企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)分析及對策建議

企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)分析及對策建議一、典型安全事件案例l.SonyPicture數(shù)據(jù)泄露事件：索尼從2011年4月17日至6月3日，先后遭遇數(shù)起不同黑客的攻擊，從其美國總部到全球的業(yè)務(wù)部門，數(shù)據(jù)泄漏受影響的用戶超過1億人，是迄今為止規(guī)模最大的用戶數(shù)據(jù)外泄案。6月2日，索尼稱已大大提高網(wǎng)絡(luò)安全性以保護(hù)用戶信息，并且全面恢復(fù)歐美和亞洲部分地區(qū)的PlayStation網(wǎng)絡(luò)。然而，就在當(dāng)天，黑客組織LulzSec宣布已經(jīng)通過SQL注入的方法獲得了索尼影視娛樂公司(SonyPictureEntertainmentCorporation)的賬戶數(shù)據(jù)庫，此次泄漏的數(shù)據(jù)多達(dá)100萬名賬戶的資料和密碼，還有75000個音樂獲取碼及350萬個音樂優(yōu)惠券。LulzSec還驚訝地發(fā)現(xiàn)，索尼竟然采用簡單的純文本方式保存用戶密碼，無任何加密。同時(shí)黑客還從荷蘭和比利時(shí)的索尼BMG攻進(jìn)了其他地方。2.GoogleGmail郵箱2011年6月初，谷歌宣布有人入侵了數(shù)百個Gmail用戶的個人賬戶。這些賬戶屬于具有一定知名度的重要人士，包括美國高級政府官員、中國政治運(yùn)動人士、韓國及其他亞洲國家的官員，以及軍隊(duì)相關(guān)人士和新聞記者。谷歌表示這次攻擊是通過釣魚手法盜用用戶郵箱密碼，并進(jìn)入和監(jiān)視其Gmail賬戶行動。在攻擊期間，受害者被迫打開那些熟人的郵件，使用社會工程技術(shù)和高度個人化內(nèi)容的郵件信息能夠引誘他們點(diǎn)擊所發(fā)的鏈接，從而引導(dǎo)他們進(jìn)入偽裝成Gmail登錄頁面的惡意站點(diǎn)，盜取受害者的郵箱登錄信息?；ㄆ煦y行2011年6月9日，花旗銀行的系統(tǒng)被黑，20萬多個銀行卡帳號被盜。這起事件在五月初被發(fā)現(xiàn)，但直至6月份才公開此事，花旗銀行表示，被盜信息包括用戶的名字、帳號密碼及其他諸如郵箱地址等聯(lián)系信息。然而，其他個人認(rèn)證信息，如用戶生日、社會安全號碼、卡截止日期及CW代碼并未被盜。CSDN等網(wǎng)站用戶信息泄漏2011年12月21日上午，CSDN網(wǎng)站部分用戶數(shù)據(jù)在網(wǎng)絡(luò)上被公開。此后陸續(xù)幾天，天涯、人人、當(dāng)當(dāng)、凡客、卓越、開心、多玩等多家網(wǎng)站，相繼被曝出密碼遭網(wǎng)上公開泄漏。日前網(wǎng)上公開暴露的網(wǎng)絡(luò)帳戶密碼已超1億個。二、企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)癱瘓網(wǎng)絡(luò)濫用病毒泛濫信息泄漏內(nèi)部安全?解決員網(wǎng)絡(luò)癱瘓網(wǎng)絡(luò)濫用病毒泛濫信息泄漏內(nèi)部安全?解決員r.IE法操作等問題?提|nj企業(yè)效率外部安全?解決黑客攻擊問題?降低安全風(fēng)險(xiǎn)針對企業(yè)數(shù)據(jù)安全方面所面臨的主要威脅是信息泄漏特別是數(shù)據(jù)庫泄密，企業(yè)數(shù)據(jù)特別是企業(yè)網(wǎng)站用戶數(shù)據(jù)，做為企業(yè)所有者的信息資產(chǎn)，涉及到網(wǎng)站及關(guān)聯(lián)信息系統(tǒng)的實(shí)質(zhì)業(yè)務(wù)，對其保密性的要求強(qiáng)度不言而喻。本報(bào)告將就Web應(yīng)用的數(shù)據(jù)庫的防泄密策略提出解決建議。三、數(shù)據(jù)庫為什么會成為目標(biāo)攻擊者為什么會冒著巨大的法律風(fēng)險(xiǎn)去獲取數(shù)據(jù)庫信息？2001年，隨著網(wǎng)絡(luò)游戲的興起，虛擬物品和虛擬貨幣的價(jià)值逐步被人們認(rèn)可，網(wǎng)絡(luò)上出現(xiàn)了多種途徑可以將虛擬財(cái)產(chǎn)轉(zhuǎn)化成現(xiàn)實(shí)貨幣，針對游戲帳號攻擊的逐步興起，并發(fā)展成龐大的虛擬資產(chǎn)交易市場。2004?2007年，相對于通過木馬傳播方式獲得的用戶數(shù)據(jù)，攻擊者采用入侵目標(biāo)信息系統(tǒng)獲得數(shù)據(jù)庫所獲得的信息其針對性與攻擊效率都有顯著提高。在巨額利益驅(qū)動下，網(wǎng)絡(luò)游戲服務(wù)端成為黑客“拖庫”的主要目標(biāo)。2008?2009年，國內(nèi)信息安全立法和追蹤手段得到完善，攻擊者針對中國境內(nèi)網(wǎng)絡(luò)游戲的攻擊日趨收斂。與此同時(shí)，殘余攻擊者的操作手法愈加精細(xì)和隱蔽，攻擊目標(biāo)也隨著電子交易系統(tǒng)的發(fā)展擴(kuò)散至的電子商務(wù)、彩票和境外賭博等主題網(wǎng)站，并通過黑色產(chǎn)業(yè)鏈將權(quán)限或數(shù)據(jù)轉(zhuǎn)換成為現(xiàn)實(shí)貨幣。招商加盟類網(wǎng)站也由于其本身數(shù)據(jù)的商業(yè)業(yè)務(wù)價(jià)值，成為攻擊者的“拖庫”的目標(biāo)。2010年，攻防雙方經(jīng)歷了多年的博弈，國內(nèi)網(wǎng)站安全運(yùn)維水平不斷提升，信息安全防御產(chǎn)品的成熟度加強(qiáng)，單純從技術(shù)角度對目標(biāo)系統(tǒng)進(jìn)行滲透攻擊的難度加大，而通過收集分析管理員、用戶信息等一系列被稱做“社會工程學(xué)”的手段的攻擊效果被廣大攻擊者認(rèn)可。獲得更多的用戶信息數(shù)據(jù)有利于提高攻擊的實(shí)際效率，攻擊者將目標(biāo)指向了擁有大量注冊用戶真實(shí)詳細(xì)信息的社區(qū)及社交網(wǎng)站，并在地下建立起“人肉搜索庫”，預(yù)期實(shí)現(xiàn)：獲知某用戶常用ID或Email，可以直接搜索出其常用密碼或常用密碼密文。四、數(shù)據(jù)庫是如何被獲取的攻防回合的延續(xù)使入侵網(wǎng)游服務(wù)端主機(jī)系統(tǒng)難度加大，而Web應(yīng)用的登錄入口表明了Web應(yīng)用程序與用戶數(shù)據(jù)表之間存在關(guān)聯(lián)，通過入侵Web網(wǎng)站獲得數(shù)據(jù)庫信息成為針對網(wǎng)站數(shù)據(jù)庫攻擊的主要入手點(diǎn)，常見的攻擊步驟如下：尋找目標(biāo)網(wǎng)站（或同臺服務(wù)器的其他網(wǎng)站）程序中存在的SQL注入、非法上傳或者后臺管理權(quán)限等漏洞；通過上述漏洞添加一個以網(wǎng)頁腳本方式控制網(wǎng)站服務(wù)器的后門，即：WebShell；通過已獲得的WebShell提升權(quán)限，獲得對Web應(yīng)用服務(wù)器主機(jī)操作系統(tǒng)的控制權(quán)，并通過查看網(wǎng)站數(shù)據(jù)庫鏈接文件，或得數(shù)據(jù)庫的鏈接密碼；通過在Web應(yīng)用服務(wù)器上鏡像數(shù)據(jù)庫連接，將目標(biāo)數(shù)據(jù)庫中所需要的信息導(dǎo)入至攻擊者本地?cái)?shù)據(jù)庫（或直接下載服務(wù)器上可能存在的數(shù)據(jù)庫備份文件）；清理服務(wù)器日志，設(shè)置長期后門。目前攻擊者以團(tuán)隊(duì)為單位，無論從工具的制造、攻擊實(shí)施的具體手法都已經(jīng)形成了體系化的作業(yè)流程。從全國網(wǎng)站安全大檢查數(shù)據(jù)分析中，可以知道全國70%的網(wǎng)站存在安全問題，這些網(wǎng)站也將均有可能成為下一個數(shù)據(jù)信息泄露的潛在安全隱患群體。五、對策建議技術(shù)方面，根據(jù)具體信息系統(tǒng)的實(shí)際情況適當(dāng)采用對應(yīng)的安全工具或設(shè)備，如Web應(yīng)用弱點(diǎn)掃描器、數(shù)據(jù)庫弱點(diǎn)掃描器、Web應(yīng)用防火墻、數(shù)據(jù)庫審計(jì)系統(tǒng)等；并通過人工手段，對系統(tǒng)進(jìn)行多種方式的脆弱性評估和加固工作，如：滲透測試、代碼審計(jì)等。管理方面，加強(qiáng)對Web應(yīng)用和數(shù)據(jù)庫對應(yīng)的組織人員、開發(fā)規(guī)范、運(yùn)維策略和安全培訓(xùn)等的建設(shè)，在單業(yè)務(wù)系統(tǒng)的范圍內(nèi)，達(dá)到體系完善。如對數(shù)據(jù)庫用戶權(quán)限和備份文件加強(qiáng)管理。制定符合企業(yè)長遠(yuǎn)發(fā)展的安全策略，面對不法分子日益狷獗的復(fù)合攻擊，從縱深防御的角度來看，不能試圖通過單點(diǎn)產(chǎn)品的簡單堆砌來加以應(yīng)對，而更應(yīng)該考慮產(chǎn)品之間的協(xié)調(diào)工