12月，以“互聯(lián)互通、共享共治——構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”為主題的第二屆世界互聯(lián)網(wǎng)在浙江烏鎮(zhèn)又一次震撼世界。

作為新興的網(wǎng)絡(luò)大國(guó)，中國(guó)對(duì)互聯(lián)網(wǎng)治理有著深入的思考和踏實(shí)的行動(dòng)。這是一種必然，畢竟我們已擁有6.7億網(wǎng)民、413萬(wàn)多家網(wǎng)站，以及超過3.95萬(wàn)億人民幣的互聯(lián)網(wǎng)上市企業(yè)市值。習(xí)近平主席在大會(huì)致辭中提到一點(diǎn)：“‘保障網(wǎng)絡(luò)安全，促進(jìn)有序發(fā)展’，安全和發(fā)展是一體之兩翼、驅(qū)動(dòng)之雙輪。安全是發(fā)展的保障，發(fā)展是安全的目的”，深得業(yè)內(nèi)人士的贊許。

隨著互聯(lián)網(wǎng)裂變式的發(fā)展，各種各樣的應(yīng)用被遷移到互聯(lián)網(wǎng)使用。然而，互聯(lián)網(wǎng)也很脆弱，缺乏相應(yīng)的防護(hù)措施，尤其在數(shù)據(jù)庫(kù)安全方面，數(shù)據(jù)安全已經(jīng)成為每個(gè)國(guó)家、每個(gè)企業(yè)必須要重視的問題。

2015年已經(jīng)進(jìn)入尾聲，對(duì)于安全界而言，又是不平靜的一年，安華金和立足國(guó)內(nèi)，回顧國(guó)內(nèi)全年發(fā)生的數(shù)據(jù)泄密相關(guān)的十二起安全事件，同時(shí)針對(duì)事件本身，安華金和的安全專家進(jìn)行技術(shù)原因分析點(diǎn)評(píng)。

事件一 新年首起網(wǎng)絡(luò)泄密:機(jī)鋒論壇2300萬(wàn)用戶信息泄露(2015.1)

來(lái)源：南方網(wǎng)

1月5日，就在機(jī)鋒科技二度易主僅半月后，機(jī)鋒科技旗下機(jī)鋒論壇被曝出存在高危漏洞，多達(dá)2300萬(wàn)用戶的信息遭遇安全威脅。這也成為2015年國(guó)內(nèi)第一起網(wǎng)絡(luò)信息泄露事件。

機(jī)鋒論壇泄露的2300萬(wàn)用戶數(shù)據(jù)包括用戶名、注冊(cè)郵箱、加密后的密碼等信息，由于機(jī)鋒論壇數(shù)據(jù)庫(kù)對(duì)用戶密碼僅使用了簡(jiǎn)單的MD5(計(jì)算機(jī)安全領(lǐng)域廣泛使用的一種散列函數(shù))加密，黑客能夠快速破解出絕大部分密碼。

技術(shù)原因: 機(jī)鋒論壇回應(yīng)稱這次泄漏的是2013年泄露的老數(shù)據(jù)”，并強(qiáng)調(diào)，“機(jī)鋒所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄露的用戶信息并不能破解密碼并盜取用戶賬號(hào)”。

事件二 多家知名連鎖酒店、高端品牌酒店存在嚴(yán)重安全漏洞，海量開房信息存泄露風(fēng)險(xiǎn)(2015.2)

來(lái)源：FreeBuf

2月11日，根據(jù)漏洞盒子平臺(tái)安全報(bào)告，知名連鎖酒店桔子、錦江之星、速八、布丁;高端酒店萬(wàn)豪酒店集團(tuán)(萬(wàn)豪、麗思卡爾頓等)、喜達(dá)屋集團(tuán)(喜來(lái)登、艾美、W酒店等)、洲際酒店集團(tuán)(假日等)存在嚴(yán)重安全漏洞，房客開房信息一覽無(wú)余，甚至可對(duì)酒店訂單進(jìn)行修改和取消。

黑客可輕松獲取到千萬(wàn)級(jí)的酒店顧客的訂單信息;包括顧客姓名、身份證、手機(jī)號(hào)、房間號(hào)、房型、開房時(shí)間、退房時(shí)間、家庭住址、信用卡后四位、信用卡截止日期、郵件等等大量敏感信息。

技術(shù)原因:大量房客的個(gè)人隱私信息存在數(shù)據(jù)庫(kù)中，黑客主要是通過前臺(tái)應(yīng)用程序的漏洞，攻入數(shù)據(jù)庫(kù)服務(wù)器，獲取大量個(gè)人隱私信息和酒店顧客的訂單信息，同時(shí)也由于某些訂單程序漏洞，導(dǎo)致網(wǎng)上就可以修改訂單的敏感信息。

事件三 康威視部分設(shè)備被境外IP控制 存嚴(yán)重安全隱患(2015.2)

來(lái)源：人民網(wǎng)

2月27日，江蘇省公安廳發(fā)布《關(guān)于立即對(duì)全省?？低暠O(jiān)控設(shè)備進(jìn)行全面清查和安全加固的通知》稱，主營(yíng)安防產(chǎn)品的海康威視其生產(chǎn)的監(jiān)控設(shè)備被曝出嚴(yán)重安全隱患，部分設(shè)備已被境外IP地址控制，并要求各地立即進(jìn)行全面清查，開展安全加固，消除安全隱患。

技術(shù)原因：采用了弱口令(弱口令是指使用產(chǎn)品初始密碼或其他簡(jiǎn)單密碼)。江蘇事件為弱口令漏洞，只需通過修改初始密碼或簡(jiǎn)單密碼或者升級(jí)設(shè)備固件即可解決，不需要召回或更換設(shè)備。

事件四 數(shù)千萬(wàn)社保用戶信息或遭泄露 超30省市曝管理漏洞(2015.4)

來(lái)源：人民網(wǎng)

4月22日，[CQX1] 重慶、上海、山西、沈陽(yáng)、貴州、河南等超30個(gè)省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞，數(shù)千萬(wàn)用戶的社保信息可能因此被泄露。

從補(bǔ)天漏洞響應(yīng)平臺(tái)獲得的數(shù)據(jù)顯示，目前圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等曝出高危漏洞的省市已經(jīng)超過30個(gè)。據(jù)統(tǒng)計(jì)，僅社保類安全漏洞所導(dǎo)致的信息泄漏就超過5279.4條 涉及人員數(shù)量達(dá)數(shù)千萬(wàn)，其中包括個(gè)人身份證、社保參保信息、財(cái)務(wù)、薪酬、房屋等敏感信息。

技術(shù)原因：一是利用互聯(lián)網(wǎng)應(yīng)用系統(tǒng)漏洞，通過sql注入，完成對(duì)社保人員信息的批量下載。80%安全事件發(fā)生的原因來(lái)自于SQL注入。(刷庫(kù))二是外部黑客利用數(shù)據(jù)庫(kù)漏洞，如系統(tǒng)注入漏洞、緩沖區(qū)溢出漏洞和TNS漏洞，進(jìn)行數(shù)據(jù)庫(kù)的惡意操作。(拖庫(kù))三是開發(fā)人員和運(yùn)維人員被利用，由于對(duì)系統(tǒng)熟悉度高，通過程序中的后門程序或直接訪問數(shù)據(jù)庫(kù)獲得數(shù)據(jù)。

事件五 中國(guó)人壽系統(tǒng)漏洞屢遭曝光 客戶信息安全難保障(2015.5)

來(lái)源：廣東消費(fèi)網(wǎng)

5月21日，網(wǎng)友“carry_your”發(fā)布了一則等級(jí)為“高級(jí)”的漏洞信息，編號(hào)：QTVA-2015-237080，漏洞名稱為“中國(guó)人壽某省系統(tǒng)存在漏洞#可getshell#泄漏百萬(wàn)客戶信息”。保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入多少、職業(yè)等敏感信息一覽無(wú)余。據(jù)烏云漏洞報(bào)告平臺(tái)統(tǒng)計(jì)，2015年上半年中國(guó)人壽漏洞出現(xiàn)7次，漏洞類型主要包括敏感信息泄露、未授權(quán)訪問/權(quán)限繞過、任意文件遍歷/下載以及設(shè)計(jì)缺陷/邏輯錯(cuò)誤。

技術(shù)原因：國(guó)家信息技術(shù)安全研究中心專家曹岳表示，由于平臺(tái)本身交易量巨大、往來(lái)客戶數(shù)量多，對(duì)試圖非法獲取客戶敏感信息的不法分子來(lái)說，一旦入侵[CQX2] 成功，其獲益是巨大的。由此，像保險(xiǎn)企業(yè)這樣涉及大量客戶個(gè)人信息和商業(yè)機(jī)構(gòu)信息存儲(chǔ)的企業(yè)，須對(duì)公眾信息保護(hù)承擔(dān)義務(wù)，更應(yīng)加強(qiáng)信息安全構(gòu)建，防止公眾的合法權(quán)益受到侵害。

事件六 多家P2P平臺(tái)同時(shí)遭黑客攻擊(2015.6)

來(lái)源：廣州日?qǐng)?bào)大洋網(wǎng)

6月18日，互聯(lián)網(wǎng)金融安全再受拷問，信融財(cái)富、寶點(diǎn)網(wǎng)和立業(yè)貸等多家P2P平臺(tái)本周同時(shí)遭受黑客流量攻擊，造成網(wǎng)站無(wú)法打開或訪問速度緩慢。根據(jù)世界反黑客組織的通報(bào)，中國(guó)P2P平臺(tái)已成為全世界黑客“宰割的羔羊”。業(yè)內(nèi)人士表示，目前P2P軟件提供商魚龍混雜，不少平臺(tái)IT系統(tǒng)簡(jiǎn)單、漏洞多，是被黑客輕易攻擊的主要原因。P2P網(wǎng)貸平臺(tái)對(duì)技術(shù)的要求不亞于銀行，如何解決網(wǎng)貸系統(tǒng)安全問題，事關(guān)P2P平臺(tái)公司的存亡。

“6月15日11時(shí)04分至16日9時(shí)，信融財(cái)富官網(wǎng)遭受到惡意流量攻擊，造成網(wǎng)站無(wú)法訪問的情況。”深圳P2P平臺(tái)信融財(cái)富發(fā)布公告稱，其官網(wǎng)遭到了黑 客大規(guī)模DDOS惡意流量攻擊，使平臺(tái)網(wǎng)站訪問受到影響，平臺(tái)已于第一時(shí)間啟動(dòng)應(yīng)急防御措施。幾乎與此同時(shí)，另外兩家平臺(tái)寶點(diǎn)網(wǎng)和立業(yè)貸也均遭到了大規(guī)模黑客攻擊。

技術(shù)原因：P2P網(wǎng)貸平臺(tái)其技術(shù)要求不亞于銀行，甚至比銀行還要高。但現(xiàn)實(shí)情況是，大多數(shù)P2P網(wǎng)貸平臺(tái)無(wú)論在架構(gòu)、數(shù)據(jù)庫(kù)、安全防范方面，應(yīng)對(duì)黑客的攻擊能力幾乎為零。

事件七 約10萬(wàn)條高考生信息泄露(2015.8)

來(lái)源：新浪新聞中心

據(jù)新華社電“不管考多少分，都有機(jī)會(huì)在名校上大學(xué)，享受普通本科生一樣的資源和待遇。”高考錄取工作結(jié)束之際，一些不法分子利用非法獲取的高考生信息通過電話進(jìn)行招生詐騙。武漢警方日前查獲約10萬(wàn)條泄露的高考生信息，涉嫌用于招生詐騙。這些信息涉及約10萬(wàn)名考生，遍及13個(gè)省區(qū)市。

據(jù)知情人士介紹，高考生信息在網(wǎng)上被肆意出售。10萬(wàn)條信息標(biāo)價(jià)1萬(wàn)元，平均每一條信息價(jià)格為0.1元。這些信息被一些不法分子購(gòu)買后用來(lái)進(jìn)行招生詐騙，也就是常說的“低分高錄”。騙子自稱是招生院校或省招辦某領(lǐng)導(dǎo)的熟人，聲稱有辦法讓不夠第一批本科線的考生到第一批本科院校就讀。

技術(shù)原因：教育考試報(bào)名系統(tǒng)中包含大量考生個(gè)人隱私信息，需要進(jìn)行數(shù)據(jù)庫(kù)安全防護(hù)，確保敏感數(shù)據(jù)不會(huì)泄露。

事件八 大麥網(wǎng)600多萬(wàn)用戶賬號(hào)密碼泄露 數(shù)據(jù)已被售賣(2015.8)

來(lái)源：新浪科技

8月27日，烏云漏洞報(bào)告平臺(tái)發(fā)布報(bào)告顯示，線上票務(wù)營(yíng)銷平臺(tái)大麥網(wǎng)再次被發(fā)現(xiàn)存在安全漏洞，600余萬(wàn)用戶賬戶密碼遭到泄露。

起初發(fā)現(xiàn)有大麥網(wǎng)用戶數(shù)據(jù)庫(kù)在黑產(chǎn)論壇被公開售賣，于是對(duì)泄露的用戶數(shù)據(jù)進(jìn)行驗(yàn)證，發(fā)現(xiàn)相鄰賬號(hào)的用戶ID也是連續(xù)的，并均可登錄。因此，叢技術(shù)的角度可以初步證明本次大麥網(wǎng)的數(shù)據(jù)泄露有被拖庫(kù)嫌疑(網(wǎng)站用戶注冊(cè)信息數(shù)據(jù)庫(kù)被黑客竊取)。

技術(shù)原因：大麥網(wǎng)前臺(tái)應(yīng)用有程序漏洞，主要原因是疑被“拖庫(kù)”，指從數(shù)據(jù)庫(kù)中導(dǎo)出數(shù)據(jù)，現(xiàn)指網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫(kù)。

事件九 內(nèi)蒙古19萬(wàn)考生信息泄露(2015.9)

來(lái)源：京華網(wǎng)

據(jù)新華社電內(nèi)蒙古自治區(qū)教育招生考試中心透露，內(nèi)蒙古19萬(wàn)名高考考生信息近日遭泄露。9月2日上午得知此事后，教育招生考試中心立即組織人員進(jìn)行研判，并確認(rèn)網(wǎng)傳信息基本屬實(shí)。隨后，該單位立即報(bào)警，希望警方進(jìn)行徹查。

這些信息中包括考生的姓名、身份證號(hào)碼及其父母姓名、電話，名單覆蓋了內(nèi)蒙古自治區(qū)的12個(gè)盟市，數(shù)量最多的地方達(dá)4萬(wàn)多條。

技術(shù)原因：經(jīng)過認(rèn)真分析，基本可確定考生信息遭泄露原因大致有三種可能性，分別為“黑客”攻擊、“內(nèi)鬼”泄露和中介機(jī)構(gòu)或組織“人工”搜集。

事件十 過億郵箱用戶數(shù)據(jù)泄露? 網(wǎng)易稱遭黑客“撞庫(kù)”(2015.10)

來(lái)源：新浪科技

10月19日，烏云漏洞報(bào)告平臺(tái)接到一起驚人的數(shù)據(jù)泄密報(bào)告后 發(fā)布新漏洞，漏洞顯示網(wǎng)易用戶數(shù)據(jù)庫(kù)疑似泄露，影響到網(wǎng)易163、126郵箱過億數(shù)據(jù)，泄露信息包括用戶名、密碼、密碼密保信息、登錄IP以及用戶生日等。烏云方面指出，前不久，有不少網(wǎng)友抱怨稱自己的iCloud帳號(hào)被黑，綁定的iPhone手機(jī)被鎖敲詐等，他們共都采用了網(wǎng)易郵箱作為iCloud帳號(hào)。

技術(shù)原因：這次網(wǎng)易郵箱遭黑客“撞庫(kù)”，指黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，批量嘗試登陸其他網(wǎng)站。很多用戶在不同網(wǎng)站使用相同用戶和密碼，因此黑客可通過獲取用戶A網(wǎng)站的賬戶從而嘗試登陸B(tài)網(wǎng)站。

事件十一 偉易達(dá)被曝480萬(wàn)家長(zhǎng)及兒童信息泄露(2015.11)

來(lái)源：安全比特網(wǎng)

世界最大的電子玩具生產(chǎn)商之一偉易達(dá)集團(tuán)(VTech)于11月27日指出，11 月 14 日黑客入侵了 Learning Lodge 的客戶資料庫(kù)，但在接受報(bào)章查詢時(shí)不肯透露實(shí)際人數(shù)，只表示有香港客戶受影響;然而國(guó)外媒體 Motherboard 表示，他收到黑客入侵 VTech 的客戶資料，當(dāng)中有大約500萬(wàn)個(gè)家長(zhǎng)和超過20萬(wàn)個(gè)小童的資料，包括姓名、電郵地址、密碼和個(gè)人住址。

技術(shù)原因：目前VTech仍然使用較為落后的技術(shù)開發(fā)平臺(tái)，包括像ASP.NET 2.0框架, WCF, SOAP, 以及眾多的 Flash。同時(shí)VTech的官網(wǎng)以及注冊(cè)網(wǎng)站沒有使用像SSL等安全通信協(xié)議技術(shù)。經(jīng)過對(duì)VTech其中一個(gè)端口的掃描探測(cè)分析，也發(fā)現(xiàn)了可通過SQL查詢可獲取相關(guān)調(diào)試信息的漏洞。

事件十二 申通被曝13個(gè)安全漏洞 黑客竊取3萬(wàn)多客戶信息(2015.12)

來(lái)源：搜狐新聞

黑客利用申通快遞公司的管理系統(tǒng)漏洞，侵入該公司服務(wù)器，非法獲取了3萬(wàn)余條個(gè)人信息之后非法出售。在烏云平臺(tái)我們發(fā)現(xiàn)，2013年以來(lái)，該平臺(tái)至少公布了申通公司與信息泄露隱患有關(guān)的漏洞報(bào)告13篇，涉及系統(tǒng)弱口令、服務(wù)器目錄、管理后臺(tái)、快遞短信等各個(gè)方面，其中9份報(bào)告被標(biāo)注的危害等級(jí)為“高”。

技術(shù)原因：之所以選申通K8速運(yùn)管理系統(tǒng)下手，并得以利用其漏洞，是因?yàn)樵?ldquo;烏云網(wǎng)”上看到了公布出來(lái)的申通公司的系統(tǒng)漏洞。據(jù)不完全統(tǒng)計(jì)，“烏云網(wǎng)”公布的安全漏洞達(dá)77848個(gè)。一位IT技術(shù)員表示：“如果黑客對(duì)‘烏云網(wǎng)’公布的漏洞有興趣，那么只要知道企業(yè)名字和大概漏洞消息源頭，侵入這個(gè)企業(yè)，不是難事。”

小結(jié)

隨著網(wǎng)絡(luò)安全事件頻繁，一大批漏洞挖掘平臺(tái)涌現(xiàn)出來(lái)，漏洞盒子、烏云、阿里云云盾“先知計(jì)劃”、360補(bǔ)天等，既有第三方也有BAT巨頭。同時(shí)誕生了一大批通過挖漏洞賺錢、甚至以此為職業(yè)的白帽黑客。

基于此，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)與國(guó)內(nèi)32家互聯(lián)網(wǎng)和安全公司共同簽署了《中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》，以行業(yè)自律的方式共同規(guī)范安全漏洞信息的接收、處置和發(fā)布的公約。

“十三五”規(guī)劃建議提出要實(shí)施大數(shù)據(jù)和網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略，在政策的大力推動(dòng)下，網(wǎng)絡(luò)安全作為其重要組成部分將迎來(lái)快速發(fā)展機(jī)遇。我國(guó)在網(wǎng)絡(luò)安全方面的投入占整個(gè)IT比重僅為2%左右，遠(yuǎn)低于歐美國(guó)家10%左右的水平，潛在發(fā)展空間將達(dá)千億級(jí)別。

安華金和數(shù)據(jù)庫(kù)安全專家分析2015年verizon數(shù)據(jù)泄漏調(diào)查報(bào)告和全年的數(shù)據(jù)安全事件，可以發(fā)現(xiàn)以下幾個(gè)數(shù)據(jù)泄漏的原因：

使用失竊賬戶密碼依然是非法獲取信息的最主要途徑，三分之二的數(shù)據(jù)泄露都與漏洞或失竊密碼有關(guān)，位列前排的分別是雙因子認(rèn)證以及web services 的補(bǔ)丁;

發(fā)現(xiàn)大多數(shù)企業(yè)的安全管理和防護(hù)都無(wú)法跟上網(wǎng)絡(luò)犯罪的腳步，入侵企業(yè)只需要數(shù)分鐘或數(shù)小時(shí)，而企業(yè)發(fā)現(xiàn)和識(shí)別攻擊則需要數(shù)周甚至數(shù)月。

雖然外部工具遠(yuǎn)超過內(nèi)部威脅，但與知識(shí)產(chǎn)權(quán)有關(guān)相關(guān)時(shí)，內(nèi)部攻擊有抬頭趨勢(shì)。作為專業(yè)的數(shù)據(jù)庫(kù)安全專家，安華金和建議從以下幾點(diǎn)措施來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全防護(hù)：

措施一：通過數(shù)據(jù)庫(kù)漏掃定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全巡檢，發(fā)現(xiàn)數(shù)據(jù)庫(kù)使用中的安全隱患，及時(shí)人工進(jìn)行加固;

措施二：安全管理員要了解本單位數(shù)據(jù)庫(kù)中的數(shù)據(jù)資產(chǎn)，采取有針對(duì)性的安全防御措施，通過對(duì)數(shù)據(jù)庫(kù)中的敏感字段加密存儲(chǔ)，防“拖庫(kù)”;

措施三：通過數(shù)據(jù)庫(kù)防火墻實(shí)現(xiàn)數(shù)據(jù)庫(kù)的外圍防御圈，構(gòu)建數(shù)據(jù)庫(kù)的可信訪問環(huán)境;

網(wǎng)絡(luò)上可信：串聯(lián)數(shù)據(jù)庫(kù)防火墻后，黑客無(wú)法繞過數(shù)據(jù)庫(kù)防火墻直接訪問數(shù)據(jù)庫(kù)。

應(yīng)用服務(wù)器可信：通過IP/MAC綁定，確保只有授權(quán)服務(wù)器、設(shè)備訪問數(shù)據(jù)庫(kù)。

措施四：底線防守，超過閥值限制的批量查詢操作攔截，繞過合法應(yīng)用的訪問阻斷，禁止本地登錄;

措施五：對(duì)數(shù)據(jù)庫(kù)的敏感操作，一定要全部記入審計(jì)記錄，如果出現(xiàn)違規(guī)操作可以通過事后追責(zé)定責(zé)。

數(shù)據(jù)庫(kù)已經(jīng)成為數(shù)據(jù)泄漏的重災(zāi)區(qū)，在核心數(shù)據(jù)掌握企業(yè)命脈的年代，數(shù)據(jù)庫(kù)的防護(hù)成為整個(gè)安防體系中不可或缺的環(huán)節(jié)。