐私泄露失去管控,微信、微博、QQ等社交软件掌握着用户的社会关系,监控系统记录着人们的聊天、上网、出行记录,网上支付、购物网站记录着人们的消费行为。但在大数据传输时代,人们面临的威胁不仅限于个人隐私泄露,还在于基于大数据传输对人的状态和行为的预测。近年来,国内多省社保系统个人信息泄露、12306账号信息泄露等大数据传输安全事件表明,大数据传输未被妥善处理会对用户隐私造成极大的侵害。因此,在大数据传输环境下,如何管理好数据,在保证数据使用效益的同时保护个人隐私,是大数据传输时代面临的巨大挑战之一。
(四)大数据的存储管理风险
大数据的数据类型和数据结构是传统数据不能比拟的,在大数据的存储平台上,数据量是非线性甚至是指数级的速度增长的,各种类型和各种结构的数据进行数据存储,势必会引发多种应用进程的并发且频繁无序的运行,极易造成数据存储错位和数据管理混乱,为大数据存储和后期的处理带来安全隐患。当前的数据存储管理系统,能否满足大数据背景下的海量数据的数据存储需求,还有待考验。不过,如果数据管理系统没有相应的安全机制升级,出现问题后则为时已晚。
⑺ 数据库系统的脆弱性导致的安全事件
系统脆弱性是指计算机系统在硬件、软件、协议的设计、实现以及系统安全策略上存在的缺陷和不足.系统脆弱性的存在是导致安全事件的主要原因,开展系统脆弱性的研究,对提高系统的安全性,减少安全事件的发生,具有非常重要的意义.在分析总结国内外相关研究的基础上,从系统脆弱性的概念、特征、危害、产生原因等方面出发建立了脆弱性分析模型;对系统脆弱性进行了分类分级研究,提出了一种新的漏洞分类方法,并将这种方法成功的应用于系统安全漏洞数据库构建过程;阐述了漏洞检测的主要方法:安全扫描、源代码扫描和软件错误注入法,并给出了源代码扫描的具体应用实例.该文另一项重要的工作是设计并实现了系统安全漏洞数据库.通过调研国内外漏洞数据库现状,详尽分析已有数据库的特点,提出了建库目标;并以此目标为依据,设计实现了一个较为完善的漏洞数据库.为实现漏洞数据录入的自动化,开发了相应的工具软件.该漏洞数据库已在中国科学院国家计算机网络入侵防范中心运行,在主动防御系统、安全扫描、漏洞检测等领域得到了应用,实现了原设计指标,达到了国内领先水平.
⑻ 数据安全有哪些案例
“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。
员工监守自盗数亿条用户信息
今年初,公安部破获了一起特大窃取贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。
业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。
国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。
企业数据信息泄露后,很容易被不法分子用于网络黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。
去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。
上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。
当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。
企业、组织机构等如何提升自身数据安全能力?
企业机构亟待提升数据安全管理能力
“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。
⑼ 微盟删库事件,企业数据安全隐患如何避免呢
根据最新报道,2020年2月23日微盟的一个工作人员在家使用VPN(虚拟专用网络)登录公司数据库并恶意删除数据库文件,这一操作瞬间造成近300万家微盟客户的数据丢失,截止25号才恢复部分数据,但仍有大部分客户数据还在恢复中,并且恢复后的数据完整性并无保障。那么,在面对这一恶意删库事件的同时,我们的互联网公司该通过何种方式来杜绝数据安全隐患,确保公司及客户的数据安全性?
数据与网络安全成为现如今企业立身之根本,能够保证网络安全与数据安全的企业可以不因这些恶意破坏而导致损失或业务停滞。拿捏在手上的敏感数据才能得到万无一失的保护,在数据安全泄露、删库高频发的网络时代,着重安全的企业才能够走得更长远。
⑽ 数据库安全的安全问题
据Verizon2012年的数据泄露调查分析报告 和对发生的信息安全事件技术分析,总结出信息泄露呈现两个趋势:
(1)黑客通过B/S应用,以Web服务器为跳板,窃取数据库中数据;传统解决方案对应用访问和数据库访问协议没有任何控制能力,比如:SQL注入就是一个典型的数据库黑客攻击手段。
(2)数据泄露常常发生在内部,大量的运维人员直接接触敏感数据,传统以防外为主的网络安全解决方案失去了用武之地。
数据库在这些泄露事件成为了主角,这与我们在传统的安全建设中忽略了数据库安全问题有关,在传统的信息安全防护体系中数据库处于被保护的核心位置,不易被外部黑客攻击,同时数据库自身已经具备强大安全措施,表面上看足够安全,但这种传统安全防御的思路,存在致命的缺陷。