9. 数据库通信协议漏洞
数据库通信协议设计的漏洞,可能被攻击者利用,造成数据的泄漏。
除了上述泄密风险,中安威士在长期的数据库防泄密实践中还发现如下严重的泄密风险:
1. 恶意软件
攻击者使用木马病毒技术,通过邮件、图片等伪装方式,将恶意软件安装到数据库管理和运维人员的电脑上,攻击者利用管理员的电脑,窃取或者破坏数据库中的数据;
2. 明文存储
目前绝大多数数据库的数据文件都是以明文形态保存的。在数据的产生、使用、传输、保存、备份、销毁的整个生命周期内,任何接触到存储介质的攻击者,都有可能获取到数据;
3. 研发测试环境泄密
使用带有敏感信息的真实数据进行系统的开发和测试,虽然保证了开发测试环节的准确性和一致性,但是由此带来了巨大的数据泄露风险。
市场上现有的网络安全和操作系统安全产品,都从不同的方向提供对数据的防护,但是由于距离真实数据较远,都无法从根本上防止这些数据库泄密风险。只有在现有的安全防护体系中,补充对数据库的防护这一环节,部署“术业有专攻”的数据安全管理系统,才能从根本上解决数据安全问题。
四、根据数据访问人员进行选择
具有敏感数据访问权限的人员是数据泄密的重要途径,本节根据数据访问人员进行产品组合的选择。
五、根据客户业务系统类型选择
内部:人事系统,财务系统,OA系统。
外部:电商平台,CRM,呼叫中心系统等。
六、根据合规性要求选择
由国家公安部提出并组织制定,国家质量技术监督局发布的《计算机信息系统安全保护等级划分准则》、《信息安全等级保护管理办法》中涉及数据库安全相关规定与产品的对应关系。
《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。