攻与防的较量—信息化安全提升的源动力（一）

信息化安全的提升，某种程度上，依赖于攻击与防护对抗的碰撞力度。攻击愈烈，防守意识愈能提升，安全防护的技术水平和能力愈加速发展；而防守越强，同时也刺激攻击手段不断“创新”与“求变”。

本次社保行业信息泄露事件的集中报道，就是信息化安全攻与防较量的一个典型代表。

1、社保数据遭受泄露事件曝光绝不”纯属偶然”；

7天连锁酒店的600万会员信息泄密；

CSDN 1000多万客户信息被窃取；

12306网站被攻破，上百万人的信息泄露；

“房叔房姐”信息屡被搜集挖掘，终被曝光；

陕西移动1300万的用户数据泄露，被运维工程师窃取网上兜售；

3.15晚会连续4年报道电信行业内鬼，持续倒卖客户信息；

近4、5年来，数据泄密事件层出不穷。大大小小的企业、组织都在遭到数据库泄密事件的重创。

组织整体的信息化安全结构和水平决定了安全攻击的目标和核心。

根据verizon 对2亿8500万次累计攻击行为调查而发布的数据泄露调查报告表明，数据库成为入侵者最主要的攻击目标，高达76%的数据泄露直接来自数据库。

2、安全事件发生的原因分析

1)当前信息化安全主要短板逐渐显示在后端

绝大部分政府/大型企业用户，当前已经进行了终端安全、网络安全防护，形成相对有效的边界安全防护能力，防火墙、防病毒软件、网站防攻击软件、CA认证系统等都已具备。

然而，在最接近核心资产数据库的后端”应用”和数据库部分，很多用户是没有有效防护手段甚至没有意识到需要安全防护。

2)B/S外网系统，存在明显的隐患，成为安全攻击的重要场所

B/S应用系统，由于其特殊的使用方式，使得终端用户可以轻松与后台应用服务进行互联，当前外网型B/S应用已经成为黑客及其他攻击者的首选试验田。

其中，最常用的就是利用应用系统、数据库的漏洞进行SQL注入。一旦SQL注入成功，可以轻松做到：一、不具备用户口令，但骗取登入应用；二、在查询窗口注入语句，可骗取应用的处理逻辑直接获得整表或大批量数据。

SQLMap等开源SQL注入工具，已经验证一大批B/S应用的注入点，成为攻击者的教学使用软件。

当前虽然有不少用户已经使用了WAF(WEB应用防火墙)等手段进行防护，但效果显然还不够健壮。目前已经曝光的多种SQL注入，是WAF不易防范的，如运算函数、SQL动态语句、数据库函数运算等特征的SQL注入等。

3)数据库自身缺陷，使得运维端容易获取批量数据

数据库自身的设计缺陷，使得DBA超级用户在数据库中完全不受限，另外有Oracle等数据库存在SYS超级用户本地访问不需校验密码等重大缺陷.

这使得运维域的管理员、驻场人员、运维人员、测试人员、网管等都有机会批量获取敏感数据。