中国法律网
法律通行证: 用户名: 密码:  注册
律师加盟热线:400-8919-913   律信通 律信通  
律师
公众 咨询 贴吧
律信通 案件委托
频道 房产 婚姻 交通事故 保险 建设工程 劳动
留学
公司 合同 刑事辩护 医疗 知识产权 工商
新闻 宽频 文书 常识 案例
法规 专题 杂志 百科 论文
查找全国各地律师: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 点击各城市名拼音首字母查找律师 公众找律师,信赖律信通!律师做宣传,首选律信通!
网络法律新闻
中国法律网 > 网络法律法律 > 网络法律新闻 > 正文
您好,点击直达北京分站>>
该频道下
首页 法制新闻 法律咨询 网络法律律师 常识 案例 文书 贴吧  
 

数据库泄看信息系统安全

中国法律网 来源:互联网 2012-3-27 我要评论 『双击自动滚屏』
      2011年末国内最大程序员社区CSDN的数据库泄露事件横扫整个中国互联网,引起了亿万网民的关注、怀疑互联网的安全性, 似乎一夜之间数据外泄和数据库安全成为流行。其实不然,数据外泄从05年开始就在国外爆发,典型代表为美国的数千万信用卡数据失窃事件。

  从历史上看,往往一个大的事件会引起人们的警醒,甚至一定程度会影响到法律法规的制订和全员对安全意识和手段的提高。面对此类安全事件,我们需要的不是过多的责难,而是不断改进的问题本,站在信息系统安全高度来看待这些层出不穷的安全事件。

  信息安全不能头痛医头脚痛医脚

  这次事件引发了很多互联网企业、电子商务、电子政务等诸多在线业务系统关于数据库防泄露的探讨与分析,安全厂商也纷纷拿出了各自的防数据库信息泄露的解决方案。深入分析这次事件,不难看出,数据库泄露事件仅仅是信息安全事件的一种表现形式而已。这次被公布的账户信息不过是黑客产业链输出的已经失去价值的信息残渣;这背后可能存在修改核心数据库的记录、获取特定社会公众人物的重要信息、涉嫌大宗商业诈骗等违法行为等更为严重的不为人知的恶性安全事件。亡羊补牢为时不晚,但若我们安全建设的策略仅聚焦在数据泄露这个安全事件的表象上,这将会是危险的。

  信息安全建设切忌头痛医头脚痛医脚,如前些年网站出现的大量篡改事件,从而导致防篡改解决方案、防篡改产品,防篡改要求纷纷上阵;去年医药价格的暴光推动了防统方的需求。这都表现为过于被动的安全策略,如果没有CSDN账户信息的大量丢失事件,可能我们对信息安全依然陌生,对WEB应用系统的安全仍然停留在防篡改的层面,对WEB攻击的认识只会知道有SQL注入,对数据库安全认识也只是弱口令。这些事件给我们的信息安全建设敲响了警钟。值得庆幸的是这次事件的很多受害网友都是程序员,因此也直接增强了程序员安全意识教育。对于信息系统的安全建设我觉得应该从如下几个方面着手考虑。

  安全意识的培养与管理层的重视

  很多人都听说过“七分管理,三分技术”,也听说过“70%风险来自内部”,这两个准黄金分割其实没有必然联系,其实谁在管理,如何管理,如何运用合理的技术,如何控制风险,如何把风险降到可控的范围,里面最重要的是人,特别是管理层的决策。从我这些年的观察来看,在实践中大部分都体现了人性的一些弱点“不遇到痛处,不会意识到”。伴随着08奥运安保、09建国60周年、10年世博会和亚运会安保活动的成功,一个功劳是进行全国性的信息安全教育和安全意识的提高(尤其是在领导层面),这方面的影响将是深远的,而且这次数据库信息泄露事件我想最值得总结的教训就是应当提高管理层的安全意识和决策层对信息安全的重视。很多企业信息安全没有专职部门,甚至只是网管部门某个职工的兼职工作内容。这样的组织架构是很难落实信息安全工作的。我们应优化组织架构,尽可能建立专职部门并赋予一定的权限,这样才能较好地展开信息安全建设工作。

  立足信息系统安全的高度来看待问题

  信息安全是一项系统工程,我们在进行安全的规划就是应立足系统安全的高度来分析需求。从基本的物理安全、:机房门禁制度、网络访问控制、操作系统安全、应用安全、安全访问人员的认证、授权、审计管理等,其中任何一个环节安全措施处理的不当都有可能带来严重的后果。比如我们信息资产的价值与敏感程度是与相应的访问角色相对应,从核心数据库的维护、管理、中间件读取再到普通用户的浏览的每一个层面的权限控制、访问审计等安全措施是否到位都应纳入其中。

  信息安全是技术和管理的统一体,内部运维和外部访问的安全管理同等重要。安全管理制度要建立,但更需采用一定的手段来监测我们的管理制度能否落到实处。比如我们的制度要求定期修改密码、敏感数据访问需要审批、权限调整变更需要审批,但这些制度是否得到执行我们不得而知。内部管理工作应采用制度建设与技术手段相结合的方式来展开,如我们对数据库的操作进行审计,上述的制度是否得到有效执行将能直观的体现到审计报表中,从而促使管理制度得到良好的执行。

  以信息资产的价值来权衡安全的投入

  我想强调的是我们做信息安全规划时应当以信息资产的价值重要程度和相应的安全风险来决定信息安全的投入。网站仅为了发布一些日常信息时,可能部署一套防篡改软件就足够了,但如果我们是一个重要的交易系统,或者是涉及大量用户信息的社交网络则需要更为全面的安全考虑。

  比如我们的网上应用系统由大量服务器群构成,如文件服务器、缓存服务器、多媒体服务器、广告服务器、交易应用服务器、账户会话服务等等,我们在制定安全策略时应当对风险指数高的交易服务器、账户会话服务器进行较多的安全投入,而不需要对所有的服务器都采用相同的安全策略从而带来巨大的信息安全投入本成。

  应具有社会责任感

  最后我想说的是以信息技术为载体的企业,无论是专业的安全公司还是互联网企业都应具有良好的社会责任感。如今几乎所有银行、证券、电信、移动、政府以及电子商务企业都提供在线交易、查询和交互服务,这也意味着社会公民的财产、身份信息、账户信息、家庭信息、社交关系等均在互联网上有了全面的记录。如果其中的某个环节的信息被泄露,这些信息将可能被别有用心的人关联起来,并结合社会工程学等攻击手段给我们广大民众带来非常大的威胁。

  比如近期的信息泄露可能导致社会民众的恐慌,而日益严重的如网页挂马、网络钓鱼也给民众造成了实质性的伤害,可能这些安全问题对我们服务器本身、核心数据库、业务等并不会有直接的影响;用户因为这些安全问题遭受经济损失后,从法律上讲,也许我们的企业并没有承担责任的义务,但我们应在这几个方面加强安全防御措施,尽可能降低类似事件的发生,不但为健康的网络环境做一份贡献,同时也是为我们自己的企业信誉做一份努力。

上一条: · 电商诚信体系缺失
下一条: · 男子利用木马病毒程序诈骗暴富 半年换五辆豪车
  最新网络法律新闻: 
·张文才出任世界银行常务副行长兼首席行政官
·网上标价5600元卖“教师证”“买家”称认证
·信息网络空间言论发表法律边界
·谈网络上不正当竞争行为的法律适用与立法完善
·浅析信托财产权和信托法律关系
  最新网络法律咨询: 
·申请个体工商户有什么要求(1回复)
·调整养老金问题(0回复)
·产假工资怎么发(0回复)
·离婚财产(1回复)
·用公司的名义个人在网络叫人交钱交风水知识(1回复)
  北京网络法律律师:   
全部网络法律律师>>
 
全部北京律师>>
 
欢迎您加入
欢迎您加入
欢迎您加入
欢迎您加入
欢迎您加入
欢迎您加入
网友评论  
 
  免费法律咨询 在线委托案件
  咨询在线律师 查看律师电话
 
  按专业频道查看法制新闻
民事类
拆迁安置 民商事务 医疗纠纷 交通事故 合同纠纷 人身损害
工伤赔偿
婚姻家庭 遗产继承 保险理赔 消费权益 抵押担保
经济类
纳税筹划 工程建筑 房产纠纷 个人独资 金融纠纷 经济仲裁
污染损害
知识产权 连锁加盟 银行保险 不当竞争 网络法律
刑事行政
取保候审 刑事辩护 刑事自诉 行政复议 行政诉讼 国家赔偿 公安国安 公司犯罪 海关商检 工商税务
公司类
公司诉讼 股份转让 破产解散 资产拍卖
企业改制 公司清算 公司收购
涉外类
海事海商 外商投资 合资合作 涉外仲裁
非诉类
工商查询 资信调查 私人律师 合同审查 常年顾问 移民留学
 
用谷歌搜本站
 
用百度搜本站
 
网络法律新闻
最新
推荐
热点
 
  网络法律视频                    全部>>
美国地方法律把网络骚
盛大网络被侵权案
法律讲堂 还我屠龙刀
网上三句话
中国法律网 版权所有 邮箱:service@5Law.cn 建议使用:1024x768分辨率,16位以上颜色 | 京ICP备2023040428号-1联系我们 有事点这里    [切换城市▲] 公司法
关闭
400-8919-913 工作日:9:00-18:00
周 六:9:00-12:00

法律咨询5分钟内回复
请用微信扫描二维码
关闭

关注网站CEO微信,与CEO对话