专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


数据库安全是防止数据泄露的关键

2016-09-17 07:04 推荐: 浏览: 32 views 评论 字号:

摘要: 从IT时代到DT时代,数据的价值也越来越显现出来,所以作为数据存储介质的数据库安全也受到越来越多客户的关注。与此相对应的是针对数据盗取,买卖的犯罪也正在爆发式增长。 一. 数据泄露现状 近期北京晚报的一项统计显示, 2010年至2016年,北京地区被法院确认的...

从IT时代到DT时代,数据的价值也越来越显现出来,所以作为数据存储介质的数据库安全也受到越来越多客户的关注。与此相对应的是针对数据盗取,买卖的犯罪也正在爆发式增长。

一. 数据泄露现状

近期北京晚报的一项统计显示, 2010年至2016年,北京地区被法院确认的被泄露的公民个人信息数量就有162513874。不考虑重复因素,平均每年,就有2600多万条信息被泄露、买卖,这一数字比北京常住人口还要多。

4164feab7d87bc774c63ed173a29b215

进一步根据据统计的案例中,一大部分数据泄露的源头,是不法分子直接通过数据库获取了个人数据信息。

案例1:派出所保安队队长盗卖信息4000条

2015年12月,朝阳法院审理了一起派出所“内鬼”盗取信息并出售他人的案件。

据了解,被告人高某利用其担任北京市公安局某派出所保安队队长的职务便利,多次私自使用该所副所长和民警的公安数字证书,登录“公安部人口管理系统”、“公安部出入境管理系统”等公安机关应用系统库,非法获取公民个人信息4000余条,并出售给他人,获利人民币2.3万余元。

法院审理认为,被告人高某在公安机关履职过程中获取公民个人信息,并出售他人,其行为已构成出售公民个人信息罪,最终法院判处其有期徒刑6个月,罚金4000元,并没收其违法所得。

案例2:快递公司信息部员工倒卖信息获利近30万元

这一案例,是所有67起案件中,被告人出售公民个人信息获利最多的一起。

被告人李某是某快递公司信息部的员工,有权查询公司客户信息数据库。利用这一权限,自2012年3月至2014年6月,他频繁进入公司客户信息数据库拷贝信息,后通过邮箱

QQ等方式将13.2万余条信息出售给窦某,获利28.8万元。

据李某自己供述,窦某购买客户信息是进行商品推销,他会根据信息质量每月给自己汇款。最终,李某因非法提供公民个人信息罪,获刑10个月,罚金1000元,赃款被没收。

从以上两个案例我们不难看出,数据库作为数据集中存储的介质,一旦被不发分子获得登录权限,或者内部管理人员禁不住利益的诱惑监守自盗,造成的信息泄露无论从影响还是数量上都是巨大的。所以作为数据核心存储介质的数据库的安全将是防止数据泄露的关键。

二. 数据库安全是防止数据泄露的关键

作为国内唯一一家覆盖数据库安全事前、事中、事后全产品线的专业数据库安全厂商,安华金和给出了数据库安全的防护建议。

事前通过数据库漏扫产品发现数据库存在的问题,防止外部人员利用数据库自身的漏洞攻破数据库,从而获取数据库中的数据

事中通过数据库防火墙对数据库的连接,查看,下载等操作行为进行管控;对一些敏感数据的输出,进行数据库脱敏处理,防止外部运维人员或者内部低权限人员直接接触敏感数据;通过数据库加密产品对核心敏感数据进行加密,做到即便不法分子获取到数据库权限也不能直接查看到敏感数据。

事后通过数据库审计对所有数据库访问行为进行审查和记录,这些记录为日后追责和填补应用系统漏洞提供证据的保障。同时也为企业内部安全定期升级提供更合理的路线和更明确的思路。

面对数据愈发严重的数据泄露现状,做好数据库安全防护是防止数据泄露的关键。作为国内专业的数据库安全厂商—安华金和,一直以“让数据使用更安全”为使命,致力于与客户一起保护数据安全。

联系站长租广告位!

中国首席信息安全官


关闭


关闭