9. 數(shù)據(jù)庫通信協(xié)議漏洞

數(shù)據(jù)庫通信協(xié)議設(shè)計的漏洞，可能被攻擊者利用，造成數(shù)據(jù)的泄漏。

除了上述泄密風(fēng)險，中安威士在長期的數(shù)據(jù)庫防泄密實(shí)踐中還發(fā)現(xiàn)如下嚴(yán)重的泄密風(fēng)險：

1. 惡意軟件

攻擊者使用木馬病毒技術(shù)，通過郵件、圖片等偽裝方式，將惡意軟件安裝到數(shù)據(jù)庫管理和運(yùn)維人員的電腦上，攻擊者利用管理員的電腦，竊取或者破壞數(shù)據(jù)庫中的數(shù)據(jù)；

2. 明文存儲

目前絕大多數(shù)數(shù)據(jù)庫的數(shù)據(jù)文件都是以明文形態(tài)保存的。在數(shù)據(jù)的產(chǎn)生、使用、傳輸、保存、備份、銷毀的整個生命周期內(nèi)，任何接觸到存儲介質(zhì)的攻擊者，都有可能獲取到數(shù)據(jù)；

3. 研發(fā)測試環(huán)境泄密

使用帶有敏感信息的真實(shí)數(shù)據(jù)進(jìn)行系統(tǒng)的開發(fā)和測試，雖然保證了開發(fā)測試環(huán)節(jié)的準(zhǔn)確性和一致性，但是由此帶來了巨大的數(shù)據(jù)泄露風(fēng)險。

市場上現(xiàn)有的網(wǎng)絡(luò)安全和操作系統(tǒng)安全產(chǎn)品，都從不同的方向提供對數(shù)據(jù)的防護(hù)，但是由于距離真實(shí)數(shù)據(jù)較遠(yuǎn)，都無法從根本上防止這些數(shù)據(jù)庫泄密風(fēng)險。只有在現(xiàn)有的安全防護(hù)體系中，補(bǔ)充對數(shù)據(jù)庫的防護(hù)這一環(huán)節(jié)，部署“術(shù)業(yè)有專攻”的數(shù)據(jù)安全管理系統(tǒng)，才能從根本上解決數(shù)據(jù)安全問題。

四、根據(jù)數(shù)據(jù)訪問人員進(jìn)行選擇

具有敏感數(shù)據(jù)訪問權(quán)限的人員是數(shù)據(jù)泄密的重要途徑，本節(jié)根據(jù)數(shù)據(jù)訪問人員進(jìn)行產(chǎn)品組合的選擇。

五、根據(jù)客戶業(yè)務(wù)系統(tǒng)類型選擇

內(nèi)部：人事系統(tǒng)，財務(wù)系統(tǒng)，OA系統(tǒng)。

外部：電商平臺，CRM，呼叫中心系統(tǒng)等。

六、根據(jù)合規(guī)性要求選擇

由國家公安部提出并組織制定,國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》、《信息安全等級保護(hù)管理辦法》中涉及數(shù)據(jù)庫安全相關(guān)規(guī)定與產(chǎn)品的對應(yīng)關(guān)系。

《中華人民共和國網(wǎng)絡(luò)安全法》由全國人民代表大會常務(wù)委員會于2016年11月7日發(fā)布，自2017年6月1日起施行。

 2/2   首頁 上一頁 1 2