移动互联网安全威胁激增 保护数据引人担忧
移动互联网安全威胁激增保护数据引人担忧
在国内某知名门户网站工作的小朱总是对新事务有着浓厚兴趣,最近他一直关注“通过微信实现叫车和支付”的新闻动态。“用微信支付打车费既方便,还能享受打车费用减免,的确让人心动。不过,我心里对于手机支付还是不踏实,担心存在安全隐患。”小朱表示。
这种担忧并非杞人忧天,我也相信很多人会有同样的担心,因为身边发生的就仅仅是听闻过的也是一个不小的数字。国家互联网应急中心统计发现,2013年手机病毒继续呈爆发式增长,比2012年增长了5倍,总数达到70万例,中国移动互联网的安全呈现越发严峻的趋势。
可见移动互联网的快速发展也为手机病毒提供了一个很大的平台,在这个平台里他们肆意生长,直到现在成为了威胁互联网安全的头号敌人之一。如何应对这样的安全威胁成了所有相关企业的第一大课题。这些病毒近年来具体的成长趋势是怎样的?又应该使用什么手段抵挡这样的势头呢?下面就让山丽网安的专家和您一起来深入解读这些问题吧。
移动互联网与安全问题相息相生
工业和信息化部统计数据显示,2013年上半年我国微信用户超过4亿户,微信用户拉动移动互联网流量收入同比增长56.8%,电子商务市场的整体规模达到5.4万亿元,增长38.5%。
微信用户的增加正是我国移动互联网快速发展的缩影。数据显示,近3年来,我国移动互联网用户规模呈现迅猛增长趋势,月同比增长率均在18%以上。不可否认,移动互联网时代已经到来。
然而,伴随着移动互联网时代的到来,移动网络安全问题不断暴露。国家互联网应急中心在2005年、2006年掌握的手机病毒样本只有几十例,2010年这一数字过千。然而,2010年后手机病毒样本从平缓上扬变成了不成比例的激增,从6000余例发展到2013年的70万例,而且只用了两年。
某公司相关负责人介绍,随着移动设备的普及,针对移动设备的网络犯罪飙升。《2013年三季度手机安全报告》显示,2013年第三季度,针对安卓平台的恶意程序新增28.8万个,较上年同期翻了5倍;用户感染恶意程序2513万次,同比增长56.9%。
如此大比例的数据增长在不经意间就带来了一个疑问:对于这些措手不及的恶意攻击,该如何保护这些受感染设备中的信息数据?
移动互联网安全呈现新特点
传统互联网中遇到的安全问题,移动互联网都将遇到,比如终端被恶意软件攻击,导致个人信息泄露等。此外,移动互联网发展中还会遇到一些新的挑战。
首先是手机本身有缴费功能,有的费用可以直接从话费中扣除,这导致吸费软件猖獗。《2013年三季度手机安全报告》显示,资费消耗、恶意扣费和隐私窃取类恶意程序的感染量最高,分别占用户感染恶意程序总量的52%、24%和18%。用户手机感染病毒后面临直接经济损失的可能性超过七成。
其次,与传统PC固定地点不同,用户往往随身携带手机,手机本身具有导航、录音和拍照功能,如果手机遭到恶意软件攻击,被远程操纵,有可能泄露行踪和语音信息等,带来人身安全隐患。
第三,员工自带设备办公(BYOD)成为企业信息安全新难题。如今有的企业鼓励员工自带设备办公,智能手机的功能不亚于PC机,员工可以通过手机办公。如果黑客通过手机进入企业的内部网络,掌握内网信息,甚至掌控操作平台,破坏正常的运行和生产,将导致更大的灾难。
此外,移动设备操作系统本身也有安全漏洞。2013年安卓系统和IOS系统都被爆出了多个漏洞,例如安卓系统签名漏洞、IOS系统锁屏漏洞等,这些系统漏洞本身给用户造成了很大威胁。
从源头阻止恶意攻击数据加密是最终手段
针对手机病毒日渐增多的情况,为了保护用户的信息安全,首先要从源头堵住恶意软件和病毒,相关机构通过对所有软件进行安全评测和漏洞扫描,通过电子签名,让用户在下载之前能够有效辨别软件是否安全可靠。
只保证软件下载时的安全可靠并不是最放心的手段,在软件的使用过程中会出现大大小小的漏洞与风险,尽快修复这是最起码要做的。但是怎么保证在漏洞出现期间,移动设备中的数据是安全的呢?这就需要使用最有效地手段:数据加密。山丽防水墙数据防泄漏系统可以最高效的守护所有重要的信息数据。
该系统通过山丽网安“双核双升”技术更新,不仅具有文件加密的功能,针对企业内部机密文件、企业外发文件、还有文件权限控制的特性。山丽防水墙数据防泄漏系统在用其独有的AUF监控内核为核心和国际先进的加密算法,纳入了成熟的计算机终端管理模式,通过设备资产管理、端口管理、介质管理、外联管理、桌面管理、远程管理,在系统实施后可以达到技术手段的管理效果。
使用了多模加密技术的数据防泄漏系统可以保证即使系统被病毒感染,甚至信息被黑客窃取,加密了的数据永远不能为他人所用,这也就杜绝了未来会发生信息泄露的可能。
移动设备的使用只会越来越普遍,这样的现象也就会滋生更多的信息安全隐患。除了用户自己要提高警觉,保护个人信息不外泄之外,各大平台也要对产品要进行全面的维护,最好的办法就是主动使用灵活且保护本源数据安全的加密软件,保障用户信息安全以及移动互联网的数据安全!
十大数据库安全威胁
十大数据库安全威胁 来源:转载时间:2009-05-13 点击次数: 302 企业的数据库体系结构会受到各种各样的威胁。本文列出了对数据库结构威胁最严重的十种威胁。 威胁 1 - 滥用过高权限 当用户(或应用程序)被授予超出了其工作职能所需的数据库访问权限时,这些权限可能会被恶意滥用。例如,一个大学管理员在工作中只需要能够更改学生的联系信息,不过他可能会利用过高的数据库更新权限来更改分数。 威胁 2 - 滥用合法权 用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务人员拥有可以通过自定义 Web 应用程序查看单个患者病历的权限。通常情况下,该 Web 应用程序的结构限制用户只能查看单个患者的病史,即无法同时查看多个患者的病历并且不允许复制电子副本。但是,恶意的医务人员可以通过使用其他客户端(如MS-Excel)连接到数据库,来规避这些限制。通过使用 MS-Excel 以及合法的登 录凭据,该医务人员就可以检索和保存所有患者的病历。 这种私自复制患者病历数据库的副本的做法不可能符合任何医疗组织的患者数据保护策略。要考虑两点风险。第一点是恶意的医务人员会将患者病历用于金钱交易。第二点可能更为常见,即员工由于疏忽将检索到的大量信息存储在自己的客户端计算机上,用于合法工作目的。一旦数据存在于终端计算机上,就可能成为特洛伊木马程序以及笔记本电脑盗窃等的攻击目标。 威胁 3 - 权限提升 攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限。漏洞可以在存储过程、内置函数、协议实现甚至是 SQL 语句中找到。例如,一个金融机构的软件开发人员可以利用有漏洞 的函数来获得数据库管理权限。使用管理权限,恶意的开发人员可以禁用审计机制、开设伪造的帐户以及转帐等。 威胁 4 - 平台漏洞 底层操作系统(Windows 2000、UNIX 等)中的漏洞和安装在数据库服务器上的其他服务中的漏 洞可能导致未经授权的访问、数据破坏或拒绝服务。例如,“冲击波病毒”就是利用了Windows 2000的 漏洞为拒绝服务攻击创造条件。 威胁 5 - SQL 注入 在SQL注入攻击中,入侵者通常将未经授权的数据库语句插入(或“注入”)到有漏洞的SQL数据信道中。通常情况下,攻击所针对的数据信道包括存储过程和Web应用程序输入参数。然后,这些注入的语句被传递到数据库中并在数据库中执行。使用SQL注入,攻击者可以不受限制地访问整个数据库。防止SQL注入将以下三个技术结合使用可以有效地抵御SQL注入:入侵防御系统 (IPS)、查询级别访问控制(请参阅“滥用过高权限”)和事件相关。IPS可以识别有漏洞的存储过程或SQL注入字符串。但是,单独使用IPS并不可靠,因为SQL注入字符串很容易发生误报。如果只依赖IPS,安全管理人员会发现大 量“可能的”SQL注入警报,被搞得焦头烂额。 威胁 6 - 审计记录不足 自动记录所有敏感的和/或异常的数据库事务应该是所有数据库部署基础的一部分。如果数据库 审计策略不足,则组织将在很多级别上面临严重风险。
数据库安全风险分析和解决方案
数据库安全风险分析和解决方案 1.数据库安全风险分析 经过十多年的发展,目前各行各业的信息系统都已经得到了长足发展,一套高效、安全、可靠的信息系统已经是衡量一个政府或者企业的管理效率的关键指标,政府和企业也都更加依赖于信息系统,所以信息系统能否稳定、安全的运行也是大家越来越关注的话题。我们稍作统计和回顾,不难发现最近几年信息安全话题讨论越来越激烈,信息安全事件也越来越多。近期美国“棱镜”事件和英国“颞颥”事件被曝光震惊全世界、2012年震惊中国的互联网用户信息大泄露和三大运营商个人隐私信息批量泄露等。这些信息安全事件攻击手段多样,但我们不难发现有一个共同的特征,他们的攻击和窃取目标就是用户的隐私数据,而大部分数据的承载主体就是——数据库系统。所以我们今天对数据库安全进行一些简要的分析。 如果说各类业务系统是基础部件,畅通的网络是血液,那心脏理应就是数据库系统。其存储了所有的业务数据,牵涉到所有用户的切身利益。所以其要求各类数据必须是完整的,可用的,而且是保密的。如果发生数据丢失或者数据不可用,犹如心脏出现问题,其他所有的基础部件也将无法正常工作,直接导致整个业务系统的终止,少则让企事业单位受到经济和名誉的损失,大则直接威胁企业的生存和发展,甚至威胁国家和社会的稳定和安全。当然承载数据库的服务器以及网络设备、安全设备、存储系统、应用软件等相关配套设置的安全性也是非常重要的,一旦由于内部操作失误、故意泄露或者外部入侵等都可能给业务数据带来致命的安全威胁。 对于数据库,我认为其安全威胁主要来自于几方面,一个是数据库自身安全,一个是数据库运行环境和数据库运行维护过程的安全。 1)首先我们来分析一下数据库自身安全,我们认为中国面临一个最大的安全 威胁就在于绝大部分数据库都是采用oracle、sqlserver、mysql等国外数据库系统。我们无法了解这些国外数据库系统是否留下了后门,是否嵌入了不安全的代码等,最近美国棱镜门就更加印证了我们的结论,因为美国多
计算机网络数据库存在的安全威胁
计算机网络数据库存在的安全威胁 随着计算机网络技术的不断发展,数据库技术的应用也越来越广泛。但同时也使得数据资源容易因为各种各样的原因而被泄露更改或者是破坏。对整个计算机网络系统的运行构成了极大的威胁。这其中既有黑客攻击的威胁,也有数据库本身存在漏洞的因素。故此,对网络数据库技术中存在的安全漏洞一定要进行全而的查找分析,有针对性的提出应对的措施。以期可以达到保证网络系统正常运行的目的。 1计算机网络数据库的安全保障工作需重点把关的问题 对计算机网络数据库进行有针对性的安全保护措施是非常有必要的,这样做不但可以有效的避免数据库中一些数据资源的丢失或者是被篡改的情况发生,而且也可以在一定程度上阻止一些黑客利用安全漏洞进行非法入侵的现象。 对网络数据库的防护手段主要是侧重于以下几点:第一,逻辑完整性。所谓逻辑完整性就是要对整个数据库的整体结构实施监管保护。比如:如果对某一个字段进行更改的时候,不会造成其他字段的损坏。第二,物理完整性。数据的物理完整性实际上就是指数据不会因为自然或者物理故障遭到破坏,比如说电力或者是计算机故障等等。第三,元素安全性。就是要保证数据库中的每一个元素都是正确的。第四,控制用户访问的权限。一定要利用各种程序设置访问的权限,并规定只有通过授权的用户才有资格访问数据库。第五,可审计性。进行必要的保护手段,实现对数据库中每个元素的追踪存取以及修改。第六,可
用性。通过权限用户充分拥有对数据库进行访问的资格。第一七,身份的验证。对访问数据库的用户进行严密的身份验证以及审计追踪。防止安全隐患乘虚而入。 现如今,网络技术仍然在不断的向前进步发展,网络数据库的安全威胁也在不断的升级。因此,我们对于网络数据库的安全防护也不能仅仅局限于传统的数据库管理层。要把管理的触角伸向保护账号安全以及合理设置访问权限等等方面。 2网络数据库现存的安全漏洞 目前,信息技术以及互联网的不断普及。在这样的环境背景之下,网络数据库的安全会受到以下问题的影响: 2.1在数据库的下载方面 如果通过使用一些相关工具的话(比如说暴库技术),可以很快速的将数据库中的各项情况具体定位(一般情况下都是使用%5c命令)。虽然并不能保证每次都可以成功暴库,但是出现暴库的概率是非常高的。在得到了地址之后,再通过IE浏览器输入,之后下载到本地磁盘中就可以得到用户名和密码。 2.2注入SQL 在如今的互联网应用中,WEB服务器大多数都是在设完防火墙之后才布置的,一般来讲只会开放80端口。因为非法入境的黑客朋友无法进入其他的端口。因此,80端口成为了他们的攻克目标。他们所使用的方式一般会以注入SQL为主。有一些程序的编辑人员在编写程序代码的时候会忽略掉对用户输入数据正确性的有效识别。这就为应
浅谈数据库的安全需求与安全技术
浅谈数据库的安全需求 与安全技术 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
浅谈数据库的安全需求与安全技术 摘要:数据库安全就是指保护数据库以防止非法使用所造成的信息泄露、更改或破坏。数据库已经在社会上和人们日常生活中占据了十分重要的地位。该文首先简要介绍了数据库安全的重要性及安全需求,然后对数据库的安全策略和安全技术进行了探讨。 关键词:数据库;安全需求;安全技术 中图分类号:TP311文献标识码:A 文章编号:1009-3044(2011)20-4800-02 数据库是存储在一起的相关数据的集合,这些数据可以为多种应用服务。使用数据库可以带来许多好处:如减少了数据的冗余度,节省数据的存储空间;实现数据资源的充分共享等等。由于数据库的重要地位,其安全性也备受关注。 1 数据库安全的重要性 数据库系统也属于一种系统软件,实际使用中它和其他软件一样也需要保护。数据库的安全之所以重要,主要是原因下面一些原因。首先,在数据库中存放大量的数据,在重要程度及保密级别上可以分为几类,这些数据为许多用户所共享,而各用户的访问权限是不同。因此,数据库系统必须根据不同客户的职责和权限,使各用户得到的只是他们所必需的、与他们的权限相对应的部分数据,并不是每个用户都可以访问全部数
据。这样对用户进行分类限制,严格控制用户修改数据库数据的权限,可以最大限度的避免因一个用户在未经许可的情况下修改了数据,而对其他用户的工作造成不良的影响。 其次,在数据库中,由于数据冗余度小,一旦数据库的数据被修改了,原来的数据就不存在了。因此,必须有一套数据库恢复技术,保证在系统或程序出现故障后,帮助迅速恢复数据库。最后,由于数据库是联机工作的,一般允许多用户同时进行存取操作,因此必须采取有效措施防止由此引起的破坏数据库完整性的问题。数据库涉及其他应用软件,因而数据库的安全还涉及应用软件的安全与数据的安全,因此,有必要把数据库的安全问题和相关的应用软件安全问题进行综合考虑,制定有效的全面的安全防范措施。 总之,数据库系统在给人们带来好处的同时,也对用户提出了更高的安全方面的要求。所以说,数据库的安全问题是非常重要的,必须引起最够的重视。 2 数据库的安全威胁与安全策略 数据库运行于操作系统之上,依赖于计算机硬件,所以数据库的安全依赖于操作系统安全和计算机硬件的安全。同时数据库操作人员的非法操作和不法分子的蓄意攻击也对数据库的安全构成重大威胁。综合以上两方面,可以看到数据库受到的安全威胁主要有:1)硬件故障引起的信息破坏或丢失。如存储设备的损坏、系统掉电等造成信息的丢失或破坏;2)软件保护
十大数据库安全威胁
十大数据库安全威胁 十大数据库安全威胁 如何减轻重大数据库漏洞的危害 企业的数据库体系结构会受到各种各样的威胁。本文档的目的是通过提供由Imperva 的应用防御中心界定的十大威胁的列表,来帮助各个组织处理最严峻的威胁。并且介绍了每种威胁的背景信息、减轻风险的一般策略以及Imperva 的SecureSphere 数据库安全网关保护的概况。 简介 企业的数据库体系结构会受到各种各样的威胁。本文档的目的是通过提供由Imperva 的应用防御中心界定的十大数据库漏洞的列表,来帮助各个组织处理最严峻的威胁。并且介绍了每种威胁的背景信息、减轻风险的一般策略以及Imperva 的SecureSphere 数据库安全网关保护。 十大数据库安全威胁 1. 滥用过高权限 2. 滥用合法权限 3. 权限提升 4. 数据库平台漏洞 5. SQL 注入 6. 审计记录不足 7. 拒绝服务 8. 数据库通信协议漏洞 9. 身份验证不足 10. 备份数据暴露 通过解决这十大威胁,各个组织将可以满足世界上监管最严格的行业的规范要求和减轻风险的要求。
威胁 1 - 滥用过高权限 当用户(或应用程序)被授予超出了其工作职能所需的数据库访问权限时,这些权限可能会被恶意滥用。例如,一个大学管理员在工作中只需要能够更改学生的联系信息,不过他可能会利用过高的数据库更新权限来更改分数。 原因很简单,数据库管理员没有时间为每个用户定义并更新细化的访问权限控制机制,从而使给定的用户拥有了过高的权限。因此,所有用户或多组用户都被授予了远远超出其特定工作需要的通用默认访问权限。 防止滥用过高权限- 查询级别访问控制 应对过高权限的解决方案是查询级别访问控制。查询级别访问控制是这样一种机制,它将数据库权限限制到最低要求的SQL 操作(SELECT、UPDATE 等)和数据。数据访问控制不只细化到表,而是必须细化到表中特定的行和列。使用这种充分细化的查询级别访问控制机制,上文提到的恶意大学管理员虽然可以更新联系信息,但是如果他试图更改分数则将发出警报。查询级别访问控制不但可以帮助检测恶意员工是否滥用过高权限,还可以防止本文中介绍的其他重大威胁中的大多数。 大部分数据库软件实现时都集成了某种程度的查询级别访问控制(触发器、行级安全性等),但是这些“内置”功能的手动操作本质使其对于几乎所有部署来说是不现实的,除非是功能非常有限的部署。若要针对整个数据库中所有行和列以及操作来为所有用户手动定义查询级别访问控制策略,需要花费相当长的时间。更糟糕的是,由于用户角色随时间而发生变化,必须更新查询策略以反映这些新的角色。对大部分数据库管理员来说,为某一时刻的数个用户定义有用的查询策略已经很困难,更不用说为不同时间的几百名用户定义策略。因此,大部分组织为用户提供了很多用户都可以使用的一组过高的通用访问权限。需要使用自动化的工具来使真正的查询级别访问控制变为现实。 SecureSphere 动态建模–自动化的查询级别访问控制SecureSphere 数据库安全网关提供了自动化机制来定义和实施查询级别访问控制策略。SecureSphere 的动态建模技术应用了自动化的学习算法,为访问数据库的每个
2016年数据库漏洞安全威胁报告
2016年数据库漏洞安全威胁报告 ■文档编号RP-2016-01 ■密级完全公开 ■版本编号V1.0 ■日期2016.12.11
?2016安华金和 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。 目录 2016年数据库漏洞安全威胁报告 (1) 一. 报告摘要 (3) 二. 报告正文 (3) 2.12016年数据库安全形式综述 (3) 2.2数据库自身的安全缺憾 (4) 2.3数据库安全威胁分析 (4) 2.3.1人为因素 (5) 2.3.2数据库本身系统安全分析 (6) 2.3.3第三方恶意组件 (8) 2.3.4数据库安全小结 (9) 2.4数据库系统漏洞的统计分析 (9) 2.4.1按发布时间分布情况分析 (10) 2.4.2按威胁类型分布情况分析 (11) 2.4.3按厂商分布情况分析 (13) 2.4.4按受影响组件属性分类情况分析 (14) 2.4.5按漏洞的攻击途径分类情况分析 (15) 2.4.6数据库漏洞利用趋势 (16) 2.5数据库系统的安全建议 (17) 三. 结束语 (18) 附录A联系作者 ................................................................................................... 错误!未定义书签。附录B关注安华金和 ........................................................................................... 错误!未定义书签。