安恒信息数据安全防“脱库”解决方案实用文档.doc资源-CSDN文库

92 浏览量 2022-12-01 08:03:41 上传评论收藏 1.28MB DOC 举报

资源推荐

资源详情

资源评论

安恒信息数据安全防“脱库”解决方案

1.前言

近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载，国内外媒

体频繁报道，影响恶劣，引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数

据正逐步公开，各报道中也针对系列事件向用户提出密码设置策略等安全建议。

注册用户数据作为网站所有者的核心信息资产，涉及到网站及关联信息系统的实质业务，对

其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台，如果在实名制的网站出

现用户数据泄露事件，将会产生更恶劣的影响。

针对近期部分互联网站信息泄露事件，工信部于 2021 年 12 月 28 日发布通告要求：各互联

网站要高度重视用户信息安全工作，把用户信息保护作为关系行业健康发展和企业诚信建设的

重要工作抓好抓实。发生用户信息泄露的网站，要妥善做好善后工作，尽快通过网站公告、电

子邮件、、短信等方式向用户发出警示，提醒用户修改在本网站或其他网站使用的相同用户

名和密码。未发生用户信息泄露的网站，要加强安全监测，必要时提醒用户修改密码。

各互联网站要引以为戒，开展全面的安全自查，及时发现和修复安全漏洞。要加强系统安

全防护，落实相关网络安全防护标准，提高系统防入侵、防窃取、防攻击能力。要采用加密方式

存储用户信息，保障用户信息安全。一旦发生网络安全事件，要在开展应急处置的同时，按照

规定向互联网行业主管部门及时报告。

工信部同时提醒广大互联网用户提高信息安全意识，密切关注相关网站发布的公告，并根据

网站安全提示修改密码。提高密码的安全强度并定期修改。

2.信息泄密的根源

2.1.透过现象看本质

2.1.1.攻击者因为利益铤而走险

攻击者为什么会冒着巨大的法律风险去获取用户信息？

2001 年随着网络游戏的兴起，虚拟物品和虚拟货币的价值逐步被人们认可，网络上出现了

多种途径可以将虚拟财产转化成现实货币，针对游戏账号攻击的逐步兴起，并发展成庞大的虚拟

资产交易市场；

2004 年-2007 年，相对于通过木马传播方式获得的用户数据，攻击者采用入侵目标信息系统

获得数据库信息，其针对性与攻击效率都有显著提高。在巨额利益驱动下，网络游戏服务端成为

黑客 “拖库”的主要目标。

2021 年-2021 年，国内信息安全立法和追踪手段的得到完善，攻击者针对中国境内网络游戏

的攻击日趋收敛。与此同时残余攻击者的操作手法愈加精细和隐蔽，攻击目标也随着电子交易

系统的发展扩散至的电子商务、彩票、境外赌博等主题网站，并通过黑色产业链将权限或数据

转换成为现实货币。招商加盟类网站也由于其本身数据的商业业务价值，成为攻击者的“拖库”

的目标。

2021 年，攻防双方经历了多年的博弈，国内网站安全运维水平不断提升，信息安全防御产

品的成熟度加强，单纯从技术角度对目标系统进行渗透攻击的难度加大，而通过收集分析管理

员、用户信息等一系列被称作“社会工程学”的手段的攻击效果被广大攻击者认可。获得更多的

用户信息数据有利于提高攻击的实际效率，攻击者将目标指向了拥有大量注册用户真实详细信

息的社区及社交网站，并在地下建立起“人肉搜索库”，预期实现：获知某用户常用 ID 或

EMAIL，可以直接搜索出其常用密码或常用密码密文。

2021 年 12 月 21 日，仅仅是在这一天，攻击者曾经获取到的部分数据库信息内容被陆续地

公开了。

2.1.2.应用层防护百密而一疏

在当今信息安全意识、信息安全产品都日益成熟的年代，为何入侵者获取数据依然如入无人

之境? 很多人认为，在网络中不断部署防火墙、IDS、IPS 等设备，可以提高网络的安全性。但是

为何基于应用的攻击事件以及相应的“泄库事件”仍然不断发生?其根本的原因在于传统的网络

安全设备对于应用层的攻击防范，作用十分有限。

我们可以通过下面例子来举例黑客是如何常规获取信息系统的数据库信息的：攻防回合的延

续包括传统安全设备使黑客入侵服务端主机系统难度加大，而 WEB 应用的登录入口表明了 WEB

应用程序与用户数据表之间存在关联，通过入侵 WEB 网站获得数据库信息成为针对网站数据库

攻击的主要入手点，常见的攻击步骤如下：

一、寻找目标网站（或同台服务器的其他网站）程序中存在的 SQL 注入、非法上传、后台管

理权限等漏洞；

二、通过上述漏洞添加一个以网页脚本方式控制网站服务器的后门，即：WEBSHELL；

三、通过已获得的 WEBSHELL 提升权限，获得对 WEB 应用服务器主机操作系统的控制权，并

通过查看网站数据库链接文件，获得数据库的链接密码；

四、通过在 WEB 应用服务器上镜像数据库连接，将目标数据库中所需要的信息导入至攻击者

本地数据库（或直接下载服务器上可能存在的数据库备份文件）；

五、清理服务器日志，设置长期后门。

目前攻击者以团队为单位，无论从工具的制造、攻击实施的具体手法都已经形成了体系化、

趋利化的作业流程。

此例中我们发现，黑客针对应用系统的攻击已经完全无视传统的网络安全，而应用安全的建

设恰好能够弥补网络安全的不足，提升了整个信息系统安全强度，能够有效地阻止黑客针对性的

应用层攻击，降低数据信息被泄露的风险

2.2.防泄密防好应用安全这块板

随着互联网技术的迅猛发展，许多政府和企业的关键业务活动越来越多地依赖于 WEB 应用，

在向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。主要表现

在两个层面：一是随着 Web 应用程序的增多，这些 Web 应用程序所带来的安全漏洞越来越多；二

是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性

和经济利益驱动非常明显。

然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层

面，致使面临应用层攻击（如：针对 WEB 应用的 SQL 注入攻击、跨站脚本攻击等）发生时，传

统的网络防火墙、IDS/IPS 等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为

黑客组织成批传播木马的最有效途径，也将可能成为下一个被攻击者所公开的潜在网站数据。

据 Gartner 权威统计，目前 75%的黑客攻击发生在 WEB 应用层，近期层出不穷的安全事件均

源于 WEB 应用层防护不到位所致，应用系统漏洞的根源还是来自程序开发者对网页程序编制和

检测。未经过安全训练的程序员缺乏相关的网页安全知识；应用部门缺乏良好的编程规范和代

码检测机制等等。解决此类问题必须在 WEB 应用软件开发程序上整治，仅仅靠打补丁和安装防火

墙是远远不够的。

随着攻击向应用层发展，传统网络安全设备不能有效的解决目前的安全威胁，企业如何有效

地防止企业信息泄密，重点在于如何做好应用安全。

3.防信息泄密的建设思路

信息安全是一项系统工程，包括物理层、网络层、系统层、应用层、数据层以及管理方面的内容。

信息系统的某一层面安全了不能代表信息系统就安全了，需要各方面严格把控和完善结合，对

于企业防信息泄密工程来讲，目前企业信息系统的物理层、网络层等已经具备了一定的安全性，

在本方案中重点关注系统安全、应用安全以及安全管理水平等方面的内容。

3.1.系统安全的重要性

企业的信息系统是多种信息资产的庞大组合，包括防火墙、路由交换设备、主机等；其所面

临的威胁也就是对系统能够造成不利影响的一些潜在的事件或者行为，威胁包括自然的、故意的

以及偶然的情况。

系统安全重点解决操作系统、数据库和服务器等系统安全级安全问题，以建立一个安全的系

统运行平台，建立有效的网络检测与监控机制，以保护主机资源，防止非法访问和恶意攻击，

及时发现系统和数据库的安全漏洞，有效抵抗黑客利用系统的安全缺陷对系统进行攻击，做到防

患于未然。

3.2.应用安全的必要性

只有系统安全的建议得到保障，再建设应用安全才能更加有效地降低信息泄露的风险。基于

B/S 架构对外提供服务的信息系统面临较大风险也是的应用层的攻击风险。

一方面由于 WEB 应用的开放性，随着 Web 应用程序的增多，这些 Web 应用程序所带来的安全

漏洞越来越多，而且这些漏洞均是应用层或者说是代理层面的安全问题，通过传统的网络安全设

备无法识别，这也是导致大量网站用户信息泄露的最主要原因之一。

另一方面受利益的驱使，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗，而且

这种攻击已经由简单的黑盒扫描渗透转向模块代码分析，源代码白盒分析等层面进行挖掘漏洞，

若应用层面得不到有效的安全控制将导致非常严重的后果。

3.2.1.应用安全的范畴

以 B/S 常见的对外提供服务的网站、论坛、业务系统等所涉及到的应用安全主要由以下几个

方面构成。

一、访问控制：针对用户及恶意攻击者访问信息时进行有效地控制，对于正常请求允许访问，

对于恶意请求应及时进行阻止；

二、信息保护：针对于恶意攻击者进行敏感信息访问时应及时保护；

三、安全审计：对业务系统的运行应具备安全审计功能；

四、数据库应用安全：应针对数据库系统进行安全检查，对数据库的操作行为应进行安全监

控。

五、软件容错：应用系统及数据库在上线前后及更新时应做好安全性测试，减少系统存在漏

洞的可能性，避免有漏洞的系统对外发布。

以上几方面的内容都应具有相应的技术手段和管理制度来实现信息系统的应用安全。

3.2.2.应用安全的时效性

应用安全从整个信息安全的生命周期中是一个动态的、长期的过程，是从建设开始，风险评

估、安全加固、安全防护、安全审计、再评估、再加固的过程。而从实际应用考虑，应用安全至

少应满足以下要求：

一、事前预警：通过应用系统及数据库的风险评估，发现可能存在的信息泄密点，并进行

安全加固随着应用系统及数据库的不断升级，企业能够及时了解并掌握应用系统及数据库自身是

否存在着安全隐患，尽可能地避免漏洞对外发布，降低信息受泄密的危害；

二、事中防护：恶意攻击者对应用系统及数据库进行攻击或恶意操作时，管理人员及系统

能够具有有效地手段阻止恶意行为的发生，减少信息泄密的发生次数，避免对企业和信息造成影

响；

三、事后追溯：对于何人何地何时访问企业信息时能够具有追溯手段，对发生的信息泄密

事件提供查询工具，方便维护人员及管理员进行事件跟踪和定位，并为事件的还原提供有力依据。

3.2.3.应用安全的防护方法

传统网络层安全防护措施和防御体系在安全管理中相当重要，但在面临数据被泄露的安全问

题中，应用安全的防护能力更加重要。使用安恒信息技术所提倡的一种基于风险评估模型及“事

前+事中+事后”的安全理念的结合传统网络层防护措施的新型应用安全解决方案，将有效降低

应用安全风险和出现被泄露信息的风险。

风险评估与加固层面

威胁一个信息系统的风险可能来自不同的层面，从网络层、系统层到应用层，都有可能形成

对信息系统直接或间接的威胁。通过风险评估对整个信息系统进行有效地安全评估，发现信息

系统技术与管理方面存在的威胁。通过专业安全团队的加固，减少或降低威胁对系统造成的影响，

避免因存在的威胁造成的信息泄密影响。

事前安全防范层面

当前绝大多数企业缺少必备的 WEB 安全和数据库安全的评估工具，使事前的风险评估难以实

施。专业的安全产品需要有效的安全策略才能发挥应有的功能，而事前的安全评估则显得尤为

重要。企业业务系统最重要的资产集中在 WEB 应用层和数据库系统，因此长期有效的保障企业业

务系统的安全，安全运维人员应有必备的安全评估工具及技术实力。

事中安全防护层面

安全的信息系统需要涉及物理层、网络层、主机层、应用层方方面面的安全防御措施。目前

绝大多数的企业基本上把信息系统的相关主机托管至 IDC 机房，根据 IDC 的不同等级分别具备

了物理层安全和网络层安全。但企业尚缺少有力的安全防御措施如专业的远程安全接入主机的

VPN，网络防火墙，WEB 应用防火墙等安全设施，应切实建设相应的安全防御措施，提高系统的

抗风险能力。

事后安全审计层面

企业核心数据库存贮有大量的用户信息，以及大量的有价值的其它信息资产。如果处理不当

敏感的数据库信息被窃取将会导致极大的信誉危机，对企业造成重大影响。本项目中应部署专

业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性，针对违规操作、异

剩余78页未读，继续阅读

评论收藏

内容反馈

yyyyyyhhh222

粉丝: 448
资源: 6万+

安恒信息数据安全防“脱库”解决方案实用文档.doc

安恒信息电子政务网站安全防护解决方案.doc

安恒信息医疗行业防统方系统解决方案.doc

安恒信息高校应用及数据库安全方案网络安全解决方案.docx

安恒信息高校应用及数据库安全方案网络安全解决方案.pdf

安恒信息电信行业数据库安全审计解决方案.doc

安恒信息电子政务网站安全防护解决方案知识.pdf

安恒信息电子政务网站安全防护解决方案定义.pdf

安恒信息医疗行业安全解决方案.docx

明鉴远程安全评估系统用户手册(安恒堡垒机详细配置手册）.doc

安恒信息高校应用及数据库安全解决方案

安恒信息-产品&服务技术白皮书.pdf

安恒信息明御WEB应用防火墙产品白皮书.doc

安恒信息电信行业数据库安全审计解决方案.pdf

安恒物联网安全芯片解决方案20210107.pptx_17699(1).pdf

安恒资产安全及漏洞管理解决方案.docx

安恒网站卫士网页防篡改系统操作手册.doc

安恒信息产品及解决方案.pdf

安恒信息电子政务网站安全防护解决方案.docx

安恒信息电子政务网站安全防护解决方案.pdf

2019年大数据优秀产品和应用解决方案案例.doc.pdf

集团公司网络安全解决方案.doc

AiGuard高校数据安全解决方案

计算机行业专题报告：安恒数据安全岛平台：隐私计算践行者.pdf

安恒ctf misc crypto 培训资料合集

「数据安全」安恒信息 助力安全中国 助推数字经济 - 技术分析.zip

2019年大数据优秀产品和应用解决方案案例.doc(20210925190057).pdf

相关实用应用程序（Windows可用）

李飞飞自传 我看见的世界 The World I see

最新资源

「数据安全」安恒信息助力安全中国助推数字经济 - 技术分析.zip

李飞飞自传我看见的世界 The World I see