CSDN數據庫被黑 600萬用户資料被公佈在互聯網上
事件內容:
2011年12月,CSDN的安全系統遭到黑客攻擊,600萬用户的登錄名、密碼及郵箱遭到泄漏。經排查,金山毒霸員工疑為隱私泄露源頭,金山深陷“泄密門”。隨後,CSDN“密碼外泄門”持續發酵,天涯、世紀佳緣等網站相繼被曝用户數據遭泄密。天涯網於12月25日發佈致歉信,稱天涯4000萬用户隱私遭到黑客泄露。
CSDN泄密原理剖析與破解攻略
有專家認為從報道中提供的賬號密碼截圖和已經獲得的數據庫密碼錶來看,可以斷定是網站存在SQL注入漏洞,導致黑客可以很順利的利用黑客工具進行攻擊,從而獲得數據庫的訪問權限以及有可能獲得主機的控制權限,更有可能利用這種漏洞攻擊關聯的認證系統,如郵件、網銀、電子貨幣等等。儘管與明文保護密碼相關,但是CSDN泄密事件的根源還在於SQL注入漏洞。
什麼是SQL注入漏洞?
SQL注入漏洞是已經盛行很久的黑客攻擊行為,黑客通過網站程序源碼中的漏洞進行SQL注入攻擊,滲透獲得數據庫的訪問權限,獲得賬號及密碼只是其中最基礎的一個內容。這種漏洞還會導致主機權限的丟失,關聯認證系統的竊取等。” 目前,SQL注入漏洞廣泛存在於互聯網和私有網絡當中,主要的問題是程序員疏漏造成的結果。雖然目前有很多開發框架能約束程序員的開發行為,但開發者如果執意減少代碼,還是很容易造成安全性問題的存在。
在先進的開發過程中,對源代碼編譯和發佈以後,除了功能和性能測試外,CSO們應該通過權威的安全審計工具對網站系統進行安全性測試,檢查是否存在SQL注入、跨站腳本和遠程惡意程序執行的漏洞。如果存在漏洞,很多時候CSO是有權否決系統上線,防止安全事件的產生。不過這種黑盒審計費時費力,還容易遺漏,不但耽誤業務系統上線,同時會引申出來。
但是,本次泄密事件中明確的發現CSDN的網站在上線系統是欠缺這種檢測。其中賬號密碼一部分存在dearbook的字樣,顯然是對接系統的認證中心被攻破,這部分漏洞如果還不進行修復,即使用户更改密碼,仍然會被黑客再次攻擊獲得用户密碼。
人類使用密碼的思維其實很簡單和固定,大部分人會使用一種特殊規則的密碼,這種密碼很難猜測,但是黑客通過SQL注入的漏洞進行攻擊時,卻不受這些制約。黑客的這種攻擊行為其實是利用了SQL注入的漏洞,獲得數據庫的訪問權限。黑客通過這種權限,就像是開發者一樣,向數據庫提交查詢語句,一步步的獲得數據庫中的用户賬號及密碼。
SQL注入漏洞攻擊路線圖
黑客們在攻擊數據庫時,有着一些必經的路線圖,SQL注入漏洞攻擊就好似在問數據庫問題:
1、你的名字是什麼?
2、你有什麼表格?
3、表格中有什麼列?
4、某列的第1行長度是多少?
5、第1位是不是a?b?c?d?„„z?
6、第2位是不是a?b?c?d?„„z?
7、第N位是不是a?b?c?d?„„z?
8、如果拿到賬號及密碼則到公共網絡進行密文的破解,如果是明文則直接使用。
9、登錄認證系統,使用獲取到的賬號密碼權限去申請資源或欺騙基於信息系統的信任成員。
SQL注入漏洞帶來的警示
1、網站和雲計算服務商的安全急需依據標準構建
網站、雲計算應當仔細的保護好自己的數據庫系統,防止黑客從合法協議、端口和授權中獲得非授權內容。國際上很早就對信息安全有了明確的安全標準,如著名的ISO17799、ISO27001以及OWASP等。在物聯網、雲計算、私有網行業盛行的今天,信息安全的問題尤為重要。如果由信息系統控制的生產系統受到黑客的攻擊、破壞或篡改,會造成社會不安定不和諧的因素。並且很多攻擊,從SQL注入入手,還會延伸到發生病毒、垃圾郵件、釣魚網站和欺騙等等問題。
2、防火牆的無力
防火牆技術主要是解決開放端口,只對通訊協議是否可以使用起作用,而不去管理協議中的內容是否有雜質,就防堤壩一樣,指定端口的數據通過時,是否存在泥沙並不進行處理。
SQL注入攻擊的防禦就像在合法端口中建立起來詳細的安全審核制度,防止那些不規範的代碼被黑客利用。這種防禦就如同在堤壩通過的流量中加入了更細的過濾網,把威脅從中過濾。
本次“密碼門”事件主要問題就出在服務器端,而非防火牆。
總結
但凡因漏洞而導致的問題,通常都伴隨着對一些問題的疏忽,或者是技術的疏忽,或者是管理上的疏忽,簡言之就是自己出問題了。因此,戰略上藐視而戰術上必須重視這些問題,否則正所謂防不勝防,而最致命、最難防的還是自己的疏忽。沒有無漏洞的系統,也沒有無漏洞的網絡,天下無賊只是一種理想的境界,因此時時將信息安全放於心中,放到實際行動當中,找尋到最佳的解決方案才可能將危險降到最低,甚至杜絕這種危險。
最後,雖然此次事件的責任不在廣大用户,但是,也是給我們廣大用户提了一個醒:互聯網是不安全的,不要認為自己有密碼就可以高枕無憂。自己在設置密碼的時候一定要設置強有力的密碼,不要設置簡單的很容易被別人破解的密碼。同時,我們每個人在互聯網上可能會有多的賬號,每個賬號要有密碼,不要圖省事就所有賬號用一個密碼,一旦一個密碼被別人識破,所有賬號都會不安全了。
泄密事件應急預案
1、風險分析與事件分級 1.1、事故類型與危害分析
公司在生產經營過程中,存在發生重大失泄密事件的風險。失、泄密事件有造成公司或集團公司、國家經濟損失,為國家安全帶來影響的危險。失泄密事件發生主要有以下四種情況。
a)泄密信息違規上傳到信息系統或互聯網連接的計算機,造成失泄密;
b)密級文件丟失,被竊取造成失泄密; c)攜帶祕密信息處境造成失泄密; d)重要會議、活動出現失泄密。 1.2、適用範圍
本預案適用於各部門範圍內的失泄密事件。
2、組織機構及職責
根據泄密事件的性質內容,以及涉密單位和人員情況,成立保密工作應急指揮領導小組,下設督查協調組、調查補救組和密級鑑定組。 2.1人員組成組長:宋儉
副組長:周興發 樑峯 王青
組員:吳成兵 王元守 楊佳佳 孟萊 範允雷 2.1.2職責:
a)負責應急指揮工作,負責啟動本預案,並根據事態發展制定和調整應急預案;
b) 負責確認失泄密事件等級; c)負責制定失泄密事件補救措施;
d)負責對是泄密事件調差和提出處理意見; e)負責向上級報告是泄密事件情況。 2.2事件調查組 2.2.1人員組成
組長:吳成兵 組員:趙文傑 鄧滿昌
2.2.2職責
a)負責應急處理人員、資源的調度工作
b)負責對事件進行調查、取證,收集、整理應急預案處置過程資料
c)負責突發事件信息的上報 d)負責應急處理指令的傳達
e)負責提出對失泄密責任人的處理意見 2.3時間補救組 2.3.1人員組成
組長:發生泄密事件部門,單位負責人
組員:辦公室、信息化管理員、事件發生部門、單位相關人員 2.3.2職責
a負責對事件發生部門的泄密載體、計算機、密集文件及人員進行控制管理;
b負責鑑定失泄密信息的密級
C負責是泄密事件可能造成的後果的預測及預防
d負責制低能補救措施,降低、減少突發事件帶來的損失。
3、應急響應解除
當突發事件得到有效控制,應急領導小組組長宣佈解除應急響應
4、應急保障 4.1通訊與信息
各部門人員的應急聯繫方式
吳成兵:*** 範允雷:*** 孟萊:*** 王元守:1588516689 楊佳佳:***
5、附則 5.1制定和解釋
本預案由辦公室組織制定,並負責解釋。 5.2預案的實施
本預案自發布之日實施。
這年頭“門”事件真是多如牛毛不計其數。韓寒有“博客門”;楊臣剛有“短信門”;郭敬明深陷“抄襲門”;金莎、斯琴格日樂挑起了“潑婦門”當然“涉門人員”最多,最讓人津津樂道的還是陳冠希的“豔照門”。陳冠希的新專輯有一首主打歌叫《還記得我嗎?》估計這件事後大家都記得他了。
總之豔照門事件仁者見仁,智者見智,道者見淫。無聊的人可以把他當成娛樂事件來看;教育家可以把他當作教育事件來看;有正義感的人可以把他當作社會事件來看;在娛樂圈裏混的人完全可以把它看作一個不成功的炒作案例。
如果這件事真和我上面説的一樣,各種人各取所需的話,倒也有些價值,但大部分人還是帶着獵奇心理來的啊,除了使本來就扭曲的心更加扭曲以外好像沒什麼裨益。
雲南白藥泄密事件
涉及泄露國家祕密。 國家祕密的定義
雲南白藥國家中藥保密品種,雲南著名的中成藥,由雲南民間醫生曲煥章於1902年研製成功。對跌打損傷、創傷出血有很好的療效。中藥保密品種:目前國內對中藥的最高級別保護,對已列入國家祕密技術項目的中藥品種,其處方、劑量、製法等內容進行保密。最高的保密級別為絕密級,永久保密。
國內“保密配方”的雲南白藥在美國市場銷售時,以中英文對照的方式清楚地註明了包括散瘀草、苦良姜等中草藥在內的7種成分和含量。雲南白藥在中國屬於具有“國家祕密”和“商業祕密”雙重性質的中藥一級保護品種,分別受到《中藥品種保護條例》和《反不正當競爭法》的保護。如果雲南白藥企業主體單方面披露配方,則國家祕密被泄露了;如果企業沒有披露,而是其他方面披露的,則國家祕密和企業商業祕密都被泄露了。不管是哪種情況,都需要追究有關人員的法律責任。
中國“改革開放”以來,國內發生的系列併購案一再表明,其國外資本核心的戰略意圖,就是藉助中國官方寬鬆政策,通過實施國內民族品牌參股、控股、併購的戰略步驟,漸而達到對國內民族品牌控制、閒置、扼殺的戰略規劃,從而實現全面經濟控制的戰略目的。從2010年接二連三發生的事件形式來看,自達能與娃哈哈之戰受阻,可口可樂併購匯源未果。國外資本業已感到國內強大民族牴觸情緒的壁壘,不得不重新調整策略,行業間的“交流與合作”儀式由官方轉入民間;形式由正面轉入地下,方式由資本侵吞改為利用“偽皇軍”製造內訌。現在如今,美國僅僅只是通過要求公開上市銷售藥品的成分,假使以藥物身份進入國外市場,則需要通過三期臨牀試驗才可能批准上市。國內一些醫藥企業為了符合FDA的規定,或是為了迎合特定國外消費者的特殊需求,直接公開藥物配方,以保健品等身份進入美國或者其他海外市場,減少了藥物身份進入,需要通過三期臨牀試驗才可能被批准上市的麻煩。一方面可以説為了達到自己的根本目的,國外資本對國內民族品牌手段可謂用心良苦、防不勝防。而另一方面也可以看出國人的自我保護意識,產權保護意識薄弱,更令人擔心的是﹐由於經濟全球化帶來的若干新規則﹐極有可能在不久後還會出現吃自己祖宗留下的“中藥”方子﹐卻要向外國人支付專利使用費的情況。實則令人可笑了。
同時根據《中藥品種保護條例》第十三條的規定,“中藥一級保護品種的處方組成、工藝製法,在保護期限內由獲得《中藥保護品種證書》的生產企業和有關的藥品生產經營主管部門、衞生行政部門及有關單位和個人負責保密,不得公開。”明確的法律條文規定,雲南白藥向國外公開其所含成分及配方涉及到了泄漏國家祕密。
不涉及泄漏國家祕密
不涉及泄漏國家祕密
1、消費者不應該被保密
既然叫做“國家保密配方”,竟然在別的國家被曝光,如此“國家保密配方”實在是徒有虛名。不過,假如就此認定雲南白藥泄露了國家保密配方,甚至認為雲南白藥的“保密”僅僅針對中國人,卻未必就是事實。
在中國,雲南白藥等一批國家中藥一級保護品種的藥品,在產品包裝成分欄中享受着“特殊待遇”,不公開配方,寫着“國家保密方”。
祕方保護住了,企業踏實了,但是監管部門的監管權、消費者的知情權在哪裏?如果沒有監管權和知情權,消費者的安全保障又在哪裏?難道我們可以放心大膽地把人的生命交給不受監管的逐利的企業嗎?
為了追逐利潤最大化,企業有權選擇是像可口可樂那樣保密,還是公開祕密以獲得進入市場之許可。這麼看來,真正尷尬的應該是“國家保密配方”——不惜給予擁有國家保密品種藥品的生產企業具有自主定價權、專利保護等優勢,結果還是沒能守得住祕密。而據報道,曾有多達1200箇中藥品種向科技部和保密局申報保密品種。由是觀之,對於企業來説,其實“國家保密配方”就是句廣告詞,只不過是為了把價格定得高些,多掙點銀子罷了。既如此,當務之急顯然是將諸多名不副實的“國家保密配方”光環去掉,將虛高的藥價打回原形。具有中國特色的“國家免檢食品”已經出過大問題,誰能保證打着受國家保護藥方招牌的企業不做自律不嚴甚至傷天害理的事情來?因此,給消費者吃的食品和治病的藥品,其成分應該公開,必須公開,沒有商量!
2、公開成分會不會要了企業的命
一個產品的性狀、品質和療效,與處方、劑量和製法三個要素相關聯。一劑中藥含有什麼雖然比較重要,但是配比與製作程序和方法更重要,配比與工藝才是技術的核心。雲南白藥在美國被公佈成分,不值得大呼小叫。雲南白藥不傻,雲南白藥生產的核心機密根本沒有在這上面,雲南白藥出色的市場營銷更不是靠國家保密成功的。他深知公開了白藥成分,雲南白藥企業不會因此垮掉,高仿白藥不會從此橫行。 進軍發達國家市場,功夫在“配方”之外!
對於製藥企業來説,中藥的配比與製作方法才是技術創新的核心,這一點才是政策所要着力保護的地方。如今,國內藥企的利潤已經降至冰點,而歐美市場對中藥卻有着巨大的需求,中藥走出國門不僅僅是權宜之策,而且關乎生存之道。但現今的政策環境,一方面讓名優藥品坐收壟斷紅利,藥品質量止步不前;另一方面,普通藥企卻玩換藥品名的把戲,將主要精力放在了要批文、打價格戰上,忽視了技術創新。前些年,各路中藥企業遠征歐美,最後卻全軍覆沒,與這種市場亂象不無關係。
各行各業都不甘落後,高喊“與國際接軌”的口號。中藥業要走出去與國際接軌,不僅要在市場上接軌,更重要的是在政策上的接軌。只有這樣,搶灘歐美市場的中藥企業才不至於水土不服折戟國外市場。對於決策者來説,雲南白藥“保密門”背後的政策負效應已經凸顯,讓中藥業走出去,相關政策的調整刻不容緩,只有這樣,中藥業亂象的鍋才能被端掉。
本來祕方沒那麼重要,進軍發達國家市場,功夫更是在“配方”之外!
中藥本來應該是中國製藥企業在世界上的立足之本,因為對於西醫西藥,我們在中醫中藥更有自主創新能力,更有可能取得很多專利。
表面上看,公眾一般會認為這是藥企崇洋媚外的勾當,實際上卻是藥企適應國外藥品流通政策的結果。換句話説,“保密門”涉及國內外政策的落差。值得深究的是保密政策帶來的後果,《中藥品種保護條例》的初衷是為了保護國內名優中藥,提高中藥的質量,促進中藥業的健康發展。但實際的效果,卻是嬌慣了祕方的擁有企業,他們在坐收壟斷利益的同時,並沒有動力開展技術創新。另外一方面,配方成分都不能公開,這種絕密式的保密政策,其實擋住了其他藥企涉足的大門,競爭不存在了,藥品質量的提升就失去了現實的動力。
泄密事件應急預案
一、編制目的
為建立健全項目各類泄密安全突發事件應急處置機制,為提高發生失泄密事件應急處置能力,最大限度地減少失泄密事件所造成的損害,制定本預案。
二、領導小組
我項目設制失泄密事件工作領導小組,組長由項目經理擔任,副組長由書記擔任,成員由各部門負責人組成。涉密工作領導小組主要職責: 2.1負責啟動本預案; 2.2負責確認泄密事件等級; 2.3負責制定泄密事件補救措施;
2.4負責對泄密事件調查和提出處理意見; 2.5負責向省市國家保密局報告泄密事件情況
三、泄密危害等級確認程序
發生失泄密事件的單位或發現失泄密事件的個人,應當在8小時內,以書面或其他形式向涉密工作領導小組報告。報告的內容包括:
(一)發生失泄密事件的部位;
(二)被泄露國家祕密的主要內容、密級、數量及載體形式; (三)失泄密事件發現(生)的時間、地點、簡要過程等; (四)已造成或可能造成的危害; (五)事件責任人的基本情況;
(六)已採取或擬採取的查處辦法和補救措施。
四、失泄密事件的查處
(一)已向國家保密、國家安全或公安部門報案的,由有關部門負責查處,涉密工作領導小組協助,事件發生部門配合; (二)未向國家保密、國家安全或公安部門報案的,由涉密工作領導小組組織查處,事件發生部門配合;
(三)調查失泄密統計信息的密級、內容、保密期限、生產日期、規定的知悉範圍,事件發生的時間、渠道和範圍,責任人或嫌疑人等;
(四)採取果斷措施,追查涉密統計信息的流失渠道,收繳流失的信息資料,防止失泄密範圍進一步擴大
(五)在事件未調查清楚之前,應會同有關部門防止媒體、網絡對失泄密事件的報道和炒作;
(六)對出現在公共網絡、出版物、廣播、電視等媒體上的泄密信息,協調相關職能部門,責令有關單位立即刪除、收繳、停播、銷售,並收繳有關涉密載體。
七、根據調查結果,由事件發生部門對相關責任人做出處理;需追究刑事責任的,移交司法機關依法追究刑事責任。
八、對失泄密事件隱瞞不報的,應追究有關人員和領導的責任。
九、事件查處結束後,在適當範圍內進行通報,以達到警示、教育的目的。
十、對失泄密事件查處做出突出貢獻的個人,參照《國家統計局保密工作規定》,給予適當的表彰和獎勵
蒙田範文網