看過電影《葉問》都會記住一句經典的台詞——“我要一個打十個”。這句話不僅顯示了葉問師傅的豪情,同樣顯出了他對自己武學的自信。這種以少勝多,以弱勝強的例子不僅在武術領域,就是在軍事領域發生也會被奉為經典。但人們在感慨事件發生的不可思議的同時,更好奇它是如何產生的。在當今混亂或者安全威脅有點一面倒的信息時代,對於想防護企業數據安全的老總們和安全管理員來說,更是亟不可待地想要知道在數據、信息安全領域能以少勝多的方法。 .
克敵秘訣之一:知己知彼 了解數據、信息安全內外形勢
.
“知己知彼,百戰不殆”這句古老的諺語已經被無數次驗證,自然地在數據、信息安全防護的領域同樣適用。
.
【內部形勢——數據本源的威脅越來越多】對於數據本源的安全與否,從數據庫的安全多少能看出些端倪來。
.
數據庫安全的那點事兒,可能是每個DBA都會遇到的問題,同時也是最容易忽略的事。因為大多數開發團隊都將精力放在了功能的實現上,很少去考慮安全相關的事兒,這也就給了黑客可乘之機。 .
“我最初在一家小型BBS社區工作,主要是管理BBS的數據庫系統。這家公司人數不多,主營業務在行業內競爭比較激烈。我還清晰的記得,某天中午正在吃飯,就被叫回公司,同事焦急地說:“我們可能被黑了,所有BBS注冊用戶的金幣都多了10倍。”這意味著憑空而來的金幣會導致社區用戶對人民幣充值的熱情降低,直接影響公司的收入。 .
我首先想到的是有人入侵了數據庫修改了數據,所以仔細的查了一下數據庫的情況,看有沒有留下一點痕跡。其實對於一個剛工作不久的DBA來說,我的經驗不多,遇到問題還是有些措手不及。在忙亂中折騰了1個多小時,最後我終於想到了mysql的查詢日志(querylog),仔細查看這個日志,發現從10.10.1.23這個IP發過來這樣一條sql語句:updateaccountsetjinbi=jinbi*10。對了!就是它了,正是這個sql語句導致了所有BBS用戶的金幣都多了10倍。接下來我檢查了10.10.1.23這個IP,這台機器其實是一台備機,還沒有啟用,所以操作系統安全等方面做的不夠全面,黑客正是通過這台機器來操作數據庫的。同時我又檢查了一下mysql的權限,其中主機IP寫的是10.10.*,寫的是一個段的IP,正是因為這個設置,導致了黑客使用了有漏洞的機器來進行修改數據庫的操作。” .
這個案例深刻的告訴我mysql的權限控制有多重要。如果當時mysql的訪問權限將IP設置為只允許應用服務器來連接的話,也不會出現這樣的後果,所以今後的這幾年我都很重視mysql的訪問權限控制,僅允許必須的服務器來連接數據庫,沒有用的IP都屏蔽掉了。另外,就是querylog的重要性,因為它記錄了所有嘗試連接mysql的請求,如果某個IP不停的發出連接請求,並且總是用戶名和密碼錯誤,那麼DBA就應該重視了,這樣的操作很有可能就是黑客在嘗試猜測mysql密碼,這也是很危險的,應該及時采取措施來應對。 .
總之,安全無小事,一定要引起重視,同時要有良好的安全意識,因為良好的習慣是工作順利進行的保證。在了解安全無處不在的同時,我們也該清醒地意識到數據本源的威脅正越來越近。 .
【外部形式——國際網戰日趨明顯 黑色預算浮出水面】據某報獲得的絕密文件顯示,美國情報機構在2011年實施了231次網絡攻擊行動,這是最前沿的秘密行動,它將互聯網作為進行偵察、顛覆和作戰行動的戰場。 .
美國國家安全局前雇員愛德華·斯諾登提供的一份機密情報預算披露了最新的證據,表明奧巴馬政府的黑客組織滲透和干擾外國計算機網絡的活動在不斷升級。 .
此外,在一場代號為“妖怪”的大規模行動中,美國計算機專家滲透進入外國網絡,讓這些網絡都處於美國的秘密監控之下。預算文件稱,這一耗資6.52億美元的項目每年將遠程傳輸的復雜惡意軟件“秘密植入”數以萬計的計算機、路由器和防火牆內,且還計劃將這一數字擴展至每年數以百萬計。 .
斯諾登提供的文件及對前美國官員的采訪表明,美國的計算機滲透活動比之前預料的范圍更廣且更具侵略性。奧巴馬政府將所有網絡行動都列為機密,且拒絕承認這些行動的存在。
.
攻擊性網絡作戰行動的范圍和規模代表著一種政策的演變。在過去,這些政策旨在維護防止網絡侵權行為的國際准則,其部分原因在於美國的經濟和軍事實力在很大程度上依賴於計算機。
.
預算文件還稱,在2011年實施的231起網絡攻擊行動中,近四分之三針對的是“首要目標”,前美國官員稱其中包括伊朗、俄羅斯、中國和朝鮮等敵對國家及核擴散等行動。文件沒有就這些行動提供其他詳細信息。
.
這則新聞中的6.52億美元的驚人數字,讓國際 “網絡戰爭”動用的黑色預算浮出水面,從而反映出當今國際網絡信息安全的危險一觸即發。
.
克敵制勝秘訣之二:以不變應萬變 固守根基借力打力
.
雖然內外的安全形勢不容樂觀,但是作為想要防護個人、企業甚至是國家信息安全的人來說,防護好自己的根基,靈活應對才是上上之策。而固守根源在信息、數據安全防護領域來說數據加密時最好的選擇,同時為了增加靈活性,采用能適應各種加密環境,同時能自主選擇加密模式的多模加密技術則是上上之選。而山麗防水牆正是這種技術的典型代表。
.
克敵制勝秘訣之三:內外堅固 對症下藥
.
有了鞏固的根基和靈活的應對手段之後,想要徹底解決未來可能的發生的各種安全問題,防范於未然,企業就必須主動出擊。而主動出擊必須做到內外堅固,對症下藥。這裡山麗網安建議企業利用權限管理劃分內部數據、文檔操作、閱覽、使用等權限,從而最大限度的避免了誤操作和內鬼帶來的安全隱患;同時利用安全網關和預警系統從網絡節點防護和預警威脅兩方面量應對外部多樣的安全危機。 .
了解方法,最後就是最關鍵的信念。在電影中、決斗中、戰爭中是必勝的信念催生奇跡的發生,而在信息、數據安全防護領域,安全意識就是這關鍵的“信念”。良好的安全意識配合本源防護、靈活防護的數據安全產品或者加密軟件,相信定能在數據安全領域做到內外堅固、以弱勝強! .
.