登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
应用安全和数据库的安全就像是拼图中的拼图块,它们虽然不同,却彼此之间需要对方,缺少任何一个,都不能形成一个安全整体。如果其中一方出现安全隐患就会令整个安全防御彻底失效,如WEB应用程序存在SQL注入的时候,就会对整个系统和数据库产生更大的影响。为了减小攻击范围,开发人员和数据库管理员必须明晰他们在这个过程中的角色,共同工作,以避免WEB应用暴露任何敏感数据库。
如今,许多行业用户将大量有价值的客户数据存储于在线数据库,通过网络应用与外界交互。不论是通信、金融、电子政务、电子商务抑或是小小的个人博客,前端应用程序和后台数据库都不可避免地结合在我们现在的模型中,任何一个都不可离开另一个而单独存在。
但是由于那些应用程序在设计时是允许任何人、从任何地方登陆进入访问,因而也成为了通往隐藏在深处的重要数据的桥梁。比如在去年十二月,国内最大的程序员社区网站CSDN就遭到了黑客从WEB应用层的攻击,使得包含用户密码的数据库泄密。
那么如何才能使这个模型更安全呢?安恒信息专家将为您做详细的解读:使模型更安全的解决方法是让应用程序作为人与数据互动的唯一接口,应用程序界面是机器与数据互动的唯一接口。如果不是这样,那么数据交互就有可能不能被充分控制好,这将会是一个非常基本的潜在漏洞。即使访问方式定义明确,实际上应用程序依然有无数种方式令防护数据库失败,最终导致整个系统被黑客窃取或破坏。
安恒信息专家表示,安全管理人员和开发人员经常忽视或者错误地理解数据库,常仅仅关注于保护网络应用程序不受风险的威胁--比如说跨站脚本攻击或者注入攻击,而忘记了留意数据库本身的安全隐患。很明显,用户需要有专门的工具和策略来帮助网络应用程序开发人员保护后台数据库的安全性,而数据库开发人员必须确保他们的网络接口尽可能地安全。
同时安恒信息专家还指出,现在大多数用户都是凭感觉在运行数据库安全。绝大多数用户根本没有监控他们的数据库。更令人不安的是,大多数用户甚至不知道他们的重要数据的位置,很多管理员在调查中承认他们并不能肯定数据库中包含着重要信息。
在多数情况下,关键点在于网络应用程序本身对于攻击者而言没什么价值,他们只是利用应用程序作为窃取或破坏数据的一种手段,第一个防范措施便是确保不仅仅是数据库管理员了解重要数据在哪里存放、如何访问到,以及面临的实际威胁。我们通常将数据库看作是一个黑盒子,只向需要的人和应用程序提供访问的方法,当选取、更新或者插入操作成功后,人们会忘记还有一些事情会发生,所以说团队合作是关键,必须要把应用安全和数据安全做到两位一体。
我们所面临的网络威胁
数据库除了有与生俱来的安全隐患以外,当应用程序访问数据库时,还要考虑到更多的威胁。数据库打补丁、权限管理和连接管理都是典型的数据库安全防范措施,常见的由网络应用程序引发的安全威胁有SQL注入式攻击,XSS跨站攻击、不安全的会话处理和权限升级、目录遍历漏洞和敏感信息泄露等漏洞。我们会深入挖掘每一种模型,但是考虑到这些风险的存在,我们最重要的是尽可能少的给予特权,通过监控输入数据和建立安全连接来加强读取方式的安全性,同时还要限制数据库服务器对外暴露的机率。SQL注入、跨站脚本漏洞、目录遍历漏洞、敏感信息泄露等漏洞
SQL注入攻击SQL注入漏洞的产生原因是网站程序在编写时,没有对用户输入数据的合法性进行判断,导致应用程序存在安全隐患。SQL注入漏洞攻击的就是利用现有应用程序没有对用户输入数据的合法性进行判断,将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。
XSS跨站攻击跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution),是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换,允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。
未验证输入web请求信息在被Web应用使用之前都是未验证的,攻击者能够利用其中的弱点攻击服务器;攻击者通过伪造HTTP请求的各个部分,例如URL,查询字符串,头,cookies,表单域,隐藏域等绕过站点的安全机制。这些常见的伪造输入攻击通常包括:强制浏览,命令插入,跨站脚本,缓冲区溢出,格式化字符串,SQL注入,cookie中毒,隐藏域操作等等。
网络钓鱼网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。
通过应用程序造成隐私泄漏个人或团体的信息被其他不应获得者获取。如攻击者通过入侵大型网络社区、交友网站、免费邮箱等网络应用程序获取数据库用户信息,并利用获取到的个人用户信息进行欺骗获取更多的利益。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
近日,四川省经济和信息化厅公示了2025年第二批“企业找技术”揭榜挂帅项目定帅结果,环天智慧公司荣誉上榜。《高分辨率碳源监测卫星研发设计与反演算法》项目由环天智慧公司与南京航空航天大学航天学院开展深度合作,旨在研发具备高精度监测能力的碳源遥感卫星,通过创新性的光学载荷设计与智能反演算
6月26日,天津市人民政府办公厅关于印发《天津市碳排放权交易管理暂行办法》(以下简称《办法》)的通知。《办法》指出,重点排放单位可以通过本市碳排放权交易市场购买或者出售碳排放配额,其购买的碳排放配额可以用于清缴。重点排放单位足额清缴其碳排放配额后仍有结余的,可予以结转,具体规定由市
今年6月25日是全国低碳日,主题是“碳路先锋、绿动未来”。近年来,江苏积极践行绿色低碳理念,有效发挥城市、园区、企业等不同主体的主动性和创造性,探索行之有效的经验做法,形成了一批可操作可复制可推广的发展模式和典型经验。现推出江苏绿色低碳发展创新实践企业篇:南京钢铁股份有限公司南钢积
日前,南京市人民政府办公厅印发《南京市工业领域经认定的经营者(AEO)制度试点实施方案》(宁政办规字〔2025〕4号),以“免申即享”+“告知承诺”的方式,在工业领域试点推行经认定的经营者(AEO)分级行政检查制度。经认定,共726家工业企业获工业领域AEO制度首批试点企业资格。本次试点企业范围包
北极星碳管家网获悉,6月26日,工信部办公厅印发《关于深入推进工业和信息化绿色低碳标准化工作的实施方案》的通知。要点内容提炼如下:总体要求指导思想:以习近平新时代中国特色社会主义思想为指导,深入贯彻党的二十大和相关全会精神,贯彻新发展理念,落实中央经济工作会议和全国新型工业化推进大
6月26日,工业和信息化部办公厅印发《关于深入推进工业和信息化绿色低碳标准化工作的实施方案》的通知,通知指出,产品碳足迹核算规则标准。按照急用先行原则,优先聚焦钢铁、电解铝、水泥、化肥、氢、石灰、玻璃、乙烯、合成氨、电石、甲醇、锂电池、新能源汽车、光伏和电子电器等重点产品,以及其他
6月26日,中共中央办公厅国务院办公厅发布《关于全面推进江河保护治理的意见》。其中指出,加快推进西南地区水电基地建设,合理布局、积极有序开发建设抽水蓄能电站,实施小水电站绿色改造提升,推进水风光一体化基地规划建设。全文如下:中共中央办公厅国务院办公厅关于全面推进江河保护治理的意见(2
近日,安徽亳州市发展和改革委员会、国网安徽省电力有限公司亳州供电公司发布关于印发2025年亳州电网迎峰度夏电力负荷管理方案的通知。2025年迎峰度夏期间,亳州电网预计最大负荷约340万千瓦,同比增长11.66%(2024迎峰度夏年最大304.5万千瓦)。亳州市大中型企业少,峰期居民负荷占比65%以上,可调控
6月26日,宁波前湾新区经济和信息化局印发《2025年宁波前湾新区迎峰度夏电力保供方案》。其中提到,根据省电力公司预测,今夏全省全社会最高负荷约1.33亿千瓦,最大用电缺口800万千瓦,新区约占1/100,即最大缺口8-10万千瓦。方案中明确移峰填谷方案安排:1.方案安排2025年新区移峰填谷方案共安排移峰
北极星储能网获悉,6月26日消息,宁波前湾新区经济和信息化局发布《2025年宁波前湾新区电力保供专项补贴实施方案》,《方案》提到,临时性区域调峰(虚拟电厂)补贴标准,在响应下达时段内有效响应,有市场出清补贴价格的在浙江省电力交易平台成交价格基础上新区财政另外补2元/千瓦时,区域自发邀约响
“有了这个‘智能柜’,大大提高了电能表出入库速度,‘先入先出’功能的应用,杜绝了高库领资产的堆积,这个柜体还自带预警系统,实时感知资产存储情况,避免在抢修时多拿错拿,提高了抢修的工作效率,真是既智能又方便啊!”6月25日,国网遵化市供电公司对供电所配备的“智能计量周转柜”进行培训,
6月25日,TV南德意志集团(TV南德)向海辰储能颁发基于IEC62443-4-1标准的工业信息安全TVSDMark认证证书。这一认证标志着海辰储能自主研发的BMS平台系统在网络安全性与全球合规性方面达到国际领先水平,进一步夯实公司在全球储能市场的竞争力。颁证仪式值得注意的是,公司近期还通过了ULSolutions基于I
北极星售电网获悉,6月20日,内蒙古自治区能源局发布关于印发《内蒙古自治区分布式光伏项目开发建设管理实施细则》的通知。文件明确,分布式光伏上网模式包括全额上网、全部自发自用、自发自用余电上网三种。自然人户用、非自然人户用分布式光伏可选择全额上网、全部自发自用或者自发自用余电上网模式
近期,四川省能源局转发了国家能源局《分布式光伏发电开发建设管理办法》及《分布式光伏发电开发建设管理办法问答(2025年版)》,并结合四川省实际提出五点意见。其中提到,要坚持应备尽备、能建快建,支持工商业分布式光伏发电加快发展。科学有序实施“千家万户沐光行动”,在充分尊重农民意愿、保护
北极星售电网获悉,山东省发展和改革委员会山东省能源局国家能源局山东监管办公室6月17日发布关于印发《山东省分布式光伏发电开发建设管理实施细则》的通知,分布式光伏发电上网模式包括全额上网、全部自发自用、自发自用余电上网三种。自然人户用、非自然人户用分布式光伏可选择全额上网、全部自发自
6月17日,山东省能源局正式下发《山东省分布式光伏发电开发建设管理实施细则》,细则指出,分布式光伏发电上网模式包括全额上网、全部自发自用、自发自用余电上网三种。自然人户用、非自然人户用分布式光伏可选择全额上网、全部自发自用或者自发自用余电上网模式。一般工商业、大型工商业分布式光伏可
2025年2月,国家发展改革委、国家能源局下发了《关于深化新能源上网电价市场化改革促进新能源高质量发展的通知》(发改价格〔2025〕136号),标志着我国新能源产业和电力市场建设进入新的发展阶段。新能源存量项目如何与“机制电量/价”衔接,增量项目如何进行科学投决,如何全面参与电力市场从单一的
当前,能源产业生态正经历从“供给侧资源主导”向“需求侧价值创造”的范式跃迁。现代能源服务业通过构建“用户需求-能效服务-价值共享”的新型商业闭环,催生出涵盖规划咨询、系统集成、智慧运维的全周期解决方案。为把握产业变革机遇,北极星电力网拟于2025年8月7-8日在上海举办2025第七届综合能源服
被誉为中国风电“风向标”与“晴雨表”的CWP2025将于10月20日—22日在北京·中国国际展览中心(顺义馆)举办来自全球风电领域的1000余家企业将齐聚盛会展会同期还将举办200多场论坛活动将全面聚焦行业热点领航风电产业发展金秋十月诚邀全球风电人共襄盛会CWP2025观众注册全面启动CWP2025不收取参观门票
2025年2月国家发展改革委、国家能源局下发了《关于深化新能源上网电价市场化改革促进新能源高质量发展的通知》(发改价格〔2025〕136号),标志着我国新能源产业和电力市场建设进入新的发展阶段。新能源存量项目如何与“机制电量/价”衔接,增量项目如何进行科学投决,如何全面参与电力市场从单一的投
6月5日,汉中市发改委发布汉中市电力高质量发展实施意见(草稿),文件指出,鼓励屋顶分布式项目开发,推动工商业屋顶分布式光伏发展,支持优先采用“自发自用”建设模式,鼓励分布式光伏项目配置储能设施,减小公共电网运行压力。住房城乡建设、发展改革、自然资源、财政、机关事务管理等部门,应当共
北极星售电网获悉,近日,陕西省汉中市发展和改革委员会发布《汉中市电力高质量发展实施意见(草稿)》,其中提到,县级以上人民政府及其有关部门应当因地制宜推动储蓄、火电、水电等多种电源与新能源发电协同运营,有序发展多能互补项目;健全多能源发电协同调度机制,统筹优化调峰电源运行,保障新能
根据透明度市场调研公司(TransparencyMarketResearch)的报告预测,全球智能电网安全市场将从2016年的43.5亿美元增至2025年的105.8亿美元,期间年复合增率达10.5%。全球智能电网安全市场的增长和发展中经济体的人口增长及快速城镇化息息相关。由于城市人口对于能源的增长需求,能源公司正利用物联网和
电力行业按电监会二次系统安全防护总体方案实现了安全分区、网络专用、横向隔离、纵向认证,有效地保证了确保电力实时闭环监控系统及调度数据网络的安全,防止了由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。通过内外网隔离方案,特别是数据库正反向隔离装置有效地保障了电力系统避
电力行业按电监会二次系统安全防护总体方案实现了安全分区、网络专用、横向隔离、纵向认证,有效地保证了确保电力实时闭环监控系统及调度数据网络的安全,防止了由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。通过内外网隔离方案,特别是数据库正反向隔离装置有效地保障了电力系统避
电力行业是国家正常运行最核心的支撑,关系到国家能源安全和国民经济命脉。为适应特高压电网运行的客观需要,全面提升调度机构驾驭大电网的能力,国家电网公司国家电力调度控制中心组织开展了智能电网调度技术支持系统(简称D5000系统)的研制工作。为了响应国家提倡的自主创新策略,充分发挥国产自主品牌软硬件产品的优势,全面提升D5000系统的安全性能,国家电网公司通过多年实践考察,细致严格地分析比较,最终确定使用达梦数据库搭建D5000系统的基础软件平台。个性定制,在智能电网实现规模应用达梦数据库针对智能电网调度技术支持系统的业务特点,在功能及性能方面进行了很多定制
近日,2013电力行业信息化年会成功举办。启明星辰公司信息安全专家在会上发表了主题为“电力信息系统业务行为审计方法探索”的演讲并得到了相关领导、参会人员的一致好评。本次会议围绕大数据、智能电网建设、信息安全等行业热点话题展开交流与讨论。大会设有三个分论坛,分别为“智能电力”、“电力云与大数据”、“电力信息安全”。在12月1日的“信息消费触动大数据,智能化重启信息安全”主会场互动中,信息化专委会委员就信息化建设中遇到的热点问题,面对面地
电力行业是国民经济的基础产业,是国民经济发展和人民生活极其重要的基础设施之一。近些年来,电力信息化建设取得了非常显著的成就,信息化建设已经有了一定的规模,电力行业的信息系统庞大复杂,IT系统治理难度大。随着智能电网建设的不断向前发展,同时国家电网集团公司对信息安全的指导要求逐步在加强。2004年,国家电力监管委员会发布第5 号令 《电力二次系统安全防护规定》;2005年,电力二次系统安全防护专家组和工作组提出《电力二次系统安全防护总体方案》;2008年,国家电网信息化工作部印发316号文件 《国家电网公司信息化“SG186”工程
2013年4月,达梦数据库管理系统通过中国信息安全测评中心自主原创测评,成为国内第一家获得“信息技术产品自主原创测评证书”的数据库安全产品。到目前为止,全国只有11个信息安全产品获得该项证书。为了支持和保护我国信息技术产品的关键技术原创性,适应国际知识产权保护的发展趋势,达梦数据库有限公司主动申请对达梦数据库管理系统进行“信息技术产品自主原创评测”。测评工作在开发者自主声明的基础上展开。整个测评过程严格按照测评中心《信息技术 安全技术 信息技术安行评估准则》、《信息技术产品自主原创测评准则》及保密协议的规
2010年,伊朗核设施遭遇STUXNET(超级工厂病毒)攻击,造成伊朗核电站推迟发电;2011年,索尼、RSA、洛克希德·马丁公司等大型公司相继遭遇有针对性攻击;2012年,几家国内大型电力企业也遭受网络恶性攻击。有报告称,每日有针对性的网络攻击数量由2010年底的77次增加到了2011年底的82次。网络恶意攻击的职业化、有组织化,并具有商业犯罪、军事攻击、恐怖袭击等特征转变的倾向。作为整个系统的基础平台,智能电网调度技术支持系统(以下简称D-5000)是整个系统研制的核心和重点,如果D-5000采用国外的数据库软件就会受制于人
2011年9月14日,国家电网公司坚强智能电网首批试点工程之一,基于达梦数据库管理系统之上的华中智能电网调度技术支持系统投入电网运行控制,标志着智能电网调度技术支持系统试点项目由建设转入正式运行。2011年9月28日,基于达梦数据库管理系统之上的华中智能电网调度技术支持系统调度计划类(日前计划部分)应用功能又投入在线运行,日前计划应用功能和静态安全校核应用功能先后投入运行,标志着华中调度计划类应用功能开发由建设转入试运行阶段。在我国,现代能源工业的主要生产部门有煤炭工业、石油工业、电力工业,而电力工业在我国能源行业所占比例最大,规模及综合实力也最强。由
近日发改委下发通知,决定围绕三个领域组织实施2011年国家信息安全专项,三个领域为:为重要信息系统和涉密信息系统提供支撑的信息安全产品产业化,为国家信息化建设和重要信息系统安全运行提供技术支持的信息安全专业化服务,重要信息安全产品的关键标准。专项将重点支持满足电信、金融、军工、电力、铁路、政务等特殊领域需求的安全可信操作系统、安全可信服务器、安全网关、安全数据库、安全中间件、操作系统和数据库安全加固产品,以及基于国产密码芯片及可信计算芯片的安全应用产品;工业控制安全保障、面向工业控制的脆弱性分析与风险评估、电子数据取证、信息系统及其终端的安全检测和防护
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!