贩卖者称3000可购买学习通整个数据库,信息时代,如何防止隐私泄露

贩卖者称3000可购买学习通整个数据库,信息时代,如何防止隐私泄露,第1张

贩卖者称3000块钱就能够购买学习通的整个数据库,这个消息震惊了所有人。不少人都产生了恐慌的感觉,庆幸的是学习通及时的做出了回应,表示目前为止并没有发现信息泄露的证据,并且已经向公安机关申请备案,公安正在进一步的调查当中。学习通是不少大学生经常会使用的一种学习软件,数据库信息不仅包括学生的姓名、性别,还包括学生的手机号以及学号。

随着科技的不断发展,人们获得信息的渠道也越来越多,大数据时代会让人们的生活变得十分便利,但是也会带来一些弊端,一些不法分子就利用了这些消息,对人们进行诈骗。人们在日常生活中需要做好日常防护,要避免着自己的信息发生泄露。如果人们并不在家中,那么就不能够随便连WiFi,如果需要用到网络,就需要取消自己的定位信息,但是很多人并没有意识到这一点。

人们在网上发布消息的时候,最好不要显示地址,发照片也是同样的道理,并不能够随意的扫描二维码,需要有安全意识。生活中的许多人喜欢向大家分享自己的生活,表达自己的喜悦之情,因此在不经意之间就可能会在网上放出车票或者机票的照片,但这些票据上面有着自己的名字,还有着自己的身份z号,因此人们需要做好管理,需要妥善的保存这些票据,并不能够随便的丢弃。

如果人们有换手机的需求,那么旧的手机也需要谨慎处理,并不能够直接丢了,因为旧手机上有许多个人信息,如果想要卖掉手机,那么就需要删掉里面的一些内容、信息以及照片,同时还需要格式化手机。人们在点开网站的时候,也许会看到各种各样的广告,人们需要有甄别的意识,并不能够被这些广告蒙蔽了双眼,并不能够在陌生的网站上注册账户,并不能够随意留下银行账号或者身份z号。

摘 要: 针对目前主流数据库的安全防护功能配置方式不灵活、不能应变需求的问题,在HOOK技术的基础上融入组态思想,设计并实现了一种适用于不同数据库的自主安全防护系统(DSS)。在SQLITE上的相关实验表明,利用DSS完全可以实现独立于特定数据库的自主安全防护,大大提高了数据安全防护的灵活性。

关键词: 数据库安全; HOOK API; 访问控制; 数据库审计; SQLITE; 自主安全系统

近年来,有关数据库的安全事故不断出现,例如银行内部数据信息泄露造成的账户资金失密等。因此,高度重视数据库安全防护很有必要。但一直以来,国内数据库产业化发展缓慢,市场份额中较大一部分被国外大型数据库企业占有。这对于国内用户而言,信息的安全性、稳定性等方面都会受到威胁。有的系统涉及使用多个数据库,并且对每个数据库的安防功能要求各不相同。这样,在保障整个系统安全的目标下就需要对每个数据库进行专门配置管理,不但维护难度很大,而且工作也比较繁重。面对这些实际问题,目前的数据库系统自带的安全防护配置方式已不能胜任,如何提出一个灵活独立的安全防护系统迫在眉睫。

1 相关安全防护技术介绍

目前,数据库系统面临的主要威胁有:(1)对数据库的不正确访问引起数据库数据的错误。(2)为了某种目的,故意破坏数据库。(3)非法访问不该访问的信息,且又不留痕迹;未经授权非法修改数据。(4)使用各种技术攻击数据库等。多年来,人们在理论和实践上对数据库系统安全的研究做出了巨大的努力,也取得了很多成果。参考文献[1-2]介绍了保护数据库安全的常用技术,包括:存取管理技术、安全管理技术、以及数据库加密技术,并给出了一些实现途径。其中,访问控制和安全审计作为数据库安全的主要保障措施受到了人们广泛关注,参考文献[3]对访问控制技术中的基本策略进行了总结,给出了实现技术及各自的优缺点。参考文献[4]主要针对权限建模过程中的权限粒度问题做了分析,并提出一个基于角色的访问控制框架。进入21世纪以后,访问控制模型的研究重点开始逐渐由集中式封闭环境转向开放式网络环境,一方面结合不同的应用,对原有传统模型做改进,另一方面,也提出一些新的访问控制技术和模型,比较著名的有信任管理、数字版权管理和使用控制模型 [5]。审计通过对数据库内活动的记录和分析来发现异常并产生报警的方式来加强数据库的安全性[6]。目前,在我国使用的商品化关系数据库管理系统大都提供了C2级的审计保护功能,但实现方式和功能侧重有所不同。周洪昊等人[7]分析了Oracle、SQL Server、DB2、Sybase的审计功能,分别从审计系统的独立性、自我保护能力、全面性和查阅能力四个方面对审计功能做出改进[7]。参考文献[8]则针对审计信息冗余、审计配置方式死板以及数据统计分析能力不足等问题,在数据库系统已有的审计模块基础上,重新设计和实现了一种新型的数据库安全审计系统。

但所有的这些工作都是从 数据库 系统的角度出发,并没有从本质上解决安全防护对数据库系统的依赖性问题,用户还是很难对数据库提供自主的安全防护功能。如果能将安全防护从数据库管理系统中彻底独立出来,针对不同的应用需求允许用户自己实现安全防护功能模块并在逻辑上加入到数据库应用系统中,这样问题也就迎刃而解了。

通过以上分析,本文提出一种独立于具体数据库、可组态的安全防护模型,并给出具体的实现方法。该模型将安全防护从数据库完全独立出来,在多数据库应用中实现集中配置安防,满足用户对于自主防护功能的需求。并在开源的嵌入式数据库产品SQLITE中做了功能测试,实验结果表明,该模型切实可行,达到了预想的效果,既能实现对系统的保护,又大大提高了系统的灵活性。

2 自主安全防护系统的设计与实现

自主安全防护系统DSS(Discretionary Safety System)的主要功能是阻止用户对信息的非法访问,在可疑行为发生时自动启动预设的告警流程,尽可能防范数据库风险的发生,在非法 *** 作发生时,触发事先设置好的防御策略,实行阻断,实现主动防御,并按照设置对所发生的 *** 作进行详细记录,以便事后的分析和追查。

21 系统结构

在DSS中,安全管理员使用角色机制对用户的权限进行管理,通过制定安全策略来设置核心部件Sensor以及访问控制部件。核心部件Sensor侦听用户的数据库 *** 作请求,采用命令映射表将不同的命令映射为系统识别的命令,提取出安全检查所需要的信息,发送到访问控制模块进行安检。安检通过了则允许用户访问数据库,否则拒绝访问,同时根据审计规则生成记录存入审计日志。

DSS作为独立的功能模块主要通过向Sensor提供数据库的调用接口的方式保障对数据库信息安全合理地访问。系统有一个默认的访问控制流程,用户也可以自己设定安全策略,系统自动生成相应访问控制流程。本文约定被访问的对象为客体,请求 *** 作的用户为主体。

22 系统实现

系统实现主要分为系统数据字典设计、用户登录与用户管理、系统相关策略制定、侦听器(Sensor)的实现、访问控制以及日志审计六部分。原数据库API信息(dll)、用户的自主防护策略作为输入,Sensor核心一方面将用户的防护策略融合在原数据库的API接口中,另一方面记录用户对数据库的 *** 作并生成日志,提供给用户做审计。用户在使用过程中不需要修改原有系统,即可实现自主防护。

Sensor由API处理模块、访问控制模块(Access Control)、Sensor核心模块(Core)、注射模块四部分组成。Core是Sensor的核心部件,主要负责拦截接口,解析并分离接口中的重要信息,使程序转入自定义的安检程序中执行安全检查。Access Control组件实现不同级别的访问控制,根据用户提供的安检信息,组态出对应的安防模块,并在合适的时候调用其进行访问控制。API(dll)主要将数据库系统提供的接口信息,转化为dll以便Sensor侦听时使用。Inject/Eject为Sensor提供远程注射的功能。

Core通过拦截对API的调用来实现定制功能。程序在调用API函数之前,首先要把API所在的动态链接库载入到程序中;然后将API函数的参数、返回地址(也就是函数执行完后,下一条语句的地址)、系统当前的环境(主要是一些寄存器的值)压入系统调用栈;接着,进入到API函数的入口处开始执行API函数,执行过程中从系统调用栈中取出参数,执行函数的功能,返回值存放在EAX寄存器中,最终从堆栈中取出函数的返回值并返回(参数压栈的顺序还要受到调用约定的控制,本文不详细介绍)。

举例说明函数调用时堆栈的情况。假设调用约定采用_stdcall,堆栈由高向低递减,API为Int func(int a, int b, int c)。

拦截主要通过HOOK API技术实现,可以拦截的 *** 作包括DOS下的中断、Windows中的API调用、中断服务、IFS和NDIS过滤等。目前微软提供了一个实现HOOK的函数库Detours。其实现原理是:将目标函数的前几个字节改为jmp指令跳转到自己的函数地址,以此接管对目标函数的调用,并插入自己的处理代码。

HOOK API技术的实质是改变程序流程。在CPU的指令集中,能够改变程序流程的指令包括JMP、CALL、INT、RET、RETF、IRET等。理论上只要改变API入口和出口的任何机器码,都可以实现HOOK。但实际实现上要复杂得多,主要需要考虑如何处理好以下问题:(1)CPU指令长度。在32 bit系统中,一条JMP/CALL指令的长度是5 B,因此只需要替换API中入口处的前5 B的内容,否则会产生不可预料的后果。(2)参数。为了访问原API的参数,需要通过EBP或ESP来引用参数,因此需要明确HOOK代码中此时的EBP/ESP的值。(3)时机问题。有些HOOK必须在API的开头,如CreateFileA( )。有些必须在API的尾部,如RECV()。(4)程序上下文内容的保存。在程序执行中会涉及修改系统栈的内容,因此注意保存栈中原有内容,以便还原。(5)在HOOK代码里尽量杜绝全局变量的使用,以降低程序之间的耦合性。通过以上的分析,整理出如图4所示的实现的流程。

DSS与传统数据库的安全防护功能相比,具有以下特点:

(1)独立于具体的数据库。这种独立性体现在:①DSS只需要数据库提供其接口信息即可工作。②支持不同标准的SQL语句,通过数据库命令映射表可将非标准的SQL语句映射为系统设置的SQL命令。③系统自身数据的物理存储是独立于数据库的。

(2)灵活性和针对性的统一。用户可以根据自己的需要配置针对特定应用的相关规则。

(3)完善的自我安全保护措施。DSS只有数据库安全管理员和安全审计员才能访问。安全管理员和安全审计员是一类特殊的用户,他们只负责安全方面的 *** 作,而不能访问数据库中的数据。这与Oracle等的数据库不同,在这些数据库中,DBA可以进行所有的 *** 作。DSS系统本身具有故障恢复能力,能使系统出现问题时恢复到一个安全的状态。

(4)完备的信息查阅和报警功能。在DSS中,本文提供了便利的设计查阅工具,方便用户对系统进行监控。另外,用户也可以自己定义报警条件和报警处理措施,一旦满足报警条件,系统就会自动地做出响应。

3 实验及结果分析

DSS的开发主要采用VS 2005实现,开发完成后在一台主频为28 GHz、内存2 GB、装有Windows 2000 *** 作系统的普通 PC机上对其进行了功能和性能的测试,使用的数据库是开源的嵌入式数据库SQLite 36。为了搭建测试环境,需要在SQLite中添加初始化系统自身的数据字典,并开发应用程序。测试内容包括:登录、用户管理、Sensor、访问控制、日志审计以及增加DSS前后数据库系统安全性变化等功能性测试和增加DSS系统后对数据库性能的影响两方面。其中,性能测试主要从时间和资源的增加情况来说明,针对不同数据库对象分别在五个级别(20 000、40 000、60 000、80 000、100 000)的数据上进行了插入和查询 *** 作测试。为了做好性能对比,在SQLite中也添加了相同的访问控制功能,记为Inline Processing。

从功能测试结果可以看出,DSS可以为数据库系统提供自主防护。从性能测试的结果中看出,查询 *** 作和插入 *** 作耗时相差比较大,这主要是SQLite工作方式引起的,在执行用户的插入 *** 作时,数据库需将内存中的数据写入磁盘数据库文件中,占用了一部分时间。而查询时,SQLite会将数据库文件部分内容缓存起来,加快了查询的速度。另外,增加DSS会对性能有略微的影响,但是它能实现对数据库系统自主保护。

本文针对传统数据库安全防护功能配置不灵活的问题,提出了一种基于HOOK技术的数据库通用安全防护系统。该系统的最大优点在于,它不受数据库自身的约束,完全独立于数据库系统,为用户提供一种按需定制的功能,不仅增加了安防配置的灵活性而且提高了通用性,可以用于不同的数据库系统中。

怎么才能避免公司重要数据发生泄漏?

企业可以根据自身情况采取有针对性的措施,实现有针对性、彻底的泄漏事故预防。因此,数据泄漏预防主要考虑以下两个重要方面:

一、确保源数据安全并加密核心数据

确保数据安全的加密已成为大多数信息安全专家的共识。无论是防火墙、防病毒软件、入侵检测、“老三样”信息安全系统,还是新兴的在线行为管理、防水墙等系统,都已在实践中证明无法防范漏洞。无论企业网络各个端口的控制有多严格,由于数据本身的处理不安全,都会留下很大的泄漏隐患。任何智能的在线行为控制都不能阻止内部人员直接卸载硬盘并将其挂在另一台计算机上复制数据。

利用加密手段对数据进行加密和保护已成为业界的主要做法。目前,国内市场上有许多供企事业单位使用的计算机文件加密软件。例如,有一个“计算机文件加密软件的趋势”,这是一个专门为企业和机构设计的基于高强度加密算法的软件。它不仅可以加密高强度的计算机文件,还可以设置访问权限。它只能通过打开加密文件来实现禁止复制内容、保存和打印。它只能允许用户读取文件的内容,从而大大保护了计算机文件的安全性。同时,通过系统加密的文件即使泄露,也必须输入密码才能打开,从而大大保护了计算机文件的安全性,同时也方便了计算机文件的传输和传输。另外,U盘、移动硬盘等USB存储设备的文件可以加密,从而消除了USB存储设备的泄漏行为。

二、防止数据生成、存储、使用、修改、循环和破坏生命周期中的泄漏

通常,企业会使用 *** 作系统的文件访问权限和用户帐户来设置共享文件的访问限制。一些安全性要求较高的单元也会通过部署Windows域控制器来保护共享文件的安全性,尽管上述措施可以发挥一定的作用。但是,要完全保护服务器共享文件的安全性是不可能的,特别是在允许用户访问共享文件、禁止用户复制共享文件的内容、禁止共享文件保存到本地磁盘、禁止将共享文件拖拽到访客自己的计算机等以及上传时。通过电子邮件附件、网络磁盘、FTP文件或聊天软件发送文件。服务器共享文件的发送行为使得共享文件的安全性存在各种风险。总之,商业秘密的保护和企业数据防漏的实现需要从企业管理的层面上建立严格的防范措施、法规甚至保密协议。另一方面,还需要通过多种措施的联合应用,充分利用各种计算机文件加密软件、服务器文件管理系统、计算机文件防漏系统等措施。只有这样才能最大限度地保护计算机文件,防止数据泄漏。

附加数据库就可以完成附加数据库:企业管理器--右键"数据库"--所有任务--附加数据库--选择你的mdf文件名--确定--如果提示没有ldf文件,是否创建,选择"是"查询分析器中的方法:--有数据文件及日志文件的情况sp_attach_db'数据库名','数据文件名(mdf注意要带目录)'--后面可以是用,分隔的该数据库的多个数据文件,'日志文件名(ldf注意要带目录)'--后面可以是用,分隔的该数据库的多个日志文件--如果只有数据文件的情况,'数据文件名(mdf注意要带目录)'--后面可以是用,分隔的该数据库的多个数据文件

以上就是关于贩卖者称3000可购买学习通整个数据库,信息时代,如何防止隐私泄露全部的内容,包括:贩卖者称3000可购买学习通整个数据库,信息时代,如何防止隐私泄露、数据库自主安全防护如何实现 数据库自主安全防护技术介绍【详解】、怎么才能避免公司重要数据发生泄漏等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/sjk/9790244.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-02
下一篇 2023-05-02

发表评论

登录后才能评论

评论列表(0条)

保存