12月��,以“互聯(lián)互通�、共享共治——構(gòu)建網(wǎng)絡空間命運共同體”為主題的第二屆世界互聯(lián)網(wǎng)在浙江烏鎮(zhèn)又一次震撼世界����。作為新興的網(wǎng)絡大國,中國對互聯(lián)網(wǎng)治理有著深入的思考和踏實的行動�。這是一種必然,畢竟我們已擁有6.7億網(wǎng)民、413萬多家網(wǎng)站�,以及超過3.95萬億人民幣的互聯(lián)網(wǎng)上市企業(yè)市值。習近平主席在大會致辭中提到一點:“‘保障網(wǎng)絡安全��,促進有序發(fā)展’���,安全和發(fā)展是一體之兩翼�、驅(qū)動之雙輪���。安全是發(fā)展的保障��,發(fā)展是安全的目的”��,深得業(yè)內(nèi)人士的贊許����。
隨著互聯(lián)網(wǎng)裂變式的發(fā)展�����,各種各樣的應用被遷移到互聯(lián)網(wǎng)使用���。然而����,互聯(lián)網(wǎng)也很脆弱,缺乏相應的防護措施����,尤其在數(shù)據(jù)庫安全方面,數(shù)據(jù)安全已經(jīng)成為每個國家����、每個企業(yè)必須要重視的問題。
2015年已經(jīng)進入尾聲�,對于安全界而言,又是不平靜的一年����,安華金和立足國內(nèi),回顧國內(nèi)全年發(fā)生的數(shù)據(jù)泄密相關(guān)的十二起安全事件�����,同時針對事件本身����,安華金和的安全專家進行技術(shù)原因分析點評��。
事件一【時間:2015.1】 新年首起網(wǎng)絡泄密:機鋒論壇2300萬用戶信息泄露
http://tech.southcn.com/t/2015-01/06/content_115666050.htm 來源:南方網(wǎng)
1月5日,就在機鋒科技二度易主僅半月后�,機鋒科技旗下機鋒論壇被曝出存在高危漏洞,多達2300萬用戶的信息遭遇安全威脅�����。這也成為2015年國內(nèi)第一起網(wǎng)絡信息泄露事件����。
機鋒論壇泄露的2300萬用戶數(shù)據(jù)包括用戶名、注冊郵箱���、加密后的密碼等信息����,由于機鋒論壇數(shù)據(jù)庫對用戶密碼僅使用了簡單的MD5(計算機安全領(lǐng)域廣泛使用的一種散列函數(shù))加密���,黑客能夠快速破解出絕大部分密碼�。
技術(shù)原因: 機鋒論壇回應稱這次泄漏的是2013年泄露的老數(shù)據(jù)”�,并強調(diào),“機鋒所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼����,網(wǎng)上泄露的用戶信息并不能破解密碼并盜取用戶賬號”��。
事件二【時間:2015.2】 多家知名連鎖酒店��、高端品牌酒店存在嚴重安全漏洞����,海量開房信息存泄露風險
http://www.freebuf.com/news/special/58843.html 來源:FreeBUF
2月11日�,根據(jù)漏洞盒子平臺安全報告,知名連鎖酒店桔子���、錦江之星�、速八�、布丁�����;高端酒店萬豪酒店集團(萬豪����、麗思卡爾頓等)、喜達屋集團(喜來登�、艾美�����、W酒店等)、洲際酒店集團(假日等)存在嚴重安全漏洞����,房客開房信息一覽無余,甚至可對酒店訂單進行修改和取消���。
黑客可輕松獲取到千萬級的酒店顧客的訂單信息�;包括顧客姓名��、身份證����、手機號、房間號���、房型�、開房時間���、退房時間�����、家庭住址�、信用卡后四位、信用卡截止日期���、郵件等等大量敏感信息���。
技術(shù)原因:大量房客的個人隱私信息存在數(shù)據(jù)庫中,黑客主要是通過前臺應用程序的漏洞�����,攻入數(shù)據(jù)庫服務器�,獲取大量個人隱私信息和酒店顧客的訂單信息,同時也由于某些訂單程序漏洞����,導致網(wǎng)上就可以修改訂單的敏感信息。
事件三【時間:2015.2】康威視部分設(shè)備被境外IP控制 存嚴重安全隱患
http://legal.people.com.cn/n/2015/0228/c188502-26612027.html 來源:人民網(wǎng)
2月27日�,江蘇省公安廳發(fā)布《關(guān)于立即對全省海康威視監(jiān)控設(shè)備進行全面清查和安全加固的通知》稱����,主營安防產(chǎn)品的海康威視其生產(chǎn)的監(jiān)控設(shè)備被曝出嚴重安全隱患���,部分設(shè)備已被境外IP地址控制���,并要求各地立即進行全面清查,開展安全加固�,消除安全隱患。
技術(shù)原因:采用了弱口令(弱口令是指使用產(chǎn)品初始密碼或其他簡單密碼)��。江蘇事件為弱口令漏洞����,只需通過修改初始密碼或簡單密碼或者升級設(shè)備固件即可解決,不需要召回或更換設(shè)備�。
事件四【時間:2015.4】數(shù)千萬社保用戶信息或遭泄露 超30省市曝管理漏洞
http://politics.people.com.cn/n/2015/0422/c70731-26882624.html 來源:人民網(wǎng)
4月22日,重慶��、上海�����、山西�、沈陽、貴州��、河南等超30個省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞��,數(shù)千萬用戶的社保信息可能因此被泄露。
從補天漏洞響應平臺獲得的數(shù)據(jù)顯示����,目前圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)���、疾控中心�、醫(yī)院等曝出高危漏洞的省市已經(jīng)超過30個��。據(jù)統(tǒng)計��,僅社保類安全漏洞所導致的信息泄漏就超過5279.4條 涉及人員數(shù)量達數(shù)千萬����,其中包括個人身份證、社保參保信息�、財務、薪酬�����、房屋等敏感信息���。
技術(shù)原因:一是利用互聯(lián)網(wǎng)應用系統(tǒng)漏洞�����,通過sql注入�����,完成對社保人員信息的批量下載�。80%安全事件發(fā)生的原因來自于SQL注入���。(刷庫)二是外部黑客利用數(shù)據(jù)庫漏洞����,如系統(tǒng)注入漏洞����、緩沖區(qū)溢出漏洞和TNS漏洞,進行數(shù)據(jù)庫的惡意操作�����。(拖庫)三是開發(fā)人員和運維人員被利用���,由于對系統(tǒng)熟悉度高�,通過程序中的后門程序或直接訪問數(shù)據(jù)庫獲得數(shù)據(jù)。
事件五【時間:2015.5】中國人壽系統(tǒng)漏洞屢遭曝光 客戶信息安全難保障
http://www.gd315.gov.cn/show-240-45742-1.html 來源:廣東消費網(wǎng)
5月21日��,網(wǎng)友“carry_your”發(fā)布了一則等級為“高級”的漏洞信息�,編號:QTVA-2015-237080,漏洞名稱為“中國人壽某省系統(tǒng)存在漏洞#可getshell#泄漏百萬客戶信息”����。保單信息、微信支付信息���、客戶姓名���、電話、身份證����、住址、收入多少���、職業(yè)等敏感信息一覽無余�。據(jù)烏云漏洞報告平臺統(tǒng)計���,2015年上半年中國人壽漏洞出現(xiàn)7次�����,漏洞類型主要包括敏感信息泄露��、未授權(quán)訪問/權(quán)限繞過�����、任意文件遍歷/下載以及設(shè)計缺陷/邏輯錯誤�����。
技術(shù)原因:國家信息技術(shù)安全研究中心專家曹岳表示�,由于平臺本身交易量巨大���、往來客戶數(shù)量多���,對試圖非法獲取客戶敏感信息的不法分子來說,一旦入侵成功�����,其獲益是巨大的。由此�����,像保險企業(yè)這樣涉及大量客戶個人信息和商業(yè)機構(gòu)信息存儲的企業(yè)���,須對公眾信息保護承擔義務����,更應加強信息安全構(gòu)建��,防止公眾的合法權(quán)益受到侵害�����。
事件六【時間:2015.6】多家P2P平臺同時遭黑客攻擊
http://news.dayoo.com/guangzhou/201506/18/10002079_111674263.htm 來源:廣州日報大洋網(wǎng)
6月18日���,互聯(lián)網(wǎng)金融安全再受拷問�,信融財富�����、寶點網(wǎng)和立業(yè)貸等多家P2P平臺本周同時遭受黑客流量攻擊�,造成網(wǎng)站無法打開或訪問速度緩慢��。根據(jù)世界反黑客組織的通報��,中國P2P平臺已成為全世界黑客“宰割的羔羊”��。業(yè)內(nèi)人士表示�����,目前P2P軟件提供商魚龍混雜�����,不少平臺IT系統(tǒng)簡單�����、漏洞多,是被黑客輕易攻擊的主要原因��。P2P網(wǎng)貸平臺對技術(shù)的要求不亞于銀行�,如何解決網(wǎng)貸系統(tǒng)安全問題,事關(guān)P2P平臺公司的存亡��。
“6月15日11時04分至16日9時�,信融財富官網(wǎng)遭受到惡意流量攻擊�,造成網(wǎng)站無法訪問的情況�。”深圳P2P平臺信融財富發(fā)布公告稱�����,其官網(wǎng)遭到了黑 客大規(guī)模DDOS惡意流量攻擊����,使平臺網(wǎng)站訪問受到影響,平臺已于第一時間啟動應急防御措施���。幾乎與此同時�����,另外兩家平臺寶點網(wǎng)和立業(yè)貸也均遭到了大規(guī)模黑客攻擊�����。
技術(shù)原因:P2P網(wǎng)貸平臺其技術(shù)要求不亞于銀行�,甚至比銀行還要高����。但現(xiàn)實情況是��,大多數(shù)P2P網(wǎng)貸平臺無論在架構(gòu)���、數(shù)據(jù)庫、安全防范方面�,應對黑客的攻擊能力幾乎為零。
事件七【時間:2015.8】約10萬條高考生信息泄露
http://news.sina.com.cn/c/2015-08-18/doc-ifxfxrai1903359.shtml 新浪新聞中心
據(jù)新華社電“不管考多少分����,都有機會在名校上大學,享受普通本科生一樣的資源和待遇�����?���!备呖间浫」ぷ鹘Y(jié)束之際,一些不法分子利用非法獲取的高考生信息通過電話進行招生詐騙���。武漢警方日前查獲約10萬條泄露的高考生信息,涉嫌用于招生詐騙�。這些信息涉及約10萬名考生,遍及13個省區(qū)市��。
據(jù)知情人士介紹,高考生信息在網(wǎng)上被肆意出售����。10萬條信息標價1萬元,平均每一條信息價格為0.1元����。這些信息被一些不法分子購買后用來進行招生詐騙,也就是常說的“低分高錄”��。騙子自稱是招生院?�;蚴≌修k某領(lǐng)導的熟人�,聲稱有辦法讓不夠第一批本科線的考生到第一批本科院校就讀。技術(shù)原因:教育考試報名系統(tǒng)中包含大量考生個人隱私信息�,需要進行數(shù)據(jù)庫安全防護,確保敏感數(shù)據(jù)不會泄露����。
事件八【時間:2015.8】大麥網(wǎng)600多萬用戶賬號密碼泄露 數(shù)據(jù)已被售賣
http://tech.sina.com.cn/i/2015-08-27/doc-ifxhkafa9342416.shtml 來源:新浪科技
8月27日,烏云漏洞報告平臺發(fā)布報告顯示��,線上票務營銷平臺大麥網(wǎng)再次被發(fā)現(xiàn)存在安全漏洞����,600余萬用戶賬戶密碼遭到泄露��。
起初發(fā)現(xiàn)有大麥網(wǎng)用戶數(shù)據(jù)庫在黑產(chǎn)論壇被公開售賣�,于是對泄露的用戶數(shù)據(jù)進行驗證�,發(fā)現(xiàn)相鄰賬號的用戶ID也是連續(xù)的,并均可登錄�����。因此����,叢技術(shù)的角度可以初步證明本次大麥網(wǎng)的數(shù)據(jù)泄露有被拖庫嫌疑(網(wǎng)站用戶注冊信息數(shù)據(jù)庫被黑客竊取)。技術(shù)原因:大麥網(wǎng)前臺應用有程序漏洞���,主要原因是疑被“拖庫”���,指從數(shù)據(jù)庫中導出數(shù)據(jù),現(xiàn)指網(wǎng)站遭到入侵后�����,黑客竊取其數(shù)據(jù)庫�����。
事件九【時間:2015.9】內(nèi)蒙古19萬考生信息泄露
http://epaper.jinghua.cn/html/2015-09/08/content_233252.htm 來源:京華網(wǎng)
據(jù)新華社電內(nèi)蒙古自治區(qū)教育招生考試中心透露�,內(nèi)蒙古19萬名高考考生信息近日遭泄露。9月2日上午得知此事后���,教育招生考試中心立即組織人員進行研判�����,并確認網(wǎng)傳信息基本屬實���。隨后,該單位立即報警���,希望警方進行徹查���。
這些信息中包括考生的姓名、身份證號碼及其父母姓名�����、電話��,名單覆蓋了內(nèi)蒙古自治區(qū)的12個盟市,數(shù)量最多的地方達4萬多條���。
技術(shù)原因:經(jīng)過認真分析���,基本可確定考生信息遭泄露原因大致有三種可能性,分別為“黑客”攻擊�、“內(nèi)鬼”泄露和中介機構(gòu)或組織“人工”搜集。
事件十【時間:2015.10】過億郵箱用戶數(shù)據(jù)泄露? 網(wǎng)易稱遭黑客“撞庫”
http://tech.sina.com.cn/i/2015-10-20/doc-ifxiwazu5635291.shtml 來源:新浪科技
10月19日�����,烏云漏洞報告平臺接到一起驚人的數(shù)據(jù)泄密報告后 發(fā)布新漏洞��,漏洞顯示網(wǎng)易用戶數(shù)據(jù)庫疑似泄露��,影響到網(wǎng)易163�、126郵箱過億數(shù)據(jù),泄露信息包括用戶名�、密碼、密碼密保信息���、登錄IP以及用戶生日等���。烏云方面指出�����,前不久,有不少網(wǎng)友抱怨稱自己的iCloud帳號被黑���,綁定的iPhone手機被鎖敲詐等�,他們共都采用了網(wǎng)易郵箱作為iCloud帳號����。
技術(shù)原因:這次網(wǎng)易郵箱遭黑客“撞庫”,指黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息�����,生成對應的字典表���,批量嘗試登陸其他網(wǎng)站��。很多用戶在不同網(wǎng)站使用相同用戶和密碼���,因此黑客可通過獲取用戶A網(wǎng)站的賬戶從而嘗試登陸B(tài)網(wǎng)站。
事件十一【時間:2015.11】偉易達被曝480萬家長及兒童信息泄露
http://sec.chinabyte.com/12/13635512.shtml 來源:安全比特網(wǎng)
世界最大的電子玩具生產(chǎn)商之一偉易達集團(VTech)于11月27日指出�����,11 月 14 日黑客入侵了 Learning Lodge 的客戶資料庫,但在接受報章查詢時不肯透露實際人數(shù)��,只表示有香港客戶受影響��;然而國外媒體 Motherboard 表示�,他收到黑客入侵 VTech 的客戶資料,當中有大約500萬個家長和超過20萬個小童的資料�����,包括姓名���、電郵地址��、密碼和個人住址�����。
技術(shù)原因:目前VTech仍然使用較為落后的技術(shù)開發(fā)平臺���,包括像ASP.NET 2.0框架, WCF, SOAP, 以及眾多的 Flash。同時VTech的官網(wǎng)以及注冊網(wǎng)站沒有使用像SSL等安全通信協(xié)議技術(shù)�����。經(jīng)過對VTech其中一個端口的掃描探測分析,也發(fā)現(xiàn)了可通過SQL查詢可獲取相關(guān)調(diào)試信息的漏洞��。
事件十二【時間:2015.12】申通被曝13個安全漏洞 黑客竊取3萬多客戶信息
http://news.sohu.com/20151202/n429275835.shtml 來源:搜狐新聞
黑客利用申通快遞公司的管理系統(tǒng)漏洞�,侵入該公司服務器,非法獲取了3萬余條個人信息之后非法出售�����。在烏云平臺我們發(fā)現(xiàn)����,2013年以來��,該平臺至少公布了申通公司與信息泄露隱患有關(guān)的漏洞報告13篇�����,涉及系統(tǒng)弱口令���、服務器目錄��、管理后臺�����、快遞短信等各個方面����,其中9份報告被標注的危害等級為“高”。
技術(shù)原因:之所以選申通K8速運管理系統(tǒng)下手�,并得以利用其漏洞,是因為在“烏云網(wǎng)”上看到了公布出來的申通公司的系統(tǒng)漏洞��。據(jù)不完全統(tǒng)計���,“烏云網(wǎng)”公布的安全漏洞達77848個�。一位IT技術(shù)員表示:“如果黑客對‘烏云網(wǎng)’公布的漏洞有興趣����,那么只要知道企業(yè)名字和大概漏洞消息源頭,侵入這個企業(yè)��,不是難事���?����!?/p>
小結(jié)
隨著網(wǎng)絡安全事件頻繁�,一大批漏洞挖掘平臺涌現(xiàn)出來,烏云�����、阿里云云盾“先知計劃”�����、漏洞盒子�����、360補天等��,既有第三方也有BAT巨頭�。同時誕生了一大批通過挖漏洞賺錢�、甚至以此為職業(yè)的白帽黑客。
基于此��,國家互聯(lián)網(wǎng)應急中心(CNCERT)與國內(nèi)32家互聯(lián)網(wǎng)和安全公司共同簽署了《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》����,以行業(yè)自律的方式共同規(guī)范安全漏洞信息的接收����、處置和發(fā)布的公約�。
“十三五”規(guī)劃建議提出要實施大數(shù)據(jù)和網(wǎng)絡強國戰(zhàn)略,在政策的大力推動下�����,網(wǎng)絡安全作為其重要組成部分將迎來快速發(fā)展機遇�����。我國在網(wǎng)絡安全方面的投入占整個IT比重僅為2%左右�����,遠低于歐美國家10%左右的水平���,潛在發(fā)展空間將達千億級別�����。
安華金和數(shù)據(jù)庫安全專家分析2015年verizon數(shù)據(jù)泄漏調(diào)查報告和全年的數(shù)據(jù)安全事件�,可以發(fā)現(xiàn)以下幾個數(shù)據(jù)泄漏的原因:
使用失竊賬戶密碼依然是非法獲取信息的最主要途徑,三分之二的數(shù)據(jù)泄露都與漏洞或失竊密碼有關(guān)��,位列前排的分別是雙因子認證以及web services的補丁�����。
發(fā)現(xiàn)大多數(shù)企業(yè)的安全管理和防護都無法跟上網(wǎng)絡犯罪的腳步�,入侵企業(yè)只需要數(shù)分鐘或數(shù)小時,而企業(yè)發(fā)現(xiàn)和識別攻擊則需要數(shù)周甚至數(shù)月���。
雖然外部工具遠超過內(nèi)部威脅�����,但與知識產(chǎn)權(quán)有關(guān)相關(guān)時��,內(nèi)部攻擊有抬頭趨勢�。作為專業(yè)的數(shù)據(jù)庫安全專家��,安華金和建議從以下幾點措施來實現(xiàn)數(shù)據(jù)的安全防護:
措施一:通過數(shù)據(jù)庫漏掃定期對數(shù)據(jù)庫進行安全巡檢�,發(fā)現(xiàn)數(shù)據(jù)庫使用中的安全隱患���,及時人工進行加固��;
措施二:安全管理員要了解本單位數(shù)據(jù)庫中的數(shù)據(jù)資產(chǎn)�����,采取有針對性的安全防御措施����,通過對數(shù)據(jù)庫中的敏感字段加密存儲,防“拖庫”���;
措施三:通過數(shù)據(jù)庫防火墻實現(xiàn)數(shù)據(jù)庫的外圍防御圈�����,構(gòu)建數(shù)據(jù)庫的可信訪問環(huán)境���;
網(wǎng)絡上可信:串聯(lián)數(shù)據(jù)庫防火墻后,黑客無法繞過數(shù)據(jù)庫防火墻直接訪問數(shù)據(jù)庫����。
應用服務器可信:通過IP/MAC綁定,確保只有授權(quán)服務器�、設(shè)備訪問數(shù)據(jù)庫。
措施四:底線防守����,超過閥值限制的批量查詢操作攔截��,繞過合法應用的訪問阻斷�����,禁止本地登錄��;
措施五:對數(shù)據(jù)庫的敏感操作����,一定要全部記入審計記錄�,如果出現(xiàn)違規(guī)操作可以通過事后追責定責。
數(shù)據(jù)庫已經(jīng)成為數(shù)據(jù)泄漏的重災區(qū)����,在核心數(shù)據(jù)掌握企業(yè)命脈的年代,數(shù)據(jù)庫的防護成為整個安防體系中不可或缺的環(huán)節(jié)����。
產(chǎn)品咨詢:4000 258 365 
