行业动态
账户密码保护秘笈 解析数据库威胁保护
发布者:admin 日期:2013-5-2 点击次:1515
近两年,拖库表象频发,黑客盗取数据库的技能在不断晋升。尽管数据库的防护才能也在晋升,但比较黑客的手法来说,单纯的数据库防护仍是爱莫能助。数据库审计现已不是一种新式的技能手法,可是却在数据库安全事情频发的今日给咱们以新的启示。数据库遭到的要挟大致有这么几种:
一、内部人员过错
数据库安全的一个潜在危险即是“非故意的授权用户进犯”和内部人员过错。这种安全事情类型的最常见体现包含:因为不小心而形成意外删去或走漏,非故意的躲避安全策略。在授权用户无意拜访灵敏数据并过错地修正或删去信息时,就会发作第一种危险。在用户为了备份或“将作业带回家”而作了非授权的备份时,就会发作第二种危险。尽管这并不是一种歹意行动,但很明显,它违反了公司的安全策略,并会形成数据存放到存储设备上,在该设备遭到歹意进犯时,就会致使非故意的安全事情。例如,笔记本电脑就能形成这种危险。
二、交际工程
因为进犯者运用的高档垂钓技能,在合法用户不知不觉地将安全秘要供给给进犯者时,就会发作许多的严峻进犯。这些新式进犯的成功,意味着此趋势在
2012年持续。在这种情况下,用户会经过一个遭到危害的网站或经过一个电子邮件呼应将信息供给给看似合法的恳求。应当告诉雇员这种不合法的恳求,并教学他们不要做出呼应。此外,公司还可以经过适时地检测可疑活动,来减轻成功的垂钓进犯的影响。数据库活动监督和审计可以使这种进犯的影响最小化。
三、内部人员进犯
许大都据库进犯源自公司内部。当时的经济环境和有关的裁人办法都有可以致使雇员的不满,然后致使内部人员进犯的添加。这些内部人员遭到贪欲或报复欲的唆使,且不受防火墙及侵略防护体系等的影响,简略给公司带来危险。
四、过错装备
黑客可以运用数据库的过错装备操控“肉机”拜访点,借以绕过认证办法并拜访灵敏信息。这种装备缺点成为进犯者凭借特权晋升发起某些进犯的首要手法。若是没有正确的从头设置数据库的默许装备,非特权用户就有可以拜访未加密的文件,未打补丁的缝隙就有可以致使非授权用户拜访灵敏数据。
五、未打补丁的缝隙
如今进犯现已从揭露的缝隙运用发展到更精密的办法,并勇于应战传统的侵略检测机制。缝隙运用的脚本在数据库补丁发布的几小时内就可以被发到网上。当即就可以运用的缝隙运用代码,再加上几十天的补丁周期(在大都公司中如此),实质上简直把数据库的大门彻底打开了。
六、高档持续性要挟
之所以称其为高档持续性要挟,是因为施行这种要挟的是有组织的专业公司或政府机构,它们把握了要挟数据库安全的许多技能和窍门,并且是“咬定青山不放松”“立根原在"金钱(有资金撑持)"中”,“千磨万击还坚劲,任尔东西南北风”。这是一种正甚嚣尘上的危险:热衷于盗取数据的公司乃至外国政府专门盗取存储在数据库中的许多要害数据,不再满意于取得一些简略的数据。特别是一些自己的私密及金融信息,一旦失窃,这些数据记载就可以在信息黑市上出售或运用,并被其它政府机构操作。鉴于数据库进犯涉及到不计其数乃至上百万的记载,所以其日益增长和遍及。经过确定数据库缝隙并亲近监督对要害数据存储的拜访,数据库的教授们可以及时发现并阻碍这些进犯。
数据库审计不光可以在发作数据走漏和损坏之前,起到必定的防护效果,更重要的是数据库审计可以具体的记载数据库拜访的历史记载,可以实在的复原数据走漏的进程,再现事情当事人的行动细节,为日后法律职责清查树立有用的依据,避免事态扩大化。一般来讲,数据库审计可以起到如下的效果:
满意合规性要求,顺畅经过IT审计
当前,越来越多的单位面对一种或许几种合规性要求。比方,在美上市的中国移动集团公司及其部属分子公司就面对SOX法案的合规性要求;而商业银行则面对Basel协议的合规性要求;政府的行政事业单位或许国有公司则要遵从等级保护的合规性要求。
有用削减中心信息财物的损坏和走漏
对单位的事务体系来说,真实重要的中心信息财物往往存放在少量几个要害体系和要害服务器上,可以加强对这些要害体系的拜访操控与审计,然后有用地削减中心信息财物的损坏和走漏。
有用操控运维操作危险,便于过后清查缘由与界定职责
一个单位里担任运维的部分一般具有方针体系或许网络设备的最高权限,因此也承担着很高的危险(误操作或许是单个人员的歹意损坏)。根据人物的拜访操控与审计,有用地操控运维操作危险,还可以有用地区别不一样保护人员的身份,便于过后清查缘由与界定职责。
有用操控事务运转危险,直观把握事务体系运转的安全情况
事务体系的正常运转需求一个安全、安稳的网络环境。供给审计事情及会话的统计分析功用,可以直观地反映网络环境的安全情况。
完成独立审计与三权分立,完善IT内控机制
从内控的视点来看,IT体系的运用权、管理权与监督权有必要三权分立。完成独立的审计与三权分立,在三权分立的基础上施行内控与审计,有用地操控操作危险(包含事务操作危险与运维操作危险),完善IT内控机制。
一、内部人员过错
数据库安全的一个潜在危险即是“非故意的授权用户进犯”和内部人员过错。这种安全事情类型的最常见体现包含:因为不小心而形成意外删去或走漏,非故意的躲避安全策略。在授权用户无意拜访灵敏数据并过错地修正或删去信息时,就会发作第一种危险。在用户为了备份或“将作业带回家”而作了非授权的备份时,就会发作第二种危险。尽管这并不是一种歹意行动,但很明显,它违反了公司的安全策略,并会形成数据存放到存储设备上,在该设备遭到歹意进犯时,就会致使非故意的安全事情。例如,笔记本电脑就能形成这种危险。
二、交际工程
因为进犯者运用的高档垂钓技能,在合法用户不知不觉地将安全秘要供给给进犯者时,就会发作许多的严峻进犯。这些新式进犯的成功,意味着此趋势在
2012年持续。在这种情况下,用户会经过一个遭到危害的网站或经过一个电子邮件呼应将信息供给给看似合法的恳求。应当告诉雇员这种不合法的恳求,并教学他们不要做出呼应。此外,公司还可以经过适时地检测可疑活动,来减轻成功的垂钓进犯的影响。数据库活动监督和审计可以使这种进犯的影响最小化。
三、内部人员进犯
许大都据库进犯源自公司内部。当时的经济环境和有关的裁人办法都有可以致使雇员的不满,然后致使内部人员进犯的添加。这些内部人员遭到贪欲或报复欲的唆使,且不受防火墙及侵略防护体系等的影响,简略给公司带来危险。
四、过错装备
黑客可以运用数据库的过错装备操控“肉机”拜访点,借以绕过认证办法并拜访灵敏信息。这种装备缺点成为进犯者凭借特权晋升发起某些进犯的首要手法。若是没有正确的从头设置数据库的默许装备,非特权用户就有可以拜访未加密的文件,未打补丁的缝隙就有可以致使非授权用户拜访灵敏数据。
五、未打补丁的缝隙
如今进犯现已从揭露的缝隙运用发展到更精密的办法,并勇于应战传统的侵略检测机制。缝隙运用的脚本在数据库补丁发布的几小时内就可以被发到网上。当即就可以运用的缝隙运用代码,再加上几十天的补丁周期(在大都公司中如此),实质上简直把数据库的大门彻底打开了。
六、高档持续性要挟
之所以称其为高档持续性要挟,是因为施行这种要挟的是有组织的专业公司或政府机构,它们把握了要挟数据库安全的许多技能和窍门,并且是“咬定青山不放松”“立根原在"金钱(有资金撑持)"中”,“千磨万击还坚劲,任尔东西南北风”。这是一种正甚嚣尘上的危险:热衷于盗取数据的公司乃至外国政府专门盗取存储在数据库中的许多要害数据,不再满意于取得一些简略的数据。特别是一些自己的私密及金融信息,一旦失窃,这些数据记载就可以在信息黑市上出售或运用,并被其它政府机构操作。鉴于数据库进犯涉及到不计其数乃至上百万的记载,所以其日益增长和遍及。经过确定数据库缝隙并亲近监督对要害数据存储的拜访,数据库的教授们可以及时发现并阻碍这些进犯。
数据库审计不光可以在发作数据走漏和损坏之前,起到必定的防护效果,更重要的是数据库审计可以具体的记载数据库拜访的历史记载,可以实在的复原数据走漏的进程,再现事情当事人的行动细节,为日后法律职责清查树立有用的依据,避免事态扩大化。一般来讲,数据库审计可以起到如下的效果:
满意合规性要求,顺畅经过IT审计
当前,越来越多的单位面对一种或许几种合规性要求。比方,在美上市的中国移动集团公司及其部属分子公司就面对SOX法案的合规性要求;而商业银行则面对Basel协议的合规性要求;政府的行政事业单位或许国有公司则要遵从等级保护的合规性要求。
有用削减中心信息财物的损坏和走漏
对单位的事务体系来说,真实重要的中心信息财物往往存放在少量几个要害体系和要害服务器上,可以加强对这些要害体系的拜访操控与审计,然后有用地削减中心信息财物的损坏和走漏。
有用操控运维操作危险,便于过后清查缘由与界定职责
一个单位里担任运维的部分一般具有方针体系或许网络设备的最高权限,因此也承担着很高的危险(误操作或许是单个人员的歹意损坏)。根据人物的拜访操控与审计,有用地操控运维操作危险,还可以有用地区别不一样保护人员的身份,便于过后清查缘由与界定职责。
有用操控事务运转危险,直观把握事务体系运转的安全情况
事务体系的正常运转需求一个安全、安稳的网络环境。供给审计事情及会话的统计分析功用,可以直观地反映网络环境的安全情况。
完成独立审计与三权分立,完善IT内控机制
从内控的视点来看,IT体系的运用权、管理权与监督权有必要三权分立。完成独立的审计与三权分立,在三权分立的基础上施行内控与审计,有用地操控操作危险(包含事务操作危险与运维操作危险),完善IT内控机制。
京ICP备09010596号-1;版权所有:北京万任科技有限责任公司; 全国客服专线:010-84715358;
传真:010-84715358;地址:北京市海淀区北三环西路32号恒润国际大厦17层;(IE8以上)
