登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
应用安全和数据库的安全就像是拼图中的拼图块,它们虽然不同,却彼此之间需要对方,缺少任何一个,都不能形成一个安全整体。如果其中一方出现安全隐患就会令整个安全防御彻底失效,如WEB应用程序存在SQL注入的时候,就会对整个系统和数据库产生更大的影响。为了减小攻击范围,开发人员和数据库管理员必须明晰他们在这个过程中的角色,共同工作,以避免WEB应用暴露任何敏感数据库。
如今,许多行业用户将大量有价值的客户数据存储于在线数据库,通过网络应用与外界交互。不论是通信、金融、电子政务、电子商务抑或是小小的个人博客,前端应用程序和后台数据库都不可避免地结合在我们现在的模型中,任何一个都不可离开另一个而单独存在。
但是由于那些应用程序在设计时是允许任何人、从任何地方登陆进入访问,因而也成为了通往隐藏在深处的重要数据的桥梁。比如在去年十二月,国内最大的程序员社区网站CSDN就遭到了黑客从WEB应用层的攻击,使得包含用户密码的数据库泄密。
那么如何才能使这个模型更安全呢?安恒信息专家将为您做详细的解读:使模型更安全的解决方法是让应用程序作为人与数据互动的唯一接口,应用程序界面是机器与数据互动的唯一接口。如果不是这样,那么数据交互就有可能不能被充分控制好,这将会是一个非常基本的潜在漏洞。即使访问方式定义明确,实际上应用程序依然有无数种方式令防护数据库失败,最终导致整个系统被黑客窃取或破坏。
安恒信息专家表示,安全管理人员和开发人员经常忽视或者错误地理解数据库,常仅仅关注于保护网络应用程序不受风险的威胁--比如说跨站脚本攻击或者注入攻击,而忘记了留意数据库本身的安全隐患。很明显,用户需要有专门的工具和策略来帮助网络应用程序开发人员保护后台数据库的安全性,而数据库开发人员必须确保他们的网络接口尽可能地安全。
同时安恒信息专家还指出,现在大多数用户都是凭感觉在运行数据库安全。绝大多数用户根本没有监控他们的数据库。更令人不安的是,大多数用户甚至不知道他们的重要数据的位置,很多管理员在调查中承认他们并不能肯定数据库中包含着重要信息。
在多数情况下,关键点在于网络应用程序本身对于攻击者而言没什么价值,他们只是利用应用程序作为窃取或破坏数据的一种手段,第一个防范措施便是确保不仅仅是数据库管理员了解重要数据在哪里存放、如何访问到,以及面临的实际威胁。我们通常将数据库看作是一个黑盒子,只向需要的人和应用程序提供访问的方法,当选取、更新或者插入操作成功后,人们会忘记还有一些事情会发生,所以说团队合作是关键,必须要把应用安全和数据安全做到两位一体。
我们所面临的网络威胁
数据库除了有与生俱来的安全隐患以外,当应用程序访问数据库时,还要考虑到更多的威胁。数据库打补丁、权限管理和连接管理都是典型的数据库安全防范措施,常见的由网络应用程序引发的安全威胁有SQL注入式攻击,XSS跨站攻击、不安全的会话处理和权限升级、目录遍历漏洞和敏感信息泄露等漏洞。我们会深入挖掘每一种模型,但是考虑到这些风险的存在,我们最重要的是尽可能少的给予特权,通过监控输入数据和建立安全连接来加强读取方式的安全性,同时还要限制数据库服务器对外暴露的机率。SQL注入、跨站脚本漏洞、目录遍历漏洞、敏感信息泄露等漏洞
SQL注入攻击SQL注入漏洞的产生原因是网站程序在编写时,没有对用户输入数据的合法性进行判断,导致应用程序存在安全隐患。SQL注入漏洞攻击的就是利用现有应用程序没有对用户输入数据的合法性进行判断,将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。
XSS跨站攻击跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution),是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换,允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。
未验证输入web请求信息在被Web应用使用之前都是未验证的,攻击者能够利用其中的弱点攻击服务器;攻击者通过伪造HTTP请求的各个部分,例如URL,查询字符串,头,cookies,表单域,隐藏域等绕过站点的安全机制。这些常见的伪造输入攻击通常包括:强制浏览,命令插入,跨站脚本,缓冲区溢出,格式化字符串,SQL注入,cookie中毒,隐藏域操作等等。
网络钓鱼网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。
通过应用程序造成隐私泄漏个人或团体的信息被其他不应获得者获取。如攻击者通过入侵大型网络社区、交友网站、免费邮箱等网络应用程序获取数据库用户信息,并利用获取到的个人用户信息进行欺骗获取更多的利益。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
6月20日,以“新形势·新安全”为主题的2024年能源网络安全大赛暨能源网络安全和信息化大会在江苏宜兴成功召开。来自电力、油气、煤炭等能源领域企事业单位,网络安全领域科研院所及产业单位代表、大赛决赛选手及案例路演代表共计600余人出席本次赛会活动。本次赛会由中国能源研究会主办,国网江苏省电
海南省工业和信息化厅发布关于开展2024年国家工业节能监察工作的通知,列入2024年国家工业节能监察计划的32家企业,以及与省发改委共同开展的15个2023年度固定资产投资项目节能审查发现问题后评价整改专项监察,合并后共计33家企业。海南省工业和信息化厅关于开展2024年国家工业节能监察工作的通知海口
2024—2026年,聚焦重点产业链、工业“六基”及战略性新兴产业、未来产业领域(以下称重点领域),通过财政综合奖补方式,分三批次重点支持“小巨人”企业高质量发展。2024年首批先支持1000多家“小巨人”企业,以后年度根据实施情况进一步扩大支持范围。财政部工业和信息化部关于进一步支持专精特新中
为加快构建绿色制造和服务体系,发挥绿色工厂在制造业绿色低碳转型中的基础性和导向性作用,打造绿色制造领军力量,推进工业绿色发展,助力工业领域碳达峰碳中和,陕西省工业和信息化厅发布《陕西省工业和信息化厅绿色制造名单奖励资金管理办法(征求意见稿)》,对工业和信息化部首次认定的国家级绿色
为加快构建绿色制造和服务体系,全面推广绿色制造,形成规范化、长效化培育机制,陕西省工业和信息化厅发布《陕西省工业和信息化厅绿色工厂梯度培育及动态管理暂行办法(征求意见稿)》,征求意见时间截止至2024年7月4日,详情如下:陕西省工业和信息化厅绿色工厂梯度培育及动态管理暂行办法(征求意见
甘肃省工业和信息化厅发布关于开展2024年度国家工业节能监察工作的通知,经统筹考虑行业特点、企业规模和监察内容等,确定专项节能监察任务总量为70户。甘肃省工业和信息化厅关于开展2024年度国家工业节能监察工作的通知甘工信函〔2024〕174号各市州工信局、兰州新区经发局:为贯彻落实《中华人民共和
广东省工业和信息化厅发布关于开展2024年度绿色制造名单推荐工作的通知,推荐范围包括绿色工厂、绿色工业园区、绿色供应链管理企业。广东省工业和信息化厅关于开展2024年度绿色制造名单推荐工作的通知粤工信节能函〔2024〕27号各地级以上市工业和信息化主管部门:为发挥绿色工厂在制造业绿色低碳转型中
6月4日,南方电网公司2024年第五批信息化项目单一来源公示。详情如下:南方电网公司2024年第五批信息化项目单一来源公示(采购编号:CG0000062001770757)1.采购条件本采购项目南方电网公司2024年第五批信息化项目,采购人为中国南方电网有限责任公司,项目资金已落实。该项目已具备采购条件,现对该项
6月4日,南方电网公司2024年第四批信息化项目招标,本次招标最高限价6.4亿元,共开展第四批共5个标的、39个标包信息化项目的公开招标工作,涉及系统建设类22项、专题研究类7项、技术服务类8项、设备采购类2项。详情如下:南方电网公司2024年第四批信息化项目招标公告(项目编号:CG0000022001770742)1
山东省工业和信息化厅发布关于组织开展2024年度省级绿色制造单位申报工作的通知,以全面加强绿色制造体系建设,加快建立绿色制造单位梯度培育机制,推动工业绿色转型发展。详情如下:山东省工业和信息化厅关于组织开展2024年度省级绿色制造单位申报工作的通知各市工业和信息化局,有关单位:为全面加强
5月29日,南方电网公司2024年第一批信息化项目中标公示。(招标编号:CG0000022001685384)
为切实提升网络信息安全防护技能,全力做好集团公司网络安全攻防实战演练防守工作,5月15日,国能龙岩发电公司加强组织领导,从提高思想意识着手,严格遵守演练注意事项,做好应急管理等措施,不断强化网络信息安全。该公司要求全员切实提高政治站位,加强组织领导,按照谁主管谁负责,谁运营谁负贵,
3月26日,国网天津电科院以“查隐患、控风险、抓落实、保安全”为主线开展春季信息安全大检查,全面排查信息设备、信息系统、网络专线、科技产出系统等信息安全,保障企业网络设备安全稳定运行,提升公司整体网络安全防护水平。本次工作中,电科院以现场排查、梳理自查、专项督查等多种形式相结合,结
3月27日,国网光山县供电公司2名信息专业工作人员正在认真梳理公司信息网络设备地址,确保省市公司关于IP地址资源管理提升工作的相关要求落实落地落细,为企业网络安全、稳定、可靠、高效运行夯实基础。IP地址资源管理是网络安全和性能管理的关键组成部分,有效的IP地址管理可以帮助企业确保网络的可用
为进一步加强和规范网络信息安全管理,切实提升员工网络与信息安全的主观防护意识,今年以来,国能晋江热电公司从安全自查、公司排查和规范管理三方面行动,构筑网络信息安全防护墙。根据网络信息安全管理要求,该公司要求所有员工对所使用电脑进行自查,确保所有办公电脑全部安装集团360软件,提高安
2月7日,国网天津电科院开展春节前网络信息安全专项检查,筑牢节日期间信息网络安全防线,严防信息安全事故发生,多措并举确保信息网络安全运行可靠。电科院信息安全分管领导和科技管理部门负责人带队,有序组织信息专责及运维人员成立专项排查小组,结合信息设备和办公区域实际运行情况,分别前往东丽
为进一步推动网络信息安全建设,强化各级人员网络安全辨识能力,规范网络及终端安全办公,最近,盐城供电公司营销部组织员工进行网络信息安全专项培训,主要针对场所防护、终端防护以及互联网资产三方面进行宣贯学习,通过网络安全宣传教育专项工作,为公司网络信息安全筑起一道坚实的防线。盐城供电公
近日,广东燃料电池汽车示范应用城市群综合监管平台(简称“广东燃料电池汽车监管平台”)获得了国家公安部核准颁发的“信息系统安全等级保护二级备案证明”(简称“等保二级”)。据悉,国家等级保护认证是中国最权威的信息产品安全等级资格认证,认证由国家信息安全监管部门进行监督、检查,要求非常严
6月26日,国家能源局在京召开电力行业网络与信息安全联席会议全体会议,会议总结“十四五”以来电力网络安全工作,分析研判电力网络安全面临的形势和风险,部署“十四五”后半期和2023年电力网络安全重点工作。国家能源局党组成员、副局长余兵出席会议并讲话。会上,中央网信办、国家发展改革委、公安
国家能源局综合司关于调整电力行业网络与信息安全联席会议成员单位组成人员的通知国能综通安全〔2023〕69号电力行业网络与信息安全联席会议各成员单位:根据工作需要,决定对电力行业网络与信息安全联席会议成员单位组成人员进行调整。现将调整后的名单通知如下。召集人:余兵国家能源局党组成员、副局
北极星电力网获悉,国家能源局综合司发布关于调整电力行业网络与信息安全联席会议成员单位组成人员的通知,国能综通安全〔2023〕69号,详情如下:电力行业网络与信息安全联席会议各成员单位:根据工作需要,决定对电力行业网络与信息安全联席会议成员单位组成人员进行调整。现将调整后的名单通知如下。
10月11日,中电联党委书记、常务副理事长杨昆在中电联本部会见三六零安全科技股份有限公司(以下简称“360集团”)创始人、董事长兼CEO周鸿祎一行。双方就当前国内外信息安全形势和电力企业数字安全工作开展深入交流和探讨。杨昆在会谈中指出,多年来,电力行业高度重视信息化建设,持续开展信息化战略
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!