2011年末国内最大程序员社区CSDN的数据库泄露事件横扫整个中国互联网,引起了亿万网民的关注、怀疑互联网的安全性, 似乎一夜之间数据外泄和数据库安全成为流行。其实不然,数据外泄从05年开始就在国外爆发,典型代表为美国的数千万信用卡数据失窃事件。
信息安全不能头痛医头脚痛医脚
这次事件引发了很多互联网企业、电子商务、电子政务等诸多在线业务系统关于数据库防泄露的探讨与分析,安全厂商也纷纷拿出了各自的防数据库信息泄露的解决方案。深入分析这次事件,不难看出,数据库泄露事件仅仅是信息安全事件的一种表现形式而已。这次被公布的账户信息不过是黑客产业链输出的已经失去价值的信息残渣;这背后可能存在修改核心数据库的记录、获取特定社会公众人物的重要信息、涉嫌大宗商业诈骗等违法行为等更为严重的不为人知的恶性安全事件。亡羊补牢为时不晚,但若我们安全建设的策略仅聚焦在数据泄露这个安全事件的表象上,这将会是危险的。
信息安全建设切忌头痛医头脚痛医脚,如前些年网站出现的大量篡改事件,从而导致防篡改解决方案、防篡改产品,防篡改要求纷纷上阵;去年医药价格的暴光推动了防统方的需求。这都表现为过于被动的安全策略,如果没有CSDN账户信息的大量丢失事件,可能我们对信息安全依然陌生,对WEB应用系统的安全仍然停留在防篡改的层面,对WEB攻击的认识只会知道有SQL注入,对数据库安全认识也只是弱口令。这些事件给我们的信息安全建设敲响了警钟。值得庆幸的是这次事件的很多受害网友都是程序员,因此也直接增强了程序员安全意识教育。对于信息系统的安全建设我觉得应该从如下几个方面着手考虑。
安全意识的培养与管理层的重视
很多人都听说过“七分管理,三分技术”,也听说过“70%风险来自内部”,这两个准黄金分割其实没有必然联系,其实谁在管理,如何管理,如何运用合理的技术,如何控制风险,如何把风险降到可控的范围,里面最重要的是人,特别是管理层的决策。
立足信息系统安全的高度来看待问题
信息安全是一项系统工程,我们在进行安全的规划就是应立足系统安全的高度来分析需求。从基本的物理安全:机房门禁制度、网络访问控制、操作系统安全、应用安全、安全访问人员的认证、授权、审计管理等,其中任何一个环节安全措施处理的不当都有可能带来严重的后果。比如我们信息资产的价值与敏感程度是与相应的访问角色相对应,从核心数据库的维护、管理、中间件读取再到普通用户的浏览的每一个层面的权限控制、访问审计等安全措施是否到位都应纳入其中。
以信息资产的价值来权衡安全的投入
我想强调的是我们做信息安全规划时应当以信息资产的价值重要程度和相应的安全风险来决定信息安全的投入。网站仅为了发布一些日常信息时,可能部署一套防篡改软件就足够了,但如果我们是一个重要的交易系统,或者是涉及大量用户信息的社交网络则需要更为全面的安全考虑。
应具有社会责任感
最后我想说的是以信息技术为载体的企业,无论是专业的安全公司还是互联网企业都应具有良好的社会责任感。如今几乎所有银行、证券、电信、移动、政府以及电子商务企业都提供在线交易、查询和交互服务,这也意味着社会公民的财产、身份信息、账户信息、家庭信息、社交关系等均在互联网上有了全面的记录。如果其中的某个环节的信息被泄露,这些信息将可能被别有用心的人关联起来,并结合社会工程学等攻击手段给我们广大民众带来非常大的威胁。
[ 此帖被西小夏在2012-04-05 17:54重新编辑 ]
