压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　Verizon發布了《2014年度數據泄露調查報告》，報告中回顧了63737起賽博安全事件和1367起已經確認的數據泄漏事件。報告數據顯示：由于數據庫原因產生的信息泄漏高達25%。盤點2014年發生在國內外的數據泄密事件，探尋其背后的深層技術原因。實際上還有許多泄密事件，或正在調查，或無從確認，或無法公開。可以預見，2015年可能出現更為嚴重的泄露事件。

　　科普：什么是賽博

　　賽博一詞源于希臘語，意指在掌控或管治方面是很有技能的人、動物和任何東西。美國東西方研究所與莫斯科國立大學情報安全學院成立的聯合工作小組在一份報告中指出，賽博是“信息”超集的一個子集，人們可以從這一“信息子集”中獲得“利益”和“好處”。

　　2014信息泄露事件盤點

　　2014年國內外都發生了哪些信息泄漏事件？這些事件的背后的深層技術原因是什么？且聽且分析：

　　春運第一天12306爆用戶信息泄露漏洞

　　2014年鐵路春運售票第一天，在經歷了早上宕機1小時之后，12306鐵路客戶服務中心網站再次爆發用戶賬號串號的問題，大量用戶身份證等信息遭泄露。下午15時左右，開始有網友在微博上反映，登陸自己帳號后可以看到他人的姓名、身份證號碼、手機號碼等信息。下午17時34分，新版12306網站出現用戶資料大量泄露的漏洞，并表明危害等級為高。

　　支付寶前員工販賣20G用戶資料 一條可賣數十元

　　此則消息引發了用戶對于信息安全問題的關注，也令網絡信息販賣產業鏈浮現。一條價值較高的用戶信息甚至可以被賣至數十元。此次支付寶信息泄露中，超過20G的海量用戶信息，被支付寶員工在后臺下載并有償出售給電商公司、數據公司。

　　一二線電商企業本身有完善的用戶數據庫，需要進行嚴格的數據監控，防止數據泄露至黑色交易鏈。此類信息販賣產業，有的甚至采取公司的運作方式，從互聯網上購買個人或單位信息，轉賣他人獲利；通過網上購買公民戶籍、住房、車輛等個人信息為他人提供婚戀、追債、手機定位等服務項目從中獲利；通過網上購買信息推銷產品；利用自身特殊身份盜竊、騙取公民、企業信息轉賣獲利。

　　2000萬開房信息泄露案開庭

　　該案件在上海浦東法院第一次開庭審理。原告王金龍起訴漢庭星空（上海）酒店管理有限公司和浙江慧達驛站網絡有限公司，并要求賠償20萬元。“開房數據泄露”事件爆發后，隱私權受到嚴重侵害，還飽受推銷廣告、短信的騷擾。實名認證的新浪微博賬戶@股社區 發布了一個名為“查開房”的網址。只需輸入姓名或身份證號，即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等真實信息。

　　小米陷“泄密”門  業內稱違法成本低是根源

　　小米論壇“被脫褲”，可能影響小米移動云等敏感信息，或導致用戶資料大量泄漏。隨后，烏云平臺再度曝出小米的另一漏洞，稱“小米科技某安全漏洞影響88W+360W數據”，漏洞或導致用戶資料大量泄漏。隨后，小米公司官方回應確認，有部分2012年8月前注冊的論壇賬號信息被非法獲取。

　　棱鏡門事件再發酵

　　由人民出版社出版的《美國是如何監視中國的-美國全球監聽行動紀錄》中披露，中國國內網絡安全權威技術部門檢測發現，美國思科公司的路由器存在嚴重的預置式“后門”。受到美國國安局信息監視項目-"棱鏡"監控的主要有10類信息：電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間和社交網絡資料的細節都被政府監控。通過棱鏡項目，國安局甚至可以實時監控一個人正在進行的網絡搜索內容。

　　軟件商“侵”車管所系統“刪違”萬余條

　　今年，一位多地公安車管系統軟件供應商竟變身“黑客”，勾結“黃牛”，在車管所軟件系統植入程序，專門代人刪除交通違章記錄達1.4萬余條。截止到案發，公安機關查明李某共計非法刪除14000余條交通違章記錄，涉案金額1800余萬元。作案者利用為車管所軟件系統提供運維技術支持的便利條件，躲避現場監管，將事先編好的刪除程序輸入，通過修改公安內網服務器的網絡配置，避開公安內網報警體系，從互聯網遠程侵入公安網絡系統，非法刪除車輛違章記錄上萬條獲利。

　　國內130萬考研用戶信息遭泄漏 正被黑產利用

　　某漏洞平臺報道《國內考研130W報名信息泄漏事件》的漏洞，并表示該漏洞導致泄露的信息正在被黑產利用。出售的用戶信息截止到2014年11月份的130W考研用戶，而且數據已經被多次專賣，經過與賣家了解，數據泄漏了考研用戶的姓名、手機、座機、身份證、住址、郵編、學校、專業等敏感數據，并且表明已經不是第一手數據了。

　　韓2000萬信用卡信息泄露 引發“銷戶潮”

　　韓國發生史上最大規模的信用卡個人信息泄露事件，KB國民卡、樂天卡及NH農協卡公司的一億多條用戶個人信息被泄露，三家公司社長全部引咎辭職。信用評級公司職員樸某等在受信用卡公司委托開發電腦程序的過程中，非法收集和泄露上述信用卡公司的1.04億條用戶個人信息，除了姓名、電話號碼、住所、公司名等，還包含身份證號碼、貸款交易內容、信用卡認可免稅書等5391件敏感的信用信息，占全部泄露信息的一半以上。信用信息作為可以了解顧客的消費模式及習慣的信息，很容易被金融欺詐電話或強制貸款所利用。

　　土耳其黑客入侵本國電力系統，怒刪貧困地區巨額債務賬單

　　土耳其黑客組織RedHack宣布：他們入侵了電力管理系統，撤銷了Soma地區需要付給電力公司的150萬土耳其幣的賬單（約合65萬美元）。除了抹去了巨額的債務記錄，RedHack小組似乎意猶未盡，還放出了該電力管理系統數據庫的用戶名和密碼，RedHack也上傳了一個關于此次事件的記錄視頻，即漫游電力管理系統網站及刪除債務數據的細節。

　　數據泄密分析

　　通過2014年Verizon數據泄漏調查報告和全年的數據安全事件，可以發現以下幾種數據泄漏原因：

　　以上事件，不難發現，大多數企業的安全管理和防護都無法跟上網絡犯罪的腳步，入侵只需要數分鐘或數小時，而企業發現和識別攻擊則需要數周甚至數月。

　　使用失竊賬戶密碼依然是非法獲取信息的最主要途徑，三分之二的數據泄露都與漏洞或失竊密碼有關，這進一步凸顯了兩步認證的必要性。

　　雖然外部攻擊遠超過內部攻擊，但是內部攻擊有抬頭趨勢，尤其是與知識產權有關的內部攻擊。

　　總體來講，Version報告發現病毒是第二重要的賽博安全事件，占20%，緊隨其后的是內部人員權限濫用（占18%）和物理盜竊/損失（占14%），在數據泄露中，對網頁應用程序的攻擊導致了35%的數據泄露。

　　內部人員的濫用數據庫存儲的有價值信息導致數據資產丟失。

　　安華金和安全研究人員建議從以下幾點措施來實現數據的安全防護：

　　措施一：保護核心數據安全，建議使用數據庫風險評估工具，定期對數據庫進行安全風險檢查，發現數據庫使用中的安全隱患，及時人工進行加固；

　　措施二：安全管理員要了解本單位數據庫中的敏感信息，采取有針對性的安全防御措施，對數據庫中的敏感字段進行加密存儲，即使整庫丟失也不會泄密；

　　措施三：通過網絡上的虛擬補丁技術對數據庫漏洞的攻擊特征進行識別，及時攔截來自外網的黑客數據庫攻擊；

　　措施四：運維人員對數據庫中的敏感數據修改，一定要記入審計記錄，如果出現非法篡改行為可以通過事后追責定責；

　　措施五：對從數據庫批量導出數據的行為、整表刪除、不帶條件的更新等惡意行為及時中斷數據庫操作，防止數據庫非法操作行為的發生；

　　措施六：在應用系統上線前，要對應用和數據庫進行安全風險評估測試，及時發現并修復存在的安全隱患，如：SQL注入點、后門程序、緩沖區溢出漏洞等。