|
|
楼主 |
发表于 2012-7-2 16:58:02
|
显示全部楼层
|阅读模式
来自 江苏省苏州市
日前,引起公众广泛关注的CSDN泄露案告破,在犯罪份子被绳之于法的同时,CSDN网站也因为数据泄露防护不到位而收到了我国落实信息安全等级保护制度以来的首例行政“罚单”。其实CSDN事件只是近年来众多企业数据泄露案例中的冰山一角,却是引发全社会互联网隐私担忧的一记响雷,让公众和监管部门开始强烈的要求企业保管好用户的隐私数据,工业和信息化部甚至编制《信息安全技术公共及商用服务信息系统个人信息保护指南》以指导和规范企业利用信息系统处理用户核心信息的过程。
数据之所以让众多黑客趋之若鹜,是因为数据的价值已经被广泛认可,数据交易的市场利益链也已生成。但与此同时存在的却是众多企业对数据安全问题缺乏危机感,一旦泄露发生才开始亡羊补牢,却已经付出企业形象、用户信任和经济损失等重要代价。在所有的泄露事件中,黑客轻易盗取用户数据库信息,很多企业数据库中的用户账户和密码居然是以明文形式存在,薄弱的信息安全防护意识让黑客轻易得手。由此甚至引发了全国网名大量更换密码的恐慌,更有网友发出了中国互联网无隐私,有“裸奔”的感慨。
然而,防护意识薄弱只是一个方面,黑客之所以能够如此顺利的攻破众多企业的信息安全防线,还有一个主要原因是在现代Web应用环境中,传统的防火墙、抗DDoS、流量控制等安全系统其实就如同一道马其诺防线。回顾近年来国内重大的安全事件,我们会看见企业面临的不再是过去操作系统漏洞或网络攻击威胁,黑客逐渐将视线转向企业网络对外的Web站点,例如:网络在线交易网站、企业的电子商务网站与企业内部的ERP、CRM系统等,针对Web服务器网页的应用层入侵大量出现,例如:SQL注入、跨站攻击、Cookie篡改等等,在这攻击面前基于静态特征检测的安全设备已然形同虚设。
回顾近年出现的数据泄露案,我们不难发现Web正是黑客实现数据窃取的攻击的主要目标,这是因为企业基于业务发展需求,不断将越来越多的应用和关键业务集中于web平台,使其成为了大量数据的所在地。
|
|
发表于 2012-7-4 10:34:24
