登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
我们需要共同协作
安全问题不是某个个人的职责,关键需要团队的协作。这对于应用程序的安全问题来说更是如此,信息安全人员、开发人员、系统和数据库管理员都包括在内,这就是团队协作。除非你所在的单位已经拥有了一个成熟的安全环境,而且已经使用安全类库来处理数据库调用和数据验证,在数据库和应用程序之间有一层数据访问层,并确保所有的数据库权限都受到了严格的限制,在这种情况下应当让所有团队成员参与并且了解高层次的应用程序。通过共同协作,所有人都可以了解到这些安全威胁,随后可以共同想出更好的解决方案来应对。所有参与网络应用和数据库开发维护管理的人员都应该对目前存在的安全威胁有一个充分的认识和理解,这是非常重要的。我们必须要确保所有人员都理解应用程序的所有技术通信原理和数据流,了解数据从哪里来,如何到那里去的,以及数据是否和多个应用程序进行通信。这就是关于数据库保护的第一层措施。
数据库保护的第二层措施是安全架构。安全设计的基础有时候也被称作为安全架构,也就是说当我们以安全的方式设计数据库环境时,应减少安全威胁。如果攻击者无法直接访问数据库,这样就降低了他们攻击的灵活性。我们为攻击者提供的活动空间越大,他们就越容易得手。同样的,从相反的角度来看,我们就需要在后续做更多的工作,也就是说你必须确保对数据库的访问仅限于在需要的情况下进行系统访问,而且所有的访问都经过认证和加密的,而且不能影响到会话池。保证网络和系统设计的安全将会对保护数据库大有帮助,添加了数据库访问路径的限制能够大大地降低风险。
数据库保护的第三层措施是威胁建模。确定威胁的过程被称为是威胁建模,过去威胁建模是用在应用程序安全方面,用于确定应用程序的最高风险,这样安全人员就可以重点关注在这一领域。这个概念开始延用到安全的其它领域中。应注意的是这不是一个新的理念,实际上保险行业已经采用此理念有数百年的历史了,我们互联网行业只是最近几年才吸纳这一理念,并开始就此主题发表了许多文章。
威胁建模包括将那些了解此应用程序的人以及相关领域的专家召集在一起,大家共同理解应用程序的不同部分、功能性和固有的威胁。花一定的时间来全面理解此应用程序以及相关的威胁,可以定制出相对应的保护和测试方案,可以节省时间或者在有限的时间和预算范围内最大程度地降低威胁。威胁建模对于安全人员来说可以提供一种很好的手段来掌握全局、分解风险区域并与各小组单独协作,确保保护措施落到实处。
在对多个应用程序或开发项目进行威胁建模时,应作好记录,找到应用程序的共通性。这些共通性可以用于审查内部数据库访问标准、授权访问以及优化访问过程。
在编写策略时应当涵盖常见情况,并且明确地为开发人员和数据库管理人员提供指导,确保人人手中都有一份参考资料。一旦这些步骤执行到位后,可以开始从基础做起向数据库环境添加安全措施。
虽然各个系统环境都不相同,但是数据库配置对于保护数据是最为重要的部分之一,应当实现的常见配置有:
1.应当有恰当的人员维护和更新用户名单,其中这些用户可以访问受管理的应用服务环境中数据库。
2.系统管理员和其他相关的IT人员应该有充分的知识、技能并理解所有的关键的数据库安全要求。
3. 当部署数据库到受管服务环境中时,应该采用行业领先的配置标准和配套的内部文档。
4. 对于数据库功能不需要的默认用户帐户,应该锁定或是做过期处理。
5. 对于所有仍在使用中的默认用户帐户,应该主动地变更密码以采用强密码措施。
6. 应该给数据库内的管理员帐户分配不同的密码,这些帐户不应使用共享密码或组密码。
7. 措施要到位,用于保护数据字典以及描述数据库中所有对象的支持性元数据。
8. 对于任何访问数据库的基于主机的认证措施,应当有足够的适当的过程来确保这种访问类型的整体安全。
9. 数据库监控应到位,由能够根据需要对相关的人员进行告警的工具组成。
10. 保证数据库应用了所有相关的和关键的安全补丁。
我们需要保护重要的数据
“一定要保护好数据库的重要数据”,因为数据库对于IT行业来说就好像是保管金银珠宝的保险库。如果保险库不安全,财宝就很容易失窃,那主人就不会开心。
保护数据库服务器的方式有网络分段、系统分离,并将数据库服务器放置在一层或多层保护网的后面。
有许多新的技术,包括数据库活动监控软件、数据丢失防护(DLP)、将数据库分割,放到依据数据分类或风险模型的系统中,还有确保低安全性的应用程序无法访问到高安全程度的数据库等。
根据访问权限和账号,如果有多个部门的用户因同一事件需要登陆进入同一应用程序,应该采取保护措施,以确保一个部门的人员无法访问另一个部门的数据。这可以在数据库层面上完成,方法是让各个部门分别创建各自的数据库或桌面;这样的话可以实现数据分离,而且可以使用不同的数据库账号来加以保护。应用程序可以使用单一账号用于非认证请求服务,比如说用户登录;一旦发生此类情况,应用程序可以将数据库账号切换至同用户部门相关联的另一个账号。在设定许可权限时要防止通用账户访问任何公司数据。
除此之外,部门A的数据库账号不能访问部门B的数据。这样就阻止了攻击者越过公司的安全防线并扩大其接触范围。在进行应用程序数据库账号转换时必须非常小心,因为攻击者可能通过SQL注入攻击来迫使应用程序改变其连接。在某些单位,开发人员会写下他们自己的SQL查询命令,而对于其它一些单位,查询命令是由数据库管理员来编写和优化,然后再提供给开发者。
在最安全的环境下,这些查询命令由数据库管理员编写和执行,作为存储过程。存储过程是由应用程序执行的预定义语句。这样就使得SQL注入攻击更加难于得到利用。在这种特殊情况下,如果没有存储过程的话,攻击者可能已经作为管理员登录进入此应用程序并且取得此数据库完全控制权,而且只需要得到管理员用户名称即可实现。
同时还需要建立敏感数据的安全边界。通过采取相应的技术措施,为用户的各种数据库建立一个关于数据的安全边界。我们可以将数据库服务器置于标准的网络防火墙后面,并限制访问,以确保我们了解什么系统能够访问你的数据库,从而降低风险。但是千万不要以为简单的配备一些防火墙就可以防范这些安全威胁,可能还会有其他我们未发现的未知风险存在!
安全人员在开发新的安全数据安全模型时,安全人员应该进行测试,以确保他们提供了需要的保护级别,并且没有引入新风险。最后关于实现数据基于策略的自动管理问题,它包括数据的分类、备份、迁移、删除等,实现全面的数据存储管理自动化,这样不但减少了人为出错的可能性,也提高了数据库的安全性和可用性。使用一套优质的解决方案按照标准的规范进行设计和部署,提供充分的灵活性、扩展性和安全性,满足数据库安全保管方面当前和今后的法规要求。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
6月6日,国家能源集团党组书记、董事长邹磊在集团总部会见上海电气集团党委书记、董事长吴磊,双方就进一步深化战略合作、实现共赢发展进行深入交流。上海电气集团党委委员、副总裁金孝龙,高级副总裁、大客户总监姚丹花,国家能源集团党组成员、副总经理徐新福参加会谈。邹磊对吴磊一行的到访表示欢迎
6月5日,国网唐山市乐亭县供电公司在乐亭二中考点组织开展应急演练,为高考筑牢“不断电”的安全屏障。高考是关乎莘莘学子的重要考试,电力供应的稳定性直接影响到考试的顺利进行。近年来,考试信息化程度不断提高,电力需求更加突出。随着高考临近,国网唐山市乐亭县供电公司对保电工作高度重视、提前
北极星储能网获悉,6月6日,阳泉市能源局印发《阳泉市能源领域碳达峰实施方案》,提到,鼓励大数据中心、电动汽车充(换)电站、虚拟电厂运营商以及储能运营商作为市场主体参与用户侧储能项目建设。积极构建多层次智能电力系统调度体系,提高电网调度智能化水平。到2025年,全市实现快速灵活的需求侧响
6月5日,绿色低碳环保产业·重庆推介会5日在重庆举行,吸引130余家企业参会,共有17个合作项目现场签约,涉及资金103.4亿元。同时,重庆市低碳环保服务业集聚区也在会上成立,并同步发布26项重点生态环保产业项目与技术需求清单,涉及治水、治气、治土、治废、绿色低碳等领域,投资金额约1005亿元。据
在推进新能源占比不断提升的新型电力系统构建进程中,煤电正经历着历史性的角色嬗变。今年,国家发展改革委、国家能源局联合印发《新一代煤电升级专项行动实施方案(2025#x2014;2027年)》(以下简称《实施方案》),新一代煤电升级专项行动正式启动,旨在推动传统煤电向“清洁降碳、安全可靠、高效调
拟推荐工业产品碳足迹核算规则团体标准推荐清单(第二批)公示为落实国务院办公厅《加快构建碳排放双控制度体系工作方案》(国办发〔2024〕39号),支撑建立产品碳足迹管理体系,经相关标准化机构推荐、专家评审等程序,形成拟推荐工业产品碳足迹核算规则团体标准清单(第二批),现予以公示。公示时间
6月5日,汉中市发改委发布汉中市电力高质量发展实施意见(草稿),文件指出,鼓励屋顶分布式项目开发,推动工商业屋顶分布式光伏发展,支持优先采用“自发自用”建设模式,鼓励分布式光伏项目配置储能设施,减小公共电网运行压力。住房城乡建设、发展改革、自然资源、财政、机关事务管理等部门,应当共
6月5日,国新办举行新闻发布会,介绍“深化提升‘获得电力’服务水平全面打造现代化用电营商环境”有关情况。国家能源局副局长宋宏坤在回答记者提问时表示,近年来,中国可再生能源总体保持了高速度发展、高比例利用、高质量消纳的良好态势,为保障电力供应、促进能源转型发挥了重要作用。截至今年4月
北极星储能网获悉,6月5日,广东惠州开展2025年惠州市推动新型储能高质量发展(支持制造业方向)资金项目入库工作。原文如下:关于开展2025年惠州市推动新型储能高质量发展(支持制造业方向)资金项目入库工作的通知各县(区)工业和信息化主管部门:根据《惠州市推动新型储能产业高质量发展行动方案》
绿色低碳环保产业·重庆推介会5日在重庆举行,吸引130余家企业参会,共有17个合作项目现场签约,涉及资金103.4亿元。同时,重庆市低碳环保服务业集聚区也在会上成立,并同步发布26项重点生态环保产业项目与技术需求清单,涉及治水、治气、治土、治废、绿色低碳等领域,投资金额约1005亿元。记者现场注
6月5日,遂宁市经济和信息化局发布关于印发《2025年重点行业领域节能监察工作方案》的通知。全文如下:关于印发《2025年重点行业领域节能监察工作方案》的通知各县(市、区)、市直园区经济和信息化主管部门:为贯彻落实国家、省、市关于工业节能降碳有关工作部署,持续发挥节能监察监督约束作用,提升
6月5日,汉中市发改委发布汉中市电力高质量发展实施意见(草稿),文件指出,鼓励屋顶分布式项目开发,推动工商业屋顶分布式光伏发展,支持优先采用“自发自用”建设模式,鼓励分布式光伏项目配置储能设施,减小公共电网运行压力。住房城乡建设、发展改革、自然资源、财政、机关事务管理等部门,应当共
北极星售电网获悉,近日,陕西省汉中市发展和改革委员会发布《汉中市电力高质量发展实施意见(草稿)》,其中提到,县级以上人民政府及其有关部门应当因地制宜推动储蓄、火电、水电等多种电源与新能源发电协同运营,有序发展多能互补项目;健全多能源发电协同调度机制,统筹优化调峰电源运行,保障新能
关于召开2025第七届综合能源服务与零碳园区建设大会的通知当前,能源产业生态正经历从“供给侧资源主导”向“需求侧价值创造”的范式跃迁。现代能源服务业通过构建“用户需求-能效服务-价值共享”的新型商业闭环,催生出涵盖规划咨询、系统集成、智慧运维的全周期解决方案。为把握产业变革机遇,北极星
近日,甘肃省人民政府发布关于张锋刚等同志职务任免的通知,甘肃能化总经理、副总经理等领导班子调整,详情如下:关于张锋刚等同志职务任免的通知各市、自治州人民政府,甘肃矿区办事处,兰州新区管委会,省政府各部门,中央在甘各单位:甘肃省人民政府决定:张锋刚任甘肃能源化工投资集团有限公司总经
5月27日,中广核烟台招远400MW海上光伏项目实现全容量并网,成为全国首个建成投运的桩基固定式海上光伏电站。该项目采用华为智能光伏解决方案,配备数千台华为逆变器,预计年均发电量达6.94亿千瓦时,不仅为胶东半岛提供了强有力的绿色能源支撑,更对我国海上光伏产业的发展有重要的示范引领作用。在莱
为切实提升网络信息安全防护技能,确保演练期间关键业务系统及数据安全,5月21日,国能龙岩发电有限公司从提高网络安全防控意识,自觉规范上网行为等方面着手,全力做好集团公司网络安全攻防演练工作。该公司要求各部门高度重视网络安全攻防演练工作,提高政治站位,加强网络安全宣贯教育,提高全员安
日前,国家发展改革委、国家能源局、工业和信息化部、市场监管总局联合印发《关于公布首批车网互动规模化应用试点的通知》,将9个城市以及30个项目列入首批车网互动规模化应用试点范围,标志着车网互动从前期的探索研究、局部示范阶段,迈入推进规模化应用试点落地的新阶段。车网互动是指电动汽车与电
5月12日,中电联(北京)数智科技有限公司成立会议在北京举行。中国电力企业联合会党委副书记、专职副理事长王抒祥出席会议并讲话。王抒祥指出,在电力行业数字化、智能化高速发展的全新形势下,中电联党委作出成立中电联(北京)数智科技有限公司的决定恰逢其时。面对新形势新任务,数智科技公司要充
北极星储能网获悉,4月28日,工信部发布2025年汽车标准化工作要点。其中提出,分析评估前沿技术发展趋势和潜在应用场景,识别研判未来汽车标准化发展方向,推动制定及发布车用人工智能、固态电池、电动汽车换电等标准子体系,启动数据治理及应用等新领域标准体系建设,超前开展飞行汽车等新业态标准化
4月24日晚间,云涌科技披露2024年度业绩,实现营业总收入2.97亿元,同比增长5.18%;归母净利润亏损约3509.31万元。主营业务分行业、分产品、分地区、分销售模式情况对于业绩变动的主要原因,公司表示,报告期内,公司紧密围绕客户需求加速重点产品、重要项目落地实施,在工业信息安全产品业务方面,公
近日,海尔新能源宣布成功通过ISO37301:2021合规管理体系认证,成为光伏、风电、储能、智慧能源管理系统及逆变器领域中率先获此国际标准认证的企业之一。此次认证标志着海尔新能源在合规管理方面达到了国际标准要求,助力全球化快速发展。ISO37301:2021作为一项国际权威标准,凭借其严谨客观的评定体系
根据透明度市场调研公司(TransparencyMarketResearch)的报告预测,全球智能电网安全市场将从2016年的43.5亿美元增至2025年的105.8亿美元,期间年复合增率达10.5%。全球智能电网安全市场的增长和发展中经济体的人口增长及快速城镇化息息相关。由于城市人口对于能源的增长需求,能源公司正利用物联网和
电力行业按电监会二次系统安全防护总体方案实现了安全分区、网络专用、横向隔离、纵向认证,有效地保证了确保电力实时闭环监控系统及调度数据网络的安全,防止了由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。通过内外网隔离方案,特别是数据库正反向隔离装置有效地保障了电力系统避
电力行业按电监会二次系统安全防护总体方案实现了安全分区、网络专用、横向隔离、纵向认证,有效地保证了确保电力实时闭环监控系统及调度数据网络的安全,防止了由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。通过内外网隔离方案,特别是数据库正反向隔离装置有效地保障了电力系统避
电力行业是国家正常运行最核心的支撑,关系到国家能源安全和国民经济命脉。为适应特高压电网运行的客观需要,全面提升调度机构驾驭大电网的能力,国家电网公司国家电力调度控制中心组织开展了智能电网调度技术支持系统(简称D5000系统)的研制工作。为了响应国家提倡的自主创新策略,充分发挥国产自主品牌软硬件产品的优势,全面提升D5000系统的安全性能,国家电网公司通过多年实践考察,细致严格地分析比较,最终确定使用达梦数据库搭建D5000系统的基础软件平台。个性定制,在智能电网实现规模应用达梦数据库针对智能电网调度技术支持系统的业务特点,在功能及性能方面进行了很多定制
近日,2013电力行业信息化年会成功举办。启明星辰公司信息安全专家在会上发表了主题为“电力信息系统业务行为审计方法探索”的演讲并得到了相关领导、参会人员的一致好评。本次会议围绕大数据、智能电网建设、信息安全等行业热点话题展开交流与讨论。大会设有三个分论坛,分别为“智能电力”、“电力云与大数据”、“电力信息安全”。在12月1日的“信息消费触动大数据,智能化重启信息安全”主会场互动中,信息化专委会委员就信息化建设中遇到的热点问题,面对面地
电力行业是国民经济的基础产业,是国民经济发展和人民生活极其重要的基础设施之一。近些年来,电力信息化建设取得了非常显著的成就,信息化建设已经有了一定的规模,电力行业的信息系统庞大复杂,IT系统治理难度大。随着智能电网建设的不断向前发展,同时国家电网集团公司对信息安全的指导要求逐步在加强。2004年,国家电力监管委员会发布第5 号令 《电力二次系统安全防护规定》;2005年,电力二次系统安全防护专家组和工作组提出《电力二次系统安全防护总体方案》;2008年,国家电网信息化工作部印发316号文件 《国家电网公司信息化“SG186”工程
2013年4月,达梦数据库管理系统通过中国信息安全测评中心自主原创测评,成为国内第一家获得“信息技术产品自主原创测评证书”的数据库安全产品。到目前为止,全国只有11个信息安全产品获得该项证书。为了支持和保护我国信息技术产品的关键技术原创性,适应国际知识产权保护的发展趋势,达梦数据库有限公司主动申请对达梦数据库管理系统进行“信息技术产品自主原创评测”。测评工作在开发者自主声明的基础上展开。整个测评过程严格按照测评中心《信息技术 安全技术 信息技术安行评估准则》、《信息技术产品自主原创测评准则》及保密协议的规
2010年,伊朗核设施遭遇STUXNET(超级工厂病毒)攻击,造成伊朗核电站推迟发电;2011年,索尼、RSA、洛克希德·马丁公司等大型公司相继遭遇有针对性攻击;2012年,几家国内大型电力企业也遭受网络恶性攻击。有报告称,每日有针对性的网络攻击数量由2010年底的77次增加到了2011年底的82次。网络恶意攻击的职业化、有组织化,并具有商业犯罪、军事攻击、恐怖袭击等特征转变的倾向。作为整个系统的基础平台,智能电网调度技术支持系统(以下简称D-5000)是整个系统研制的核心和重点,如果D-5000采用国外的数据库软件就会受制于人
2011年9月14日,国家电网公司坚强智能电网首批试点工程之一,基于达梦数据库管理系统之上的华中智能电网调度技术支持系统投入电网运行控制,标志着智能电网调度技术支持系统试点项目由建设转入正式运行。2011年9月28日,基于达梦数据库管理系统之上的华中智能电网调度技术支持系统调度计划类(日前计划部分)应用功能又投入在线运行,日前计划应用功能和静态安全校核应用功能先后投入运行,标志着华中调度计划类应用功能开发由建设转入试运行阶段。在我国,现代能源工业的主要生产部门有煤炭工业、石油工业、电力工业,而电力工业在我国能源行业所占比例最大,规模及综合实力也最强。由
近日发改委下发通知,决定围绕三个领域组织实施2011年国家信息安全专项,三个领域为:为重要信息系统和涉密信息系统提供支撑的信息安全产品产业化,为国家信息化建设和重要信息系统安全运行提供技术支持的信息安全专业化服务,重要信息安全产品的关键标准。专项将重点支持满足电信、金融、军工、电力、铁路、政务等特殊领域需求的安全可信操作系统、安全可信服务器、安全网关、安全数据库、安全中间件、操作系统和数据库安全加固产品,以及基于国产密码芯片及可信计算芯片的安全应用产品;工业控制安全保障、面向工业控制的脆弱性分析与风险评估、电子数据取证、信息系统及其终端的安全检测和防护
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!