《企业数据安全风险分析及对策建议》由会员分享,可在线阅读,更多相关《企业数据安全风险分析及对策建议(6页珍藏版)》请在装配图网上搜索。
1、企业数据安全风险分析及对策建议一、典型安全事件案例1Sony Picture数据泄露事件:索尼从2011年4月17日至6月3日,先后遭遇数起不同黑客的 攻击,从其美国总部到全球的业务部门,数据泄漏受影响的用户超过 1亿人,是迄今为止规模最大的用户数据外泄案。6月2日,索尼称已大大提高网络安全性以保护用户信息,并且 全面恢复欧美和亚洲部分地区的PlayStation网络。然而,就在当天, 黑客组织LulzSec宣布已经通过SQL注入的方法获得了索尼影视娱乐 公司(Sony Pic ture Ent er tainmen t Corpora tion)的账户数据库,此 次泄漏的数据多达100万名账
2、户的资料和密码,还有75000个音乐获 取码及350万个音乐优惠券。LulzSec还惊讶地发现,索尼竟然采用 简单的纯文本方式保存用户密码,无任何加密。同时黑客还从荷兰和 比利时的索尼BMG攻进了其他地方。2. Google Gmail2011年6月初,谷歌宣布有人入侵了数百个Gmail用户的个人账 户。这些账户属于具有一定知名度的重要人士,包括美国高级政府官 员、中国政治运动人士、国及其他亚洲国家的官员,以及军队相关人 士和新闻记者。谷歌表示这次攻击是通过钓鱼手法盗用用户密码,并 进入和监视其Gmail账户行动。在攻击期间,受害者被迫打开那些熟 人的,使用社会工程技术和高度个人化容的信息能够
3、引诱他们点击所 发的,从而引导他们进入伪装成Gmail登录页面的恶意站点,盗取受害者的登录信息。3. 花旗银行2011 年 6 月9 日,花旗银行的系统被黑,20 万多个银行卡被盗。 这起事件在五月初被发现,但直至 6 月份才公开此事,花旗银行表示, 被盗信息包括用户的名字、密码及其他诸如地址等联系信息。然而, 其他个人认证信息,如用户生日、社会安全、卡截止日期及CW代码 并未被盗。4.CSDN等用户信息泄漏2011年12月21日上午,CSDN部分用户数据在网络上被公开。此后陆续几天,天涯、人人、当当、凡客、卓越、开心、多玩等多家, 相继被曝出密码遭网上公开泄漏。目前网上公开暴露的网络密码已超
4、 1 亿个。外部安全解决黑客 攻击问题降低安全 风险二、企业网络安全风险分析内部安全 解决员I- 卜法操作 等问题 哦高企业 效率针对企业数据安全方面所面临的主要威胁是信息泄漏特别是数据 库泄密,企业数据特别是企业用户数据,做为企业所有者的信息资产, 涉及到及关联信息系统的实质业务,对其性的要求强度不言而喻。本 报告将就Web应用的数据库的防泄密策略提出解决建议。三、数据库为什么会成为目标攻击者为什么会冒着巨大的法律风险去获取数据库信息?2001 年,随着网络游戏的兴起,虚拟物品和虚拟货币的价值逐步 被人们认可,网络上出现了多种途径可以将虚拟财产转化成现实货 币,针对游戏攻击的逐步兴起,并发展
5、成庞大的虚拟资产交易市场。20042007年,相对于通过木马传播方式获得的用户数据,攻击 者采用入侵目标信息系统获得数据库所获得的信息其针对性与攻击 效率都有显著提高。在巨额利益驱动下,网络游戏服务端成为黑客“拖 库”的主要目标。20082009 年,国信息安全立法和追踪手段得到完善,攻击者针 对中国境网络游戏的攻击日趋收敛。与此同时,残余攻击者的操作手 法愈加精细和隐蔽,攻击目标也随着电子交易系统的发展扩散至的电 子商务、彩票和境外赌博等主题,并通过黑色产业链将权限或数据转 换成为现实货币。招商加盟类也由于其本身数据的商业业务价值,成 为攻击者的“拖库”的目标。2010 年,攻防双方经历了多
6、年的博弈,全运维水平不断提升,信 息安全防御产品的成熟度加强,单纯从技术角度对目标系统进行渗透 攻击的难度加大,而通过收集分析管理员、用户信息等一系列被称做“社会工程学”的手段的攻击效果被广大攻击者认可。获得更多的用 户信息数据有利于提高攻击的实际效率,攻击者将目标指向了拥有大 量注册用户真实详细信息的社区及社交,并在地下建立起“人肉搜索 库”预期实现:获知某用户常用ID或Email,可以直接搜索出其常 用密码或常用密码密文。四、数据库是如何被获取的攻防回合的延续使入侵网游服务端主机系统难度加大,而Web应 用的登录入口表明了 Web应用程序与用户数据表之间存在关联,通过 入侵 Web 获得数
7、据库信息成为针对数据库攻击的主要入手点,常见的 攻击步骤如下:1. 寻找目标(或同台服务器的其他)程序中存在的SQL注入、非 法上传或者后台管理权限等漏洞;2. 通过上述漏洞添加一个以网页脚本方式控制服务器的后门,即:WebShell;3. 通过已获得的WebShell提升权限,获得对Web应用服务器主机 操作系统的控制权,并通过查看数据库文件,或得数据库的密码;4. 通过在 Web 应用服务器上镜像数据库连接,将目标数据库中所 需要的信息导入至攻击者本地数据库(或直接下载服务器上可能存在 的数据库备份文件);5. 清理服务器日志,设置长期后门。目前攻击者以团队为单位,无论从工具的制造、攻击实
8、施的具体 手法都已经形成了体系化的作业流程。从全全大检查数据分析中,可 以知道全国 70%的存在安全问题,这些也将均有可能成为下一个数据 信息泄露的潜在安全隐患群体。五、对策建议1. 技术方面,根据具体信息系统的实际情况适当采用对应的安全工具或设备,如Web应用弱点扫描器、数据库弱点扫描器、Web应用防火墙、数据库审计系统等;并通过人工手段,对系统进行多种 方式的脆弱性评估和加固工作,如:渗透测试、代码审计等。2. 管理方面,加强对Web应用和数据库对应的组织人员、开发规、运维策略和安全培训等的建设,在单业务系统的围,达到体系完 善。如对数据库用户权限和备份文件加强管理。3. 制定符合企业长远发展的安全策略,面对不法分子日益猖獗的复 合攻击,从纵深防御的角度来看,不能试图通过单点产品的简单 堆砌来加以应对,而更应该考虑产品之间的协调工作。另外,作 为产品的补充,也要适当考虑采用人工操作的方式对Web应用和 数据库的安全防御能力进行加强。攻防是一种动态博弈,安全产 品的部署和相关的安全管理策略采用在技术层面并不存在硬性要 求,在实际的工作中,应针对具体情况采用更加灵活的安全措施 因此确立专业支持团队的外援保障也是必不可少的。
企业数据安全风险分析及对策建议
