IT审计有哪些账号权限安全事件案例?

举例：各种数据库被脱裤（拖库）：

2011.4，索尼7700w用户信息被通过网络窃取。

2011.6 花旗集团36w用户xyk信息，造成270w美元损失

CSDN600w、天涯4000w、人人网500w、珍爱网200w、weibo.com、多玩、163、雅虎、12306？

2012.1 美国电子商务网站Zappos遭黑 2400万用户信息被窃

2012.7 雅虎用户登陆账户信息泄露45w份。利用特殊的SQL注入方式渗透到雅虎网站的子区域。

2013.2 台湾诺基亚 10w账号泄露

2013.1 平安订单查询风险。

某安全部门统计：全国至少3亿用户密码泄露，还未揭露更多地下的。

再对生活的影响：

【0】stuxnet超级工厂病毒。2010.7开始爆发。使用了4个微软系统的0day，世界上第一个直接攻击工业基础设施的恶意代码。

【1】俄罗斯境内的IP地址2011年11月份对美国伊利诺斯州Curran-Gardner城区供水系统的SCADA系统发动攻击，远程遥控水泵频繁开关并最终导致烧毁，造成大面积停水。

【2】12306自动脚本抢票。360、搜狗、金山、傲游等浏览器、人民网抢票插件。进而由网络抢票发展到电话抢票、手机抢票。

【3】2012年10月底，京东商城“积分换话费”活动新上线爆出问题，很大一部分用户都充值了上千元的Q币和话费，有用户借机充值了36万元的话费，导致京东亏损2亿元。

其实很容易知道，看看人人的招聘条件：

WEB开发工程师

技能要求:

对面向对象和设计模式有较清晰的认识；

熟悉JAVA编程，熟悉JSP；

了解Linux开发环境。

再看数据库招聘需求：

数据库研发工程师

技能要求:

熟悉Linux *** 作系统

熟练掌握SQL语言

熟练掌握MySQL的配置与优化

熟悉Shell编程（或Python/Perl/Ruby其中之一也可）

也可以从其他网站对人人网的架构介绍看出来：

人人网在初期，由于用户的数目不多，技术不强，经济不足，人人网的架构也非常的简单，和普通小网站没什么区别，数据库也是采用简单的主外键关联的表，由于技术上面的不足，造成人人网的访问效率很低。但是由于网站的不断壮大，就需要不断增强网站的技术，以解决网站高负载带来的问题。看过一个校内网CTO的采访，简单了解了现在校内网某些方面的技术架构，本着共享的精神，希望共同学习。

1、前端web层采用框架技术，主要采用Struts作为展示框架。同时对于富有表现力的富客户端，我认为应该使用了AJAX框架和灵活的css模板和修改功能。

2、图片采用专门的文件服务器。这也是一些大型的门户网站采用一种方式，通过建立独立的文件服务器，对数据流量比较大的图片文件进行分流，有效的减轻了主服务器的承载压力。

3、Mysql集群。随着用户的增多和访问量的增大，数据库的承载能力也要不断的增强，现在校内网采用分布式的数据库管理，利用mysql庞大的机群，对数据库的访问压力进行分流，即减轻了数据库的访问压力，由提高了数据的访问效率，这也是为什么现在校内网比以前访问速度快的原因

同时，人人网广泛的采用基于内存的数据库缓存。利用缓存的确可以提高数据的访问速度，但是人人网比一般的网站做的更加的彻底，通过硬件的支持，几乎把用户要广泛用到的所有数据进行了缓存处理，这也是现在人人网为什么数据访问比以前快很多的原因。

4、人人网现在广泛的采用数据挖掘技术，通过对数据的分析，深刻的了解用户的习惯和需求，并进行相应的调整，增强了用户体验。