12
返回列表 发新帖
楼主: 王楠w_n

【大话IT】盘点数据泄露那些事儿,如何做好安全防御?

[复制链接]
论坛徽章:
27
狮子座
日期:2015-11-13 11:39:31海蓝宝石
日期:2017-04-06 13:47:50祖母绿
日期:2017-04-06 13:48:00萤石
日期:2017-04-06 13:48:10蓝锆石
日期:2017-04-06 13:48:19秀才
日期:2017-04-06 18:09:28秀才
日期:2017-05-09 11:37:55秀才
日期:2017-07-11 13:54:02秀才
日期:2017-07-11 14:19:35秀才
日期:2017-08-18 11:04:35
发表于 2017-3-7 11:51 | 显示全部楼层
1.请举例说出两个你见过的数据入侵方式?最常见的数据入侵方式有哪些?比如黑客暴力破解安全性不佳的MySQL服务器,SQL注入、不安全的MongoDB数据库被劫持。

听说的最多应该是黑客暴力破解,或是病毒木马植入来入侵数据。

了解到的六大数据库攻击方式:

1.强力(或非强力)破解弱口令或默认的用户名及口令

2.特权提升

3.利用未用的和不需要的数据库服务和和功能中的漏洞

4.针对未打补丁的数据库漏洞

5.SQL注入

6.窃取备份(未加密)的磁带

2.面对巨大的数据泄露隐患,企业如何做好安全防御工作?(请结合具体业务举例说明)

数据库在许多企业中并没有得到恰当的安全保护,恶意的黑客正利用非常简单的攻击方法进入数据库,如利用弱口令和不严谨的配置,及利用未打补丁的已知漏洞等。

信息系统在提高人们工作效率的同时,也对信息的存储、访问控制及信息系统中的计算机终端及服务器的访问控制提出了安全需求。目前对内外安全的解决方案,还停留在防火墙、入侵检测、网络防病毒等被动防护手段上。

这是来自于国家计算机信息安全测评中心的一个数据,据调查显示,互联网接入单位由于内部重要机密通过网络泄密而造成重大损失的事件中,只有1%是被黑客窃取造成的,而97%都是由于内部员工有意或者无意之间泄露而造成的

所以一般公司的话通过安装防火墙、杀毒软件等方法来阻挡外部的入侵,同时防止信息从内部泄露。

应对数据泄露现象而生的产物:数据防护系统,进行各种全方位的防护,这也是安全性较高的方法吧,不过费用应该也很高。

















===============================================
从网上了解到的个人观点

使用道具 举报

回复
认证徽章
论坛徽章:
220
状元
日期:2015-08-13 09:42:33榜眼
日期:2015-08-03 13:57:54探花
日期:2015-07-31 13:44:02举人
日期:2015-07-01 15:00:51秀才
日期:2015-07-27 09:45:52进士
日期:2015-07-27 11:26:492015年中国系统架构师大会纪念徽章
日期:2015-07-23 09:58:092014系统架构师大会纪念章
日期:2015-07-23 09:58:092013系统架构师大会纪念章
日期:2015-07-23 09:58:092012系统架构师大会纪念章
日期:2015-07-23 09:58:09
发表于 2017-3-7 21:18 | 显示全部楼层
1.请举例说出两个你见过的数据入侵方式?最常见的数据入侵方式有哪些?比如黑客暴力破解安全性不佳的MySQL服务器,SQL注入、不安全的MongoDB数据库被劫持。
SQL注入,在后IT时代的不管是框架还是程序代码中,都已经做好了防范,特别是使用ORM框架后。但在早期时候SQL注入还是比较普遍的。另一种就是公司内部数据泄密了。
2.面对巨大的数据泄露隐患,企业如何做好安全防御工作?(请结合具体业务举例说明)
企业巨大的数据就是企业的财富,安全防御工作十分重要。不管是使用防火墙还是使用防毒墙,其实都无法杜绝内部信息泄密。所以更重要的要做好内部保密工作。

使用道具 举报

回复
认证徽章
论坛徽章:
2109
亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18亚特兰大老鹰
日期:2015-01-05 11:33:18
发表于 2017-3-8 10:48 | 显示全部楼层

使用道具 举报

回复
论坛徽章:
19
秀才
日期:2015-12-14 15:02:13秀才
日期:2017-05-09 11:37:55秀才
日期:2017-04-06 18:09:28秀才
日期:2017-03-28 15:59:38秀才
日期:2017-03-28 15:11:09秀才
日期:2017-03-27 17:42:03秀才
日期:2017-03-20 13:42:20秀才
日期:2017-03-01 13:53:39秀才
日期:2017-02-22 15:18:00秀才
日期:2017-02-22 15:16:26
发表于 2017-3-8 11:19 | 显示全部楼层
管理上要做好安全工作

使用道具 举报

回复
求职 : ERP实施
论坛徽章:
22
2013年新春福章
日期:2013-02-25 14:51:24秀才
日期:2017-02-22 15:18:00秀才
日期:2017-03-20 13:42:20秀才
日期:2017-03-28 15:59:38秀才
日期:2017-05-09 11:37:55秀才
日期:2017-08-18 11:02:47秀才
日期:2018-04-08 14:48:31秀才
日期:2018-06-21 10:08:00ITPUB18周年纪念章
日期:2018-09-17 10:09:49ITPUB18周年纪念章
日期:2018-09-17 10:12:57
发表于 2017-3-8 16:54 | 显示全部楼层
1.请举例说出两个你见过的数据泄漏方式?
内部员工泄漏,这个最有名的就是斯诺登了。其他的黑客破解之类的就很多,但是没这么有名。
2.企业如何做好安全防御工作?
只有千日做贼的,没有千日防贼的。
一个是做好网络安全,避免被暴力破解。
一个是补好漏洞。
最后是对数据加密处理。可能会影响运行的速度,但是在现在硬件性能过剩的时代,问题也不那么大了。

使用道具 举报

回复
认证徽章
论坛徽章:
241
至尊黑钻
日期:2015-09-25 14:27:26粉钻
日期:2015-10-16 10:53:36紫钻
日期:2015-10-16 10:53:21红钻
日期:2015-09-25 15:05:50黄钻
日期:2015-10-17 12:23:40绿钻
日期:2015-10-24 10:29:30至尊黑钻
日期:2015-08-14 13:24:07粉钻
日期:2015-10-24 10:30:07紫钻
日期:2015-11-03 22:32:09红钻
日期:2015-11-06 17:21:40
发表于 2017-3-10 16:24 | 显示全部楼层
人在江湖飘 哪能不挨刀

使用道具 举报

回复
论坛徽章:
57
ITPUB15周年纪念
日期:2016-10-13 13:15:342017金鸡报晓
日期:2017-01-10 15:39:052017金鸡报晓
日期:2017-02-08 14:09:13秀才
日期:2017-02-22 15:14:12秀才
日期:2017-02-22 15:16:26秀才
日期:2017-02-22 15:18:00秀才
日期:2017-05-09 11:37:55秀才
日期:2017-07-11 14:19:35ITPUB18周年纪念章
日期:2018-11-13 15:31:24
发表于 2017-3-15 17:06 | 显示全部楼层
攻击手段:
  攻击的方法多种多样,总体归为几个步骤:侦察——扫描——获取访问——持续访问——维持访问——掩盖踪迹。
举例来说,采用多种攻击方法对网络信息系统进行攻击,通过MAC地址欺骗取得了与内部网络的连接,通过口令破解,以远程方式登录内部服务器,通过缓冲区溢出漏洞闯进了操作系统并拥有最高权限,通过三种途径,包括web应用的文件上传漏洞、SQL注入攻击和绕过合法应用的方法,批量导出数据库中大量的敏感信息。
数据库攻击手段有以下几类:
  1、口令攻击也是攻击者为闯入系统而发动的常见攻击之一,常见的口令攻击方法包括字典攻击、暴力攻击或混合攻击。数据库也有可能被口令攻击,比如:撞库指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,批量尝试登陆其他网站。
  2、现在B/S架构应用系统的广泛流行和普及成为攻击者的重要目标,常见的攻击方法如SQL注入等,通过把SQL命令插入到web表单、页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,获得对应用程序后端数据库的非法访问。
  3、嗅探、IP地址欺骗和会话劫持等是网络攻击的常见手段。就是攻击者伪造他所发送的信息的源IP地址,冒充其他信息发送方,欺骗信息的接收方。会话劫持就是综合运用嗅探和IP地址欺骗手段,把合法用户已经建立的合法会话据为己有,从而获取对系统的访问。
  4、对于Oracle数据库来说,随着数据库入侵手段的发展,对数据库的攻击已经不仅仅是针对数据库本身,而是扩展到数据库的各种组件,TNS会话劫持就是其中的一种,简单说如果TNS有可利用漏洞则可能直接对Oracle造成入侵。
数据库安全策略:
   制定一个成功的数据库安全策略的关键在于要了解为什么要保护数据库,保护哪个数据库,以及如何最好的保护数据以应对所有类型的威胁。可按照以下三点来建立完整的数据库安全策略:
  一、建立一个集身份验证、授权、访问控制、发现、分类,以及补丁管理于一体的坚实基础。
  二、使用具有数据屏蔽、加密和变更管理等功能的预防措施
  使用网络加密以防止数据暴露给在监听网络流量或数据静止加密的窥视者(他们关注存储在数据库中的数据)。当数据针对不同的威胁,这些加密方法可以实现相互独立。通常情况下,也不会对应用程序的功能有影响。
  三、建立具有审计、监测和漏洞评估功能的数据库入侵检测系统
  当重要数据发生意外变化或者检测到可疑数据时,有必要进行一个快速的调查来查看发生了什么事情。
  四、注重安全政策、安全标准、角色分离和可用性

使用道具 举报

回复
认证徽章
论坛徽章:
82
2013系统架构师大会纪念章
日期:2015-07-31 17:48:20探花
日期:2015-08-17 14:58:32榜眼
日期:2015-08-17 14:59:28进士
日期:2015-08-17 15:00:55举人
日期:2015-08-17 15:00:55秀才
日期:2015-08-19 09:36:37秀才
日期:2015-08-20 08:50:41嫦娥
日期:2015-08-21 09:11:54秀才
日期:2015-08-24 09:48:07进士
日期:2015-08-17 14:58:18
发表于 2017-3-31 17:59 | 显示全部楼层
个人的一点浅见:

1.请举例说出两个你见过的数据入侵方式?最常见的数据入侵方式有哪些?比如黑客暴力破解安全性不佳的MySQL服务器,SQL注入、不安全的MongoDB数据库被劫持。
撞库,sql注入应该是比较常见而且最近几年就发生过相应案例的方式。另外其实还有内网私自搭建了不够安全的对外代理,导致被破解后通过内网机器,进而拖库操作

2.面对巨大的数据泄露隐患,企业如何做好安全防御工作?(请结合具体业务举例说明)
分几个方面吧。
最底层数据库层面,权限肯定要加到最强,最好仅限内网访问,而且隐私等涉密字段一定要加密保存,避免因为明文存储和传输,一旦被拖库后后果不堪设想;另外对不同字段也要进行不同级别的授权,

服务层,db访问层面就是注重防止sql注入,另外底层数据也可以进行服务化,应用层通过数据服务来进行访问,而不是直接进行DB操作;这样应该也可以避免各种sql注入和破解尝试

使用道具 举报

回复
论坛徽章:
151
授权会员
日期:2005-11-16 17:49:25世界杯纪念徽章
日期:2006-07-20 13:19:20ITPUB新首页上线纪念徽章
日期:2007-10-20 08:38:44生肖徽章2007版:龙
日期:2008-11-25 11:15:28生肖徽章2007版:羊
日期:2009-06-02 18:18:38生肖徽章2007版:鼠
日期:2009-06-17 22:01:192010新春纪念徽章
日期:2010-03-01 11:04:582010年世界杯参赛球队:科特迪瓦
日期:2010-06-11 19:25:562010广州亚运会纪念徽章:网球
日期:2010-12-31 16:37:522010广州亚运会纪念徽章:藤球
日期:2011-01-02 15:47:20
发表于 2017-4-6 11:36 | 显示全部楼层
1.请举例说出两个你见过的数据入侵方式?最常见的数据入侵方式有哪些?
一般来讲就两种,
一种是帐号管理措施不力,被人拿到真实的帐号和密码,以合法身份获得数据造成泄露。不管是数据库帐号还是业务和有权限的系统管理帐号,都可能发生。
第二种就是系统有BUG,SQL注入的情形已远不如早几年那么常见了,但操作系统和数据库不打补丁被人利用已知的漏洞造成数据被盗时有发生,尤其是开源的几种。

2.面对巨大的数据泄露隐患,企业如何做好安全防御工作?
还是老话,按照信息保障体系建设的要求来,该采取技术措施的,就采取技术手段,比如敏感数据的加密,通讯加密,多因子身份认证等等, 该完善管理制度和流程的; 该加强标准规范的执行的,就要执行到位,对内部敏感人员管理一定要到位,要定期评估和检查,比如安全教育+用人审核、离岗审核等等。

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

TOP技术积分榜 社区积分榜 徽章 团队 统计 知识索引树 积分竞拍 文本模式 帮助
  ITPUB首页 | ITPUB论坛 | 数据库技术 | 企业信息化 | 开发技术 | 微软技术 | 软件工程与项目管理 | IBM技术园地 | 行业纵向讨论 | IT招聘 | IT文档
  ChinaUnix | ChinaUnix博客 | ChinaUnix论坛
CopyRight 1999-2011 itpub.net All Right Reserved. 北京盛拓优讯信息技术有限公司版权所有 联系我们 
京ICP备09055130号-4  北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证:编号(京)字第1149号
  
快速回复 返回顶部 返回列表