数据库泄看信息系统安全-法师兄

数据库泄看信息系统安全

来源：法律编辑整理时间： 2023-06-07 00:40:21 346 人看过

2011年末国内最大程序员社区CSDN的数据库泄露事件横扫整个中国互联网，引起了亿万网民的关注、怀疑互联网的安全性，似乎一夜之间数据外泄和数据库安全成为流行。其实不然，数据外泄从05年开始就在国外爆发，典型代表为美国的数千万信用卡数据失窃事件。

从历史上看，往往一个大的事件会引起人们的警醒，甚至一定程度会影响到法律法规的制订和全员对安全意识和手段的提高。面对此类安全事件，我们需要的不是过多的责难，而是不断改进的问题本，站在信息系统安全高度来看待这些层出不穷的安全事件。

信息安全不能头痛医头脚痛医脚

这次事件引发了很多互联网企业、电子商务、电子政务等诸多在线业务系统关于数据库防泄露的探讨与分析，安全厂商也纷纷拿出了各自的防数据库信息泄露的解决方案。深入分析这次事件，不难看出，数据库泄露事件仅仅是信息安全事件的一种表现形式而已。这次被公布的账户信息不过是黑客产业链输出的已经失去价值的信息残渣;这背后可能存在修改核心数据库的记录、获取特定社会公众人物的重要信息、涉嫌大宗商业诈骗等违法行为等更为严重的不为人知的恶性安全事件。亡羊补牢为时不晚，但若我们安全建设的策略仅聚焦在数据泄露这个安全事件的表象上，这将会是危险的。

信息安全建设切忌头痛医头脚痛医脚，如前些年网站出现的大量篡改事件，从而导致防篡改解决方案、防篡改产品，防篡改要求纷纷上阵;去年医药价格的暴光推动了防统方的需求。这都表现为过于被动的安全策略，如果没有CSDN账户信息的大量丢失事件，可能我们对信息安全依然陌生，对WEB应用系统的安全仍然停留在防篡改的层面，对WEB攻击的认识只会知道有SQL注入，对数据库安全认识也只是弱口令。这些事件给我们的信息安全建设敲响了警钟。值得庆幸的是这次事件的很多受害网友都是程序员，因此也直接增强了程序员安全意识教育。对于信息系统的安全建设我觉得应该从如下几个方面着手考虑。

安全意识的培养与管理层的重视

很多人都听说过七分管理，三分技术，也听说过70%风险来自内部，这两个准黄金分割其实没有必然联系，其实谁在管理，如何管理，如何运用合理的技术，如何控制风险，如何把风险降到可控的范围，里面最重要的是人，特别是管理层的决策。从我这些年的观察来看，在实践中大部分都体现了人性的一些弱点不遇到痛处，不会意识到。伴随着08奥运安保、09建国60周年、10年世博会和亚运会安保活动的成功，一个功劳是进行全国性的信息安全教育和安全意识的提高(尤其是在领导层面)，这方面的影响将是深远的，而且这次数据库信息泄露事件我想最值得总结的教训就是应当提高管理层的安全意识和决策层对信息安全的重视。很多企业信息安全没有专职部门，甚至只是网管部门某个职工的兼职工作内容。这样的组织架构是很难落实信息安全工作的。我们应优化组织架构，尽可能建立专职部门并赋予一定的权限，这样才能较好地展开信息安全建设工作。

立足信息系统安全的高度来看待问题

信息安全是一项系统工程，我们在进行安全的规划就是应立足系统安全的高度来分析需求。从基本的物理安全、：机房门禁制度、网络访问控制、操作系统安全、应用安全、安全访问人员的认证、授权、审计管理等，其中任何一个环节安全措施处理的不当都有可能带来严重的后果。比如我们信息资产的价值与敏感程度是与相应的访问角色相对应，从核心数据库的维护、管理、中间件读取再到普通用户的浏览的每一个层面的权限控制、访问审计等安全措施是否到位都应纳入其中。

信息安全是技术和管理的统一体，内部运维和外部访问的安全管理同等重要。安全管理制度要建立，但更需采用一定的手段来监测我们的管理制度能否落到实处。比如我们的制度要求定期修改密码、敏感数据访问需要审批、权限调整变更需要审批，但这些制度是否得到执行我们不得而知。内部管理工作应采用制度建设与技术手段相结合的方式来展开，如我们对数据库的操作进行审计，上述的制度是否得到有效执行将能直观的体现到审计报表中，从而促使管理制度得到良好的执行。

以信息资产的价值来权衡安全的投入

我想强调的是我们做信息安全规划时应当以信息资产的价值重要程度和相应的安全风险来决定信息安全的投入。网站仅为了发布一些日常信息时，可能部署一套防篡改软件就足够了，但如果我们是一个重要的交易系统，或者是涉及大量用户信息的社交网络则需要更为全面的安全考虑。

比如我们的网上应用系统由大量服务器群构成，如文件服务器、缓存服务器、多媒体服务器、广告服务器、交易应用服务器、账户会话服务等等，我们在制定安全策略时应当对风险指数高的交易服务器、账户会话服务器进行较多的安全投入，而不需要对所有的服务器都采用相同的安全策略从而带来巨大的信息安全投入本成。

应具有社会责任感

最后我想说的是以信息技术为载体的企业，无论是专业的安全公司还是互联网企业都应具有良好的社会责任感。如今几乎所有银行、证券、电信、移动、政府以及电子商务企业都提供在线交易、查询和交互服务，这也意味着社会公民的财产、身份信息、账户信息、家庭信息、社交关系等均在互联网上有了全面的记录。如果其中的某个环节的信息被泄露，这些信息将可能被别有用心的人关联起来，并结合社会工程学等攻击手段给我们广大民众带来非常大的威胁。

比如近期的信息泄露可能导致社会民众的恐慌，而日益严重的如网页挂马、网络钓鱼也给民众造成了实质性的伤害，可能这些安全问题对我们服务器本身、核心数据库、业务等并不会有直接的影响;用户因为这些安全问题遭受经济损失后，从法律上讲，也许我们的企业并没有承担责任的义务，但我们应在这几个方面加强安全防御措施，尽可能降低类似事件的发生，不但为健康的网络环境做一份贡献，同时也是为我们自己的企业信誉做一份努力。

更多精彩请阅读电子商务安全

声明：该文章是网站编辑根据互联网公开的相关知识进行归纳整理。如若侵权或错误，请通过反馈渠道提交信息，我们将及时处理。【点击反馈】

扩展阅读

律师服务

热门律师推荐

律师普法

换一批

更多产品相关文章

法律综合知识
安全系统论原理

系统原理就是运用系统理论对管理进行系统分析，以达到科学管理的优化目标。系统原理的掌握和运用对提高管理效能有重大作用。掌握和运用系统原理必须把握系统理论和系统分析。1.系统科学基本理论系统理论是指把对象视为系统进行研究的一般理论。其基本概念是系统、要素。系统是指由若干相互联系、相互作用的要素所构成的有特定功能与目的的有机整体。系统按其组成性质，分为自然系统、社会系统、思维系统、人工系统、复合系统等，按系统与环境的关系分为孤立系统、封闭系统和开放系统。系统具有六方面的特性：整体性。指充分发挥系统与系统、子系统与子系统之间的制约作用，以达到系统的整体效应。稳定性。即系统由于内部子系统或要素的运动，总是使整个系统趋向某一个稳定状态。其表现是在外界相对微小的干扰下，系统的输出和输入之间的关系，系统的状态和系统的内部秩序（即结构）保持不变，或经过调节控制而保持不变的性质。有机联系性。即系统内部各要素之

2023-04-24

55人看过
征信
征信机构解散信息数据库怎么办

若征信机构因事由解散的，其信息数据库应当依法进行转让，或者向国家相关部门进行移交。根据我国《征信业管理条例》的相关规定，征信机构解散或者被依法宣告破产的，应当与其他征信机构约定并经国务院征信业监督管理部门同意，转让信息数据库给其他征信机构。征信机构不采集什么信息？征信机构不采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息，征信机构不得对房地产和已纳税所得额、个人的收入、存款、有价证券、商业保险等信息进行收集，征信机构已明确告知信息主体提供该等信息可能产生的不良后果，并已获得其书面同意收集该等信息的除外。征信机构是指依法设立的、独立于信用交易双方的第三方主要经营征信业务的机构，从事收集、整理、加工和分析企业和个人信用信息资料工作，出具信用报告，提供多样化征信服务，帮助客户判断和控制信用风险等。征信机构是征信市场的支柱，在现代市场经济条件下扮演着

2023-07-31

334人看过
商业秘密
金融信用信息基础数据库的规定

《条例》鼓励企业信用信息公开透明，为企业征信业务的发展提供较为宽松的制度环境。征信机构可以通过信息主体、企业交易对方、行业协会提供信息，政府有关部门依法已公开的信息，人民法院依法公布的判决、裁定等多个渠道采集企业信用信息，采集和对外提供时都不需要取得企业的同意；企业的董事、监事、高级管理人员与其履行职务相关的信息，视为企业信息，采集和使用时也不需要取得信息主体的同意。征信机构不得采集法律、行政法规禁止采集的企业信息，不得侵犯企业的商业秘密。金融信用信息基础数据库作为我国重要的金融基础设施，《条例》对其有什么规定？由中国人民银行组建、中国征信中心运行维护的我国金融信用信息基础数据库运行8年来，已收录1800多万户企业、8亿多个人的有关信息。为明确金融信用信息基础数据库的运行和监管依据，发挥好金融信用信息基础数据库的重要作用，保障信息主体合法权益，《条例》对其作了专门规定。《条例》规定，金融信

2023-05-05

357人看过
犯罪构成
侵犯计算机信息系统安全罪要件及刑罚

非法侵入计算机信息系统罪的犯罪构成为：1、本罪侵犯的客体是国家重要计算机信息系统安全；2、本罪在客观方面表现为行为人实施了违反国家规定侵入国家重要计算机信息系统的行为；3、本罪的主体是一般主体；4、本罪在主观方面是故意。非法侵入计算机信息系统罪既遂会判多长时间？非法侵入计算机信息系统罪既遂的判刑：行为人犯了非法侵入计算机信息系统罪既遂的，处三年以下有期徒刑或者拘役。单位犯此罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照自然人的规定处罚。《中华人民共和国刑法》第二百八十五条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或

2023-07-07

271人看过

法律综合知识
危害计算机信息系统安全的行为有什么

一、危害计算机信息系统安全的行为有什么危害计算机信息系统安全的行为有：违反国家规定，侵入计算机信息系统，造成危害的；违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；其他行为。《治安管理处罚法》第二十九条有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：（一）违反国家规定，侵入计算机信息系统，造成危害的；（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。二、非法侵入计算机信息系统罪的主体是哪些非法侵入计算机信息系统罪的主体

2024-02-06

246人看过
著作权
国家秘密计算机信息系统如何保障安全？

分级保护。涉密信息系统按照涉密程度分为绝密级、机密级、秘密级。机关、单位应当根据涉密信息系统存储、处理信息的最高密级确定系统的密级，按照分级保护要求采取相应的安全保密防护措施。存储、处理国家秘密的计算机信息系统按照涉密程度实行分级保护。涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划，同步建设，同步运行。涉密信息系统应当按照规定，经检查合格后，方可投入使用。从事国家秘密载体制作、复制、维修、销毁，涉密信息系统集成，或者武器装备科研生产等涉及国家秘密业务的企业事业单位，应当经过保密审查，具体办法由国务院规定。计算机软件著作权的保护始于什么法律计算机软件著作权的保护始于《计算机软件保护条例》第十四条：软件著作权自软件开发完成之日起产生。自然人的软件著作权，保护期为自然人终生及其死亡后50年，截止于自然人死亡后第50年的12月31日；软件是合作开发的，

2023-07-20

364人看过
电子支付
【电子支付安全】电子支付系统的安全是个“系统”的安全问题

对于电子支付系统，大多数人认识的安全是单一的，或者说是纯技术上的，其实电子支付是一个广义的范畴，是支付体系与认证体系的综合，它所带来的安全问题自然也需要从多个角度去观察认识。本人认为首先要做的是澄清这一认识，说电子支付系统的安全问题是因为技术上的不完善是没有错的，但技术上的原因只是单一角度认识的结果，要从根本上解决安全问题，就需要从系统的认识出发，需要增加的是对社会整体的控制(社会环境、立法等)、对规律、方法等深入的认识，以及个人的判断力。技术改进是整体运行的结果，只有这样才能减少单一技术的漏洞，从而在电子支付系统的建设上，真正摸索出一条适合中国国情的建设之路，而对它所带来的对社会各方面的冲击，因为从一开始即研究融入建设之中，所以可减少许多盲目，避免在面临问题时的不知所措。其次，安全体系是附属于电子支付体系的，之所以我们对于电子支付系统的建设慎之又慎、考虑再三，主要是信心不足，而存在的原因

2023-04-24

339人看过
刑事诉讼法
公安系统：隐私泄露风险提示

一般情况下不可以。公安机关在国家安全需要或者案情需要的情况下，是可以查询个人信息的，非职务需要的情况下，公安机关不能查询个人的信息。个人私自在公安局调查别人属于犯法。侵犯了别人的隐私权。隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的一种人格权，而且权利主体对他人在何种程度上可以介入自己的私生活，个人对自己的隐私是否向他人公开隐私以及公开的人群范围和程度等具有决定权。隐私权是一种基本人格权利。用身份证号码怎么查公安系统查到的身份证号公安系统查身份证号码，可以查出公民的基本信息情况，包括姓名、性别、年龄、民族、户籍、住址。此外，还可以查出该公民的关联信息，包括出入境信息、违法犯罪信息、吸毒信息、在逃信息、机动车信息、以及家庭成员等信息，还包括服役情况，婚姻情况等。只要是公民登记在国家信息系统内的个人信息，基本都可以直接或间接查到。《公安

2023-07-19

257人看过

婚外情
开房信息遭泄露我们的信息还安全吗

最近，如家开房记录遭泄露让一部分人人心惶惶。由于wifi服务器等原因，第三方能够通过漏洞获取如家、汉庭等连锁酒店的开房信息，身份证号、开房日期等都能查到。这一消息既让人担心信息安全，又让人觉得有婚外情的人士看到这一条应该收敛一些了。如家、汉庭等酒店开房记录遭泄漏。包括如家、汉庭等在内的多家酒店集团全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店WiFi管理、认证管理系统，而慧达驿站在其服务器上实时存储了这些酒店客户的记录，包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。结果因为某种原因，这些信息是可以被黑客拿到的。事实上，在10月8日，厂商已经对漏洞事件做出说明，承认住客验证登入酒店无线网络的信息同步技术存在安全隐患。浙江慧达表示已在第一时间完成系统升级，漏洞已修补。我们的信息还安全吗?我们且不管这次的开房信息泄露事件是谁的责任，谁该为此负责，供应商和

2023-04-24

61人看过
产品
系统安全工程理论

系统安全工程创始于美国，并且首先使用于军事工业方面。20世纪50年代末，科学技术进步的一个显著特征是设备、工艺和产品越来越复杂。战略武器的研制、宇宙开发和核电站建设等使得作为现代先进科学技术标志的复杂巨系统相继问世。这些复杂巨系统往往由数以千、万计的元件、部件组成，元件、部件之间以非常复杂的关系相连接；在它们被研制和被利用的过程中常常涉及到高能量。系统中的微小的差错就可能引起大量的能量以外释放，导致灾难性的事故。这些复杂巨系统的安全性问题受到了人们的关注。在开发研制、使用和维护这些复杂巨系统的过程中，逐渐萌发了系统安全的基本思想。作为现代事故预防理论和方法体系的系统安全产生与美国研制民兵式洲际导弹的过程中。系统安全是人们为预防复杂巨系统事故而开发、研究出来的安全理论、方法体系。所谓系统安全，是在系统寿命期间内应用系统安全工程和管理方法，辩识系统中的危险源，并采取控制措施使其危险性最小，从而

2023-04-24

483人看过
法律综合知识
一般非法获取计算机信息系统数据－非法控制计算机信息系统罪是如何处罚的

针对非法获取计算机信息系统数据或者非法控制计算机信息系统的行为，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。单位犯罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照该款规定处罚。《刑法》第二百八十五条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，

2024-04-17

100人看过
有期徒刑
1亿条信息泄漏，你的身份信息安全吗

一、1亿条信息泄漏，你的身份信息安全吗1亿条信息泄漏，其中包括公民的姓名、电话、身份证，甚至照片等十分敏感的个人重要隐私信息。根据相关媒体的深度挖掘，此次1亿条信息泄漏或许仅仅是冰山一角，其数字甚至有可能超过4亿条，个人信息黑产规模甚至已超千亿元。我们经常会接到贷款、办理信用卡和推销的电话，主要是由于我们的身份信息被泄露了，因此我们需要提高信息安全意识，做到以下几点保护自己的信息安全：1、公共场合ＷｉＦｉ不要随意链接，更不要使用这样的无线网进行网购等活动。如果确实有必要，最好使用自己手机网络。2、手机、电脑等都需要安装安全软件，每天至少进行一次对木马程序的扫描，尤其在使用重要账号密码前。每周定期进行一次病毒查杀，并及时更新安全软件。3、来路不明的软件不要随便安装，在使用智能手机时，不要修改手机中的系统文件，也不要随便参加注册信息获赠品的网络活动。4、设置高保密强度密码，不同网站最好设置不同

2023-06-06

210人看过

欠款
优衣库信息被泄露，个人信息泄露的危害有哪些

近日发布声明说，旗下品牌优衣库、GU销售网站逾46万名客户个人信息遭未授权访问，可能造成信息泄露。优衣库方面当天对北京青年报记者表示，经调查，此次事件不涉及中国的网站及信息平台。今天就来看看优衣库信息被泄露，个人信息泄露的危害有哪些，泄露途径和安全现状是什么？一、优衣库信息被泄露，个人信息泄露的危害有哪些一、垃圾短信源源不断：这已经是非常普遍的事，无怪乎央视连续两个在3.15晚会上将垃圾短信进行曝光。最新听说的是，利用小区短信，可以基站作为发送中心，向基站覆盖区域内的移动用户发送短信，这一发短信系统每十分钟可以发送1.5万条。二、骚扰电话接二连三：本来只有朋友、同学或亲戚知道的电话，会经常被陌生人打过来，有推销保险的，有推销装修的，有推销婴儿用品的。你不找他们，他们就自动找上门。你可能还在纳闷他们怎么知道你的电话之时，孰不知你的信息早被卖过多少回了。三、垃圾邮件铺天盖地：个人信息被泄露后，

2023-06-07

285人看过
有期徒刑
最新的计算机信息系统数据罪中的非法获取

《刑法》第二百八十五条非法侵入计算机信息系统罪违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。非法获取计算机系统数据罪如何量刑1、违反国家规定，侵入国家事务、国的防建设、尖端科学技术领域的计算机信息系统的，处三年以下

2023-07-02

497人看过