数据库泄看信息系统安全-法师兄

数据库泄看信息系统安全

来源：互联网时间： 2023-06-07 00:40:21 346 人看过

2011年末国内最大程序员社区CSDN的数据库泄露事件横扫整个中国互联网，引起了亿万网民的关注、怀疑互联网的安全性，似乎一夜之间数据外泄和数据库安全成为流行。其实不然，数据外泄从05年开始就在国外爆发，典型代表为美国的数千万信用卡数据失窃事件。

从历史上看，往往一个大的事件会引起人们的警醒，甚至一定程度会影响到法律法规的制订和全员对安全意识和手段的提高。面对此类安全事件，我们需要的不是过多的责难，而是不断改进的问题本，站在信息系统安全高度来看待这些层出不穷的安全事件。

信息安全不能头痛医头脚痛医脚

这次事件引发了很多互联网企业、电子商务、电子政务等诸多在线业务系统关于数据库防泄露的探讨与分析，安全厂商也纷纷拿出了各自的防数据库信息泄露的解决方案。深入分析这次事件，不难看出，数据库泄露事件仅仅是信息安全事件的一种表现形式而已。这次被公布的账户信息不过是黑客产业链输出的已经失去价值的信息残渣;这背后可能存在修改核心数据库的记录、获取特定社会公众人物的重要信息、涉嫌大宗商业诈骗等违法行为等更为严重的不为人知的恶性安全事件。亡羊补牢为时不晚，但若我们安全建设的策略仅聚焦在数据泄露这个安全事件的表象上，这将会是危险的。

信息安全建设切忌头痛医头脚痛医脚，如前些年网站出现的大量篡改事件，从而导致防篡改解决方案、防篡改产品，防篡改要求纷纷上阵;去年医药价格的暴光推动了防统方的需求。这都表现为过于被动的安全策略，如果没有CSDN账户信息的大量丢失事件，可能我们对信息安全依然陌生，对WEB应用系统的安全仍然停留在防篡改的层面，对WEB攻击的认识只会知道有SQL注入，对数据库安全认识也只是弱口令。这些事件给我们的信息安全建设敲响了警钟。值得庆幸的是这次事件的很多受害网友都是程序员，因此也直接增强了程序员安全意识教育。对于信息系统的安全建设我觉得应该从如下几个方面着手考虑。

安全意识的培养与管理层的重视

很多人都听说过七分管理，三分技术，也听说过70%风险来自内部，这两个准黄金分割其实没有必然联系，其实谁在管理，如何管理，如何运用合理的技术，如何控制风险，如何把风险降到可控的范围，里面最重要的是人，特别是管理层的决策。从我这些年的观察来看，在实践中大部分都体现了人性的一些弱点不遇到痛处，不会意识到。伴随着08奥运安保、09建国60周年、10年世博会和亚运会安保活动的成功，一个功劳是进行全国性的信息安全教育和安全意识的提高(尤其是在领导层面)，这方面的影响将是深远的，而且这次数据库信息泄露事件我想最值得总结的教训就是应当提高管理层的安全意识和决策层对信息安全的重视。很多企业信息安全没有专职部门，甚至只是网管部门某个职工的兼职工作内容。这样的组织架构是很难落实信息安全工作的。我们应优化组织架构，尽可能建立专职部门并赋予一定的权限，这样才能较好地展开信息安全建设工作。

立足信息系统安全的高度来看待问题

信息安全是一项系统工程，我们在进行安全的规划就是应立足系统安全的高度来分析需求。从基本的物理安全、：机房门禁制度、网络访问控制、操作系统安全、应用安全、安全访问人员的认证、授权、审计管理等，其中任何一个环节安全措施处理的不当都有可能带来严重的后果。比如我们信息资产的价值与敏感程度是与相应的访问角色相对应，从核心数据库的维护、管理、中间件读取再到普通用户的浏览的每一个层面的权限控制、访问审计等安全措施是否到位都应纳入其中。

信息安全是技术和管理的统一体，内部运维和外部访问的安全管理同等重要。安全管理制度要建立，但更需采用一定的手段来监测我们的管理制度能否落到实处。比如我们的制度要求定期修改密码、敏感数据访问需要审批、权限调整变更需要审批，但这些制度是否得到执行我们不得而知。内部管理工作应采用制度建设与技术手段相结合的方式来展开，如我们对数据库的操作进行审计，上述的制度是否得到有效执行将能直观的体现到审计报表中，从而促使管理制度得到良好的执行。

以信息资产的价值来权衡安全的投入

我想强调的是我们做信息安全规划时应当以信息资产的价值重要程度和相应的安全风险来决定信息安全的投入。网站仅为了发布一些日常信息时，可能部署一套防篡改软件就足够了，但如果我们是一个重要的交易系统，或者是涉及大量用户信息的社交网络则需要更为全面的安全考虑。

比如我们的网上应用系统由大量服务器群构成，如文件服务器、缓存服务器、多媒体服务器、广告服务器、交易应用服务器、账户会话服务等等，我们在制定安全策略时应当对风险指数高的交易服务器、账户会话服务器进行较多的安全投入，而不需要对所有的服务器都采用相同的安全策略从而带来巨大的信息安全投入本成。

应具有社会责任感

最后我想说的是以信息技术为载体的企业，无论是专业的安全公司还是互联网企业都应具有良好的社会责任感。如今几乎所有银行、证券、电信、移动、政府以及电子商务企业都提供在线交易、查询和交互服务，这也意味着社会公民的财产、身份信息、账户信息、家庭信息、社交关系等均在互联网上有了全面的记录。如果其中的某个环节的信息被泄露，这些信息将可能被别有用心的人关联起来，并结合社会工程学等攻击手段给我们广大民众带来非常大的威胁。

比如近期的信息泄露可能导致社会民众的恐慌，而日益严重的如网页挂马、网络钓鱼也给民众造成了实质性的伤害，可能这些安全问题对我们服务器本身、核心数据库、业务等并不会有直接的影响;用户因为这些安全问题遭受经济损失后，从法律上讲，也许我们的企业并没有承担责任的义务，但我们应在这几个方面加强安全防御措施，尽可能降低类似事件的发生，不但为健康的网络环境做一份贡献，同时也是为我们自己的企业信誉做一份努力。

更多精彩请阅读电子商务安全

声明：该文章是网站编辑根据互联网公开的相关知识进行归纳整理。如若侵权或错误，请通过反馈渠道提交信息，我们将及时处理。【点击反馈】

扩展阅读

律师服务

热门律师推荐

律师普法

换一批

更多产品相关文章

产品
库存管理系统

存货仓储管理的原则是反映存货仓储的基本要求，是控制存货收发存业务和存货资金管理的基本原则和方法。存货管理有三个基本原则：一是合理使用资金，防止盲目采购、积压、缺货、断货，保证商品销售和产品生产的正常进行，实行库存控制管理，制定各类物资的最大、最小库存量，为了控制存货的储存和存货资金的使用，各种存货的最高库存（限额）和最低库存（限额）必须由销售、生产、财务等部门根据销售、生产的计划和实际需要以及资金供应情况共同制定，由仓库、商场各柜台组实施。会计部门对定额的执行情况进行监督检查。库存限额管理的原则要求仓库保管员和商场各柜台组负责人定期对各类库存进行盘点。如果库存高于最高库存或低于最低库存，必须立即与销售、生产和采购部门一起向仓库主管报告，检查收据，批准发货和交货，并控制存货的收发这一原则要求仓库内所有收货必须有专人负责。收货人员根据进货凭证逐项核对品名、数量、规格、型号、尺寸、款式、品牌、质

2023-05-07

379人看过
证券交易
非法获取计算机信息系统数据罪是什么

一、非法获取计算机信息系统数据罪是什么?非法侵入计算机信息系统罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。二、非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为第二百八十五条第二款规定的“情节严重”：(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;(二)其他情节特别严重的情形。明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用的，依

2023-04-28

386人看过
有期徒刑
什么是非法控制计算机信息系统数据罪

非法控制计算机信息系统罪是指对国家事务、国防建设、尖端科学技术领域以外的计算机信息系统实施非法控制，情节严重的行为。根据刑法第285条第二款的规定，犯本罪的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。本罪的犯罪对象是特定计算机信息系统，即涉及国家事务、国防建设、尖端科学技术领域的计算机信息系统。那么什么是计算机信息系统呢?根据1994年2月18日国务院颁布的《计算机信息系统安全保护条例》第2条规定，计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。注意，这里的网络，根据《全国人大常委会关于维护互联网安全的决定》第一条规定，还应包括互联网。是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统以外的其他计算机信息系

2023-06-03

353人看过
危害计算机信息系统安全
何谓危害计算机信息系统安全的行为？

治安管理处罚法对危害计算机信息系统安全的行为规定了四种情形，(1)违反国家规定，侵入计算机信息系统，造成危害的;(2)违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的;(3)违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;(4)故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。根据法律规定，实施上述各项行为之一的，处五日以下拘留;情节较重的，处五日以上十日以下拘留。

2023-06-06

272人看过

有期徒刑
非法获取计算机信息系统数据罪是什么

一、非法获取计算机信息系统数据罪是什么违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。二、非法获取计算机信息系统数据罪情节严重的量刑建议是什么非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节

2023-04-12

260人看过
电子支付
【电子支付安全】电子支付系统的安全是个“系统”的安全问题

对于电子支付系统，大多数人认识的安全是单一的，或者说是纯技术上的，其实电子支付是一个广义的范畴，是支付体系与认证体系的综合，它所带来的安全问题自然也需要从多个角度去观察认识。本人认为首先要做的是澄清这一认识，说电子支付系统的安全问题是因为技术上的不完善是没有错的，但技术上的原因只是单一角度认识的结果，要从根本上解决安全问题，就需要从系统的认识出发，需要增加的是对社会整体的控制(社会环境、立法等)、对规律、方法等深入的认识，以及个人的判断力。技术改进是整体运行的结果，只有这样才能减少单一技术的漏洞，从而在电子支付系统的建设上，真正摸索出一条适合中国国情的建设之路，而对它所带来的对社会各方面的冲击，因为从一开始即研究融入建设之中，所以可减少许多盲目，避免在面临问题时的不知所措。其次，安全体系是附属于电子支付体系的，之所以我们对于电子支付系统的建设慎之又慎、考虑再三，主要是信心不足，而存在的原因

2023-04-24

339人看过