欢迎来到天天文库
浏览记录
ID:44033339
大小:82.00 KB
页数:5页
时间:2019-10-18
《企业数据安全风险分析及对策建议》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、企业数据安全风险分析及对策建议一、典型安全事件案例l.SonyPicture数据泄露事件:索尼从2011年4川17日至6川3先后遭遇数起不同黑客的攻击,从其美国总部到全球的业务部门,数据泄漏受影响的用户超过1亿人,是迄今为止规模最大的用户数据外泄案。6月2口,索尼称已大大提高网络安全性以保护用户信息,并且全面恢复欧美和亚洲部分地区的PlayStation网络。然而,就在当天,黑客组织LulzSec宣布已经通过SQL注入的方法获得了索尼影视娱乐公司(SonyPictureEntertainmentCorporation)的账户数据库,此次泄漏的数据多达100万
2、名账户的资料和密码,还有75000个咅乐获取码及350万个音乐优惠券。LulzSec还惊讶地发现,索尼竟然采用简单的纯文本方式保存用户密码,无任何加密。同时黑客还从荷兰和比利时的索尼BMG攻进了其他地方。2.GoogleGmail邮箱2011年6月初,谷歌宣布有人入侵了数百个Gmail用户的个人账户。这些账户属于具有一定知名度的重要人士,包括美国高级政府官员、中国政治运动人士、韩国及其他亚洲国家的官员,以及军队相关人士和新闻记者。谷歌表示这次攻击是通过钓鱼手法盗用用户邮箱密码,并进入和监视其Gmail账户行动。在攻击期间,受害者被迫打开那些熟人的邮件,使用社
3、会工程技术和高度个人化内容的邮件信息能够引诱他们点击所发的链接,从而引导他们进入伪装成Gmail登录贝面的恶意站点,盗取受害者的邮箱登录信息。2.花旗银行2011年6月9日,花旗银行的系统被黑,20万多个银行卡帐号被盗。这起事件在五刀初被发现,但直至6月份才公开此事,花旗银行表示,被盗信息包括用户的名字、帐号密码及其他诸如邮箱地址等联系信息。然而,其他个人认证信息,如用户生日、社会安全号码、卡截止口期及CW代码并未被盗。3.CSDN等网站用户信息泄漏2011年12刀21H上午,CSDN网站部分用户数据在网络上被公开。此后陆续几天,天涯、人人、当当、凡客、卓越
4、、开心、多玩等多家网站,相继被曝出密码遭网上公开泄漏。冃前网上公开暴露的网络帐户密码已超1亿个。二、企业网络安全风险分析内部安全•解决吹III讹操作针对企业数据安全方面所面临的主要威胁是信息泄漏特别是数据库泄密,企业数据特别是企业网站用户数据,做为企业所有者的信息资产,涉及到网站及关联信息系统的实质业务,对其保密性的要求强度不言而喻。本报告将就Web应用的数据库的防泄密策略提出解决建议。三、数据库为什么会成为目标攻击者为什么会冒着巨大的法律风险去获取数据库信息?2001年,随着网络游戏的兴起,虚拟物品和虚拟货币的价值逐步被人们认可,网络上出现了多种途径可以将
5、虚拟财产转化成现实货币,针对游戏帐号攻击的逐步兴起,并发展成庞人的虚拟资产交易市场。2004-2007年,相对于通过木马传播方式获得的用户数据,攻击者采用入侵目标信息系统获得数据库所获得的信息其针对性与攻击效率都有显著提高。在巨额利益驱动下,网络游戏服务端成为黑客“拖库”的主要目标。2008-2009年,国内信息安全立法和追踪手段得到完善,攻击者针对屮国境内网络游戏的攻击口趋收敛。与此同时,残余攻击者的操作手法愈加精细和隐蔽,攻击目标也随着电子交易系统的发展扩散至的电子商务、彩票和境外赌博等主题网站,并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网
6、站也由于戏本身数据的商业业务价值,成为攻击者的“拖库”的冃标。2010年,攻防双方经历了多年的博弈,国内网站安全运维水平不断提升,信息安全防御产品的成熟度加强,单纯从技术角度对目标系统进行渗透攻击的难度加大,而通过收集分析管理员、用户信息等一系列被称做“社会工程学”的手段的攻击效果被广大攻击者认可。获得史多的用户信息数据有利于提高攻击的实际效率,攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站,并在地下建立起“人肉搜索库”,预期实现:获知某用户常用ID或Email,可以直接搜索出其常用密码或常用密码密文。四、数据库是如何被获取的攻防回合的延续使
7、入侵网游服务端主机系统难度加大,而Web应用的登录入口表明了Web应用程序与用户数据表之间存在关联,通过入侵Web网站获得数据库信息成为针对网站数据库攻击的主要入手点,常见的攻击步骤如下:1・寻找目标网站(或同台服务器的其他网站)程序中存在的SQL注入、非法上传或者后台管理权限等漏洞;2•通过上述漏洞添加一个以网页脚本方式控制网站服务器的后门,即:WebShell;3.通过已获得的WebShell提升权限,获得对Web应用服务器主机操作系统的控制权,并通过查看网站数据库链接文件,或得数据库的链接密码;4.通过在Web应用服务器上镜像数据库连接,将B标数据库中
8、所需要的信息导入至攻击者本地数据库(或直接下载服务器
此文档下载收益归作者所有