網路安全事件分析之CSDN洩密門事件 - 篇一
CSDN資料庫被黑 600萬用戶資料被公佈在網際網路上
事件內容:
2011年12月,CSDN的安全系統遭到黑客攻擊,600萬用戶的登入名、密碼及郵箱遭到洩漏。經排查,金山毒霸員工疑為隱私洩露源頭,金山深陷“洩密門”。隨後,CSDN“密碼外洩門”持續發酵,天涯、世紀佳緣等網站相繼被曝使用者資料遭洩密。天涯網於12月25日釋出致歉信,稱天涯4000萬用戶隱私遭到黑客洩露。
CSDN洩密原理剖析與破解攻略
有專家認為從報道中提供的賬號密碼截圖和已經獲得的資料庫密碼錶來看,可以斷定是網站存在SQL注入漏洞,導致黑客可以很順利的利用黑客工具進行攻擊,從而獲得資料庫的訪問許可權以及有可能獲得主機的控制權限,更有可能利用這種漏洞攻擊關聯的認證系統,如郵件、網銀、電子貨幣等等。儘管與明文保護密碼相關,但是CSDN洩密事件的根源還在於SQL注入漏洞。
什麼是SQL注入漏洞?
SQL注入漏洞是已經盛行很久的黑客攻擊行為,黑客通過網站程式原始碼中的漏洞進行SQL注入攻擊,滲透獲得資料庫的訪問許可權,獲得賬號及密碼只是其中最基礎的一個內容。這種漏洞還會導致主機許可權的丟失,關聯認證系統的竊取等。” 目前,SQL注入漏洞廣泛存在於網際網路和私有網路當中,主要的問題是程式設計師疏漏造成的結果。雖然目前有很多開發框架能約束程式設計師的開發行為,但開發者如果執意減少程式碼,還是很容易造成安全性問題的存在。
在先進的開發過程中,對原始碼編譯和釋出以後,除了功能和效能測試外,CSO們應該通過權威的安全審計工具對網站系統進行安全性測試,檢查是否存在SQL注入、跨站指令碼和遠端惡意程式執行的漏洞。如果存在漏洞,很多時候CSO是有權否決系統上線,防止安全事件的產生。不過這種黑盒審計費時費力,還容易遺漏,不但耽誤業務系統上線,同時會引申出來。
但是,本次洩密事件中明確的發現CSDN的網站在上線系統是欠缺這種檢測。其中賬號密碼一部分存在dearbook的字樣,顯然是對接系統的認證中心被攻破,這部分漏洞如果還不進行修復,即使使用者更改密碼,仍然會被黑客再次攻擊獲得使用者密碼。
人類使用密碼的思維其實很簡單和固定,大部分人會使用一種特殊規則的密碼,這種密碼很難猜測,但是黑客通過SQL注入的漏洞進行攻擊時,卻不受這些制約。黑客的這種攻擊行為其實是利用了SQL注入的漏洞,獲得資料庫的訪問許可權。黑客通過這種許可權,就像是開發者一樣,向資料庫提交查詢語句,一步步的獲得資料庫中的使用者賬號及密碼。
SQL注入漏洞攻擊路線圖
黑客們在攻擊資料庫時,有著一些必經的路線圖,SQL注入漏洞攻擊就好似在問資料庫問題:
1、你的名字是什麼?
2、你有什麼表格?
3、表格中有什麼列?
4、某列的第1行長度是多少?
5、第1位是不是a?b?c?d?„„z?
6、第2位是不是a?b?c?d?„„z?
7、第N位是不是a?b?c?d?„„z?
8、如果拿到賬號及密碼則到公共網路進行密文的破解,如果是明文則直接使用。
9、登入認證系統,使用獲取到的賬號密碼許可權去申請資源或欺騙基於資訊系統的信任成員。
SQL注入漏洞帶來的警示
1、網站和雲端計算服務商的安全急需依據標準構建
網站、雲端計算應當仔細的保護好自己的資料庫系統,防止黑客從合法協議、埠和授權中獲得非授權內容。國際上很早就對資訊保安有了明確的安全標準,如著名的ISO17799、ISO27001以及OWASP等。在物聯網、雲端計算、私有網行業盛行的今天,資訊保安的問題尤為重要。如果由資訊系統控制的生產系統受到黑客的攻擊、破壞或篡改,會造成社會不安定不和諧的因素。並且很多攻擊,從SQL注入入手,還會延伸到發生病毒、垃圾郵件、釣魚網站和欺騙等等問題。
2、防火牆的無力
防火牆技術主要是解決開放埠,只對通訊協議是否可以使用起作用,而不去管理協議中的內容是否有雜質,就防堤壩一樣,指定埠的資料通過時,是否存在泥沙並不進行處理。
SQL注入攻擊的防禦就像在合法埠中建立起來詳細的安全稽核制度,防止那些不規範的程式碼被黑客利用。這種防禦就如同在堤壩通過的流量中加入了更細的過濾網,把威脅從中過濾。
本次“密碼門”事件主要問題就出在伺服器端,而非防火牆。
總結
但凡因漏洞而導致的問題,通常都伴隨著對一些問題的疏忽,或者是技術的疏忽,或者是管理上的疏忽,簡言之就是自己出問題了。因此,戰略上藐視而戰術上必須重視這些問題,否則正所謂防不勝防,而最致命、最難防的還是自己的疏忽。沒有無漏洞的系統,也沒有無漏洞的網路,天下無賊只是一種理想的境界,因此時時將資訊保安放於心中,放到實際行動當中,找尋到最佳的解決方案才可能將危險降到最低,甚至杜絕這種危險。
最後,雖然此次事件的責任不在廣大使用者,但是,也是給我們廣大使用者提了一個醒:網際網路是不安全的,不要認為自己有密碼就可以高枕無憂。自己在設定密碼的時候一定要設定強有力的密碼,不要設定簡單的很容易被別人破解的密碼。同時,我們每個人在網際網路上可能會有多的賬號,每個賬號要有密碼,不要圖省事就所有賬號用一個密碼,一旦一個密碼被別人識破,所有賬號都會不安全了。
洩密事件應急預案 篇二
洩密事件應急預案
1、風險分析與事件分級 1.1、事故型別與危害分析
公司在生產經營過程中,存在發生重大失洩密事件的風險。失、洩密事件有造成公司或集團公司、國家經濟損失,為國家安全帶來影響的危險。失洩密事件發生主要有以下四種情況。
a)洩密資訊違規上傳到資訊系統或網際網路連線的計算機,造成失洩密;
b)密級檔案丟失,被竊取造成失洩密; c)攜帶祕密資訊處境造成失洩密; d)重要會議、活動出現失洩密。 1.2、適用範圍
本預案適用於各部門範圍內的失洩密事件。
2、組織機構及職責
根據洩密事件的性質內容,以及涉密單位和人員情況,成立保密工作應急指揮領導小組,下設督查協調組、調查補救組和密級鑑定組。 2.1人員組成組長:宋儉
副組長:周興發 樑峰 王青
組員:吳成兵 王元守 楊佳佳 孟萊 範允雷 2.1.2職責:
a)負責應急指揮工作,負責啟動本預案,並根據事態發展制定和調整應急預案;
b) 負責確認失洩密事件等級; c)負責制定失洩密事件補救措施;
d)負責對是洩密事件調差和提出處理意見; e)負責向上級報告是洩密事件情況。 2.2事件調查組 2.2.1人員組成
組長:吳成兵 組員:趙文傑 鄧滿昌
2.2.2職責
a)負責應急處理人員、資源的排程工作
b)負責對事件進行調查、取證,收集、整理應急預案處置過程資料
c)負責突發事件資訊的上報 d)負責應急處理指令的傳達
e)負責提出對失洩密責任人的處理意見 2.3時間補救組 2.3.1人員組成
組長:發生洩密事件部門,單位負責人
組員:辦公室、資訊化管理員、事件發生部門、單位相關人員 2.3.2職責
a負責對事件發生部門的洩密載體、計算機、密集檔案及人員進行控制管理;
b負責鑑定失洩密資訊的密級
C負責是洩密事件可能造成的後果的預測及預防
d負責制低能補救措施,降低、減少突發事件帶來的損失。
3、應急響應解除
當突發事件得到有效控制,應急領導小組組長宣佈解除應急響應
4、應急保障 4.1通訊與資訊
各部門人員的應急聯絡方式
吳成兵:*** 範允雷:*** 孟萊:*** 王元守:1588516689 楊佳佳:***
5、附則 5.1制定和解釋
本預案由辦公室組織制定,並負責解釋。 5.2預案的實施
本預案自發布之日實施。
“門”事件 篇三
這年頭“門”事件真是多如牛毛不計其數。韓寒有“部落格門”;楊臣剛有“簡訊門”;郭敬明深陷“抄襲門”;金莎、斯琴格日樂挑起了“潑婦門”當然“涉門人員”最多,最讓人津津樂道的還是陳冠希的“豔照門”。陳冠希的新專輯有一首主打歌叫《還記得我嗎?》估計這件事後大家都記得他了。
總之豔照門事件仁者見仁,智者見智,道者見淫。無聊的人可以把他當成娛樂事件來看;教育家可以把他當作教育事件來看;有正義感的人可以把他當作社會事件來看;在娛樂圈裡混的人完全可以把它看作一個不成功的炒作案例。
如果這件事真和我上面說的一樣,各種人各取所需的話,倒也有些價值,但大部分人還是帶著獵奇心理來的啊,除了使本來就扭曲的心更加扭曲以外好像沒什麼裨益。
雲南白藥洩密事件 篇四
雲南白藥洩密事件
涉及洩露國家祕密。 國家祕密的定義
雲南白藥國家中藥保密品種,雲南著名的中成藥,由雲南民間醫生曲煥章於1902年研製成功。對跌打損傷、創傷出血有很好的療效。中藥保密品種:目前國內對中藥的最高級別保護,對已列入國家祕密技術專案的中藥品種,其處方、劑量、製法等內容進行保密。最高的保密級別為絕密級,永久保密。
國內“保密配方”的雲南白藥在美國市場銷售時,以中英文對照的方式清楚地註明了包括散瘀草、苦良姜等中草藥在內的7種成分和含量。雲南白藥在中國屬於具有“國家祕密”和“商業祕密”雙重性質的中藥一級保護品種,分別受到《中藥品種保護條例》和《反不正當競爭法》的保護。如果雲南白藥企業主體單方面披露配方,則國家祕密被洩露了;如果企業沒有披露,而是其他方面披露的,則國家祕密和企業商業祕密都被洩露了。不管是哪種情況,都需要追究有關人員的法律責任。
中國“改革開放”以來,國內發生的系列併購案一再表明,其國外資本核心的戰略意圖,就是藉助中國官方寬鬆政策,通過實施國內民族品牌參股、控股、併購的戰略步驟,漸而達到對國內民族品牌控制、閒置、扼殺的戰略規劃,從而實現全面經濟控制的戰略目的。從2010年接二連三發生的事件形式來看,自達能與娃哈哈之戰受阻,可口可樂併購匯源未果。國外資本業已感到國內強大民族牴觸情緒的壁壘,不得不重新調整策略,行業間的“交流與合作”儀式由官方轉入民間;形式由正面轉入地下,方式由資本侵吞改為利用“偽皇軍”製造內訌。現在如今,美國僅僅只是通過要求公開上市銷售藥品的成分,假使以藥物身份進入國外市場,則需要通過三期臨床試驗才可能批准上市。國內一些醫藥企業為了符合FDA的規定,或是為了迎合特定國外消費者的特殊需求,直接公開藥物配方,以保健品等身份進入美國或者其他海外市場,減少了藥物身份進入,需要通過三期臨床試驗才可能被批准上市的麻煩。一方面可以說為了達到自己的根本目的,國外資本對國內民族品牌手段可謂用心良苦、防不勝防。而另一方面也可以看出國人的自我保護意識,產權保護意識薄弱,更令人擔心的是﹐由於經濟全球化帶來的若干新規則﹐極有可能在不久後還會出現吃自己祖宗留下的“中藥”方子﹐卻要向外國人支付專利使用費的情況。實則令人可笑了。
同時根據《中藥品種保護條例》第十三條的規定,“中藥一級保護品種的處方組成、工藝製法,在保護期限內由獲得《中藥保護品種證書》的生產企業和有關的藥品生產經營主管部門、衛生行政部門及有關單位和個人負責保密,不得公開。”明確的法律條文規定,雲南白藥向國外公開其所含成分及配方涉及到了洩漏國家祕密。
不涉及洩漏國家祕密
不涉及洩漏國家祕密
1、消費者不應該被保密
既然叫做“國家保密配方”,竟然在別的國家被曝光,如此“國家保密配方”實在是徒有虛名。不過,假如就此認定雲南白藥洩露了國家保密配方,甚至認為雲南白藥的“保密”僅僅針對中國人,卻未必就是事實。
在中國,雲南白藥等一批國家中藥一級保護品種的藥品,在產品包裝成分欄中享受著“特殊待遇”,不公開配方,寫著“國家保密方”。
祕方保護住了,企業踏實了,但是監管部門的監管權、消費者的知情權在哪裡?如果沒有監管權和知情權,消費者的安全保障又在哪裡?難道我們可以放心大膽地把人的生命交給不受監管的逐利的企業嗎?
為了追逐利潤最大化,企業有權選擇是像可口可樂那樣保密,還是公開祕密以獲得進入市場之許可。這麼看來,真正尷尬的應該是“國家保密配方”——不惜給予擁有國家保密品種藥品的生產企業具有自主定價權、專利保護等優勢,結果還是沒能守得住祕密。而據報道,曾有多達1200箇中藥品種向科技部和保密局申報保密品種。由是觀之,對於企業來說,其實“國家保密配方”就是句廣告詞,只不過是為了把價格定得高些,多掙點銀子罷了。既如此,當務之急顯然是將諸多名不副實的“國家保密配方”光環去掉,將虛高的藥價打回原形。具有中國特色的“國家免檢食品”已經出過大問題,誰能保證打著受國家保護藥方招牌的企業不做自律不嚴甚至傷天害理的事情來?因此,給消費者吃的食品和治病的藥品,其成分應該公開,必須公開,沒有商量!
2、公開成分會不會要了企業的命
一個產品的性狀、品質和療效,與處方、劑量和製法三個要素相關聯。一劑中藥含有什麼雖然比較重要,但是配比與製作程式和方法更重要,配比與工藝才是技術的核心。雲南白藥在美國被公佈成分,不值得大呼小叫。雲南白藥不傻,雲南白藥生產的核心機密根本沒有在這上面,雲南白藥出色的市場營銷更不是靠國家保密成功的。他深知公開了白藥成分,雲南白藥企業不會因此垮掉,高仿白藥不會從此橫行。 進軍發達國家市場,功夫在“配方”之外!
對於製藥企業來說,中藥的配比與製作方法才是技術創新的核心,這一點才是政策所要著力保護的地方。如今,國內藥企的利潤已經降至冰點,而歐美市場對中藥卻有著巨大的需求,中藥走出國門不僅僅是權宜之策,而且關乎生存之道。但現今的政策環境,一方面讓名優藥品坐收壟斷紅利,藥品質量止步不前;另一方面,普通藥企卻玩換藥品名的把戲,將主要精力放在了要批文、打價格戰上,忽視了技術創新。前些年,各路中藥企業遠征歐美,最後卻全軍覆沒,與這種市場亂象不無關係。
各行各業都不甘落後,高喊“與國際接軌”的口號。中藥業要走出去與國際接軌,不僅要在市場上接軌,更重要的是在政策上的接軌。只有這樣,搶灘歐美市場的中藥企業才不至於水土不服折戟國外市場。對於決策者來說,雲南白藥“保密門”背後的政策負效應已經凸顯,讓中藥業走出去,相關政策的調整刻不容緩,只有這樣,中藥業亂象的鍋才能被端掉。
本來祕方沒那麼重要,進軍發達國家市場,功夫更是在“配方”之外!
中藥本來應該是中國製藥企業在世界上的立足之本,因為對於西醫西藥,我們在中醫中藥更有自主創新能力,更有可能取得很多專利。
表面上看,公眾一般會認為這是藥企崇洋媚外的勾當,實際上卻是藥企適應國外藥品流通政策的結果。換句話說,“保密門”涉及國內外政策的落差。值得深究的是保密政策帶來的後果,《中藥品種保護條例》的初衷是為了保護國內名優中藥,提高中藥的質量,促進中藥業的健康發展。但實際的效果,卻是嬌慣了祕方的擁有企業,他們在坐收壟斷利益的同時,並沒有動力開展技術創新。另外一方面,配方成分都不能公開,這種絕密式的保密政策,其實擋住了其他藥企涉足的大門,競爭不存在了,藥品質量的提升就失去了現實的動力。
洩密事件應急預案A 篇五
洩密事件應急預案
一、編制目的
為建立健全專案各類洩密安全突發事件應急處置機制,為提高發生失洩密事件應急處置能力,最大限度地減少失洩密事件所造成的損害,制定本預案。
二、領導小組
我專案設制失洩密事件工作領導小組,組長由專案經理擔任,副組長由書記擔任,成員由各部門負責人組成。涉密工作領導小組主要職責: 2.1負責啟動本預案; 2.2負責確認洩密事件等級; 2.3負責制定洩密事件補救措施;
2.4負責對洩密事件調查和提出處理意見; 2.5負責向省市國家保密局報告洩密事件情況
三、洩密危害等級確認程式
發生失洩密事件的單位或發現失洩密事件的個人,應當在8小時內,以書面或其他形式向涉密工作領導小組報告。報告的內容包括:
(一)發生失洩密事件的部位;
(二)被洩露國家祕密的主要內容、密級、數量及載體形式; (三)失洩密事件發現(生)的時間、地點、簡要過程等; (四)已造成或可能造成的危害; (五)事件責任人的基本情況;
(六)已採取或擬採取的查處辦法和補救措施。
四、失洩密事件的查處
(一)已向國家保密、國家安全或公安部門報案的,由有關部門負責查處,涉密工作領導小組協助,事件發生部門配合; (二)未向國家保密、國家安全或公安部門報案的,由涉密工作領導小組組織查處,事件發生部門配合;
(三)調查失洩密統計資訊的密級、內容、保密期限、生產日期、規定的知悉範圍,事件發生的時間、渠道和範圍,責任人或嫌疑人等;
(四)採取果斷措施,追查涉密統計資訊的流失渠道,收繳流失的資訊資料,防止失洩密範圍進一步擴大
(五)在事件未調查清楚之前,應會同有關部門防止媒體、網路對失洩密事件的報道和炒作;
(六)對出現在公共網路、出版物、廣播、電視等媒體上的洩密資訊,協調相關職能部門,責令有關單位立即刪除、收繳、停播、銷售,並收繳有關涉密載體。
七、根據調查結果,由事件發生部門對相關責任人做出處理;需追究刑事責任的,移交司法機關依法追究刑事責任。
八、對失洩密事件隱瞞不報的,應追究有關人員和領導的責任。
九、事件查處結束後,在適當範圍內進行通報,以達到警示、教育的目的。
十、對失洩密事件查處做出突出貢獻的個人,參照《國家統計局保密工作規定》,給予適當的表彰和獎勵