企业数据安全风险分析及对策建议.docxVIP

企业数据安全风险分析及对策建议 企业数据安全风险分析及对策建议 企业数据安全风险分析及对策建议 一、 典型安全事件案例 1.Sony Picture数据泄露事件： 索尼从2021年4月17日至6月3日，先后遭遇数起不同黑客的攻击，从其美国总部到全球的业务部门，数据泄漏受影响的用户超过1亿人，是迄今为止规模最大的用户数据外泄案。 6月2日，索尼称已大大提高网络安全性以保护用户信息，并且全面恢复欧美和亚洲部分地区的PlayStation网络。然而，就在当天，黑客组织LulzSec宣布已经通过SQL注入的方法获得了索尼影视娱乐公司(Sony Picture Entertainment Corporation)的账户数据库，此次泄漏的数据多达100万名账户的资料和密码，还有75000个音乐获取码及350万个音乐优惠券。LulzSec还惊讶地发现，索尼竟然采用简单的纯文本方式保存用户密码，无任何加密。同时黑客还从荷兰和比利时的索尼BMG攻进了其他地方。 2.Google Gmail邮箱 2021年6月初，谷歌宣布有人入侵了数百个Gmail用户的个人账户。这些账户属于具有一定知名度的重要人士，包括美国高级政府官员、中国政治运动人士、韩国及其他亚洲国家的官员，以及军队相关人士和新闻记者。谷歌表示这次攻击是通过钓鱼手法盗用用户邮箱密码，并进入和监视其Gmail账户行动。在攻击期间，受害者被迫打开那些熟人的邮件，使用社会工程技术和高度个人化内容的邮件信息能够引诱他们点击所发的链接，从而引导他们进入伪装成Gmail登录页 面的恶意站点，盗取受害者的邮箱登录信息。 3. 花旗银行 2021年6月9日，花旗银行的系统被黑，20万多个银行卡帐号被盗。这起事件在五月初被发现，但直至6月份才公开此事，花旗银行表示，被盗信息包括用户的名字、帐号密码及其他诸如邮箱地址等联系信息。然而，其他个人认证信息，如用户生日、社会安全号码、卡截止日期及CW代码并未被盗。 4.CSDN等网站用户信息泄漏 2021年12月21日上午，CSDN网站部分用户数据在网络上被公开。此后陆续几天，天涯、人人、当当、凡客、卓越、开心、多玩等多家网站，相继被曝出密码遭网上公开泄漏。目前网上公开暴露的网络帐户密码已超1亿个。 二、 企业网络安全风险分析 针对企业数据安全方面所面临的主要威胁是信息泄漏特别是数据库泄密，企业数据特别是企业网站用户数据，做为企业所有者的信息资产，涉及到网站及关联信息系统的实质业务，对其保密性的要求强度不言而喻。本报告将就Web应用的数据库的防泄密策略提出解决建议。 三、 数据库为什么会成为目标 攻击者为什么会冒着巨大的法律风险去获取数据库信息？ 2001年，随着网络游戏的兴起，虚拟物品和虚拟货币的价值逐步被人们认可，网络上出现了多种途径可以将虚拟财产转化成现实货币，针对游戏帐号攻击的逐步兴起，并发展成庞大的虚拟资产交易市场。 2021～2021年，相对于通过木马传播方式获得的用户数据，攻击者采用入侵目标信息系统获得数据库所获得的信息其针对性与攻击效率都有显著提高。在巨额利益驱动下，网络游戏服务端成为黑客“拖库”的主要目标。 2021～2021年，国内信息安全立法和追踪手段得到完善，攻击者针对中国境内网络游戏的攻击日趋收敛。与此同时，残余攻击者的操作手法愈加精细和隐蔽，攻击目标也随着电子交易系统的发展扩散至的电子商务、彩票和境外赌博等主题网站，并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业业务价值，成为攻击者的“拖库”的目标。 2021年，攻防双方经历了多年的博弈，国内网站安全运维水平不 断提升，信息安全防御产品的成熟度加强，单纯从技术角度对目标系统进行渗透攻击的难度加大，而通过收集分析管理员、用户信息等一系列被称做“社会工程学”的手段的攻击效果被广大攻击者认可。获得更多的用户信息数据有利于提高攻击的实际效率，攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站，并在地下建立起“人肉搜索库”，预期实现：获知某用户常用ID或Email，可以直接搜索出其常用密码或常用密码密文。 四、 数据库是如何被获取的 攻防回合的延续使入侵网游服务端主机系统难度加大，而Web应用的登录入口表明了Web应用程序与用户数据表之间存在关联，通过入侵Web网站获得数据库信息成为针对网站数据库攻击的主要入手点，常见的攻击步骤如下： 1.寻找目标网站（或同台服务器的其他网站）程序中存在的SQL注入、非法上传或者后台管理权限等漏洞； 2.通过上述漏