山丽网安：里里外外多重威胁 本源数据加密或能以少胜多

看过电影《叶问》都会记住一句经典的台词——“我要一个打十个”。这句话不仅显示了叶问师傅的豪情，同样显出了他对自己武学的自信。这种以少胜多，以弱胜强的例子不仅在武术领域，就是在军事领域发生也会被奉为经典。但人们在感慨事件发生的不可思议的同时，更好奇它是如何产生的。在当今混乱或者安全威胁有点一面倒的信息时代，对于想防护企业数据安全的老总们和安全管理员来说，更是亟不可待地想要知道在数据、信息安全领域能以少胜多的方法。这里山丽网安，一个在数据、信息安全领域有十多年经验的数据安全产品生产商，或许可以指点一二。

克敌秘诀之一：知己知彼 了解数据、信息安全内外形势

 “知己知彼，百战不殆”这句古老的谚语已经被无数次验证，自然地在数据、信息安全防护的领域同样适用。

【内部形势——数据本源的威胁越来越多】对于数据本源的安全与否，从数据库的安全多少能看出些端倪来。

数据库安全的那点事儿,可能是每个DBA都会遇到的问题,同时也是最容易忽略的事。因为大多数开发团队都将精力放在了功能的实现上，很少去考虑安全相关的事儿，这也就给了黑客可乘之机。

 “我最初在一家小型BBS社区工作，主要是管理BBS的数据库系统。这家公司人数不多，主营业务在行业内竞争比较激烈。我还清晰的记得，某天中午正在吃饭，就被叫回公司，同事焦急地说：“我们可能被黑了，所有BBS注册用户的金币都多了10倍。”这意味着凭空而来的金币会导致社区用户对人民币充值的热情降低，直接影响公司的收入。

我首先想到的是有人入侵了数据库修改了数据，所以仔细的查了一下数据库的情况，看有没有留下一点痕迹。其实对于一个刚工作不久的DBA来说，我的经验不多，遇到问题还是有些措手不及。在忙乱中折腾了1个多小时，最后我终于想到了mysql的查询日志（querylog），仔细查看这个日志，发现从10.10.1.23这个IP发过来这样一条sql语句：updateaccountsetjinbi=jinbi*10。对了！就是它了，正是这个sql语句导致了所有BBS用户的金币都多了10倍。接下来我检查了10.10.1.23这个IP，这台机器其实是一台备机，还没有启用，所以操作系统安全等方面做的不够全面，黑客正是通过这台机器来操作数据库的。同时我又检查了一下mysql的权限，其中主机IP写的是10.10.*，写的是一个段的IP，正是因为这个设置，导致了黑客使用了有漏洞的机器来进行修改数据库的操作。”

这个案例深刻的告诉我mysql的权限控制有多重要。如果当时mysql的访问权限将IP设置为只允许应用服务器来连接的话，也不会出现这样的后果，所以今后的这几年我都很重视mysql的访问权限控制，仅允许必须的服务器来连接数据库，没有用的IP都屏蔽掉了。另外，就是querylog的重要性，因为它记录了所有尝试连接mysql的请求，如果某个IP不停的发出连接请求，并且总是用户名和密码错误，那么DBA就应该重视了，这样的操作很有可能就是黑客在尝试猜测mysql密码，这也是很危险的，应该及时采取措施来应对。

总之，安全无小事，一定要引起重视，同时要有良好的安全意识，因为良好的习惯是工作顺利进行的保证。在了解安全无处不在的同时，我们也该清醒地意识到数据本源的威胁正越来越近。

【外部形式——国际网战日趋明显 黑色预算浮出水面】据某报获得的绝密文件显示，美国情报机构在2011年实施了231次网络攻击行动，这是最前沿的秘密行动，它将互联网作为进行侦察、颠覆和作战行动的战场。

美国国家安全局前雇员爱德华·斯诺登提供的一份机密情报预算披露了最新的证据，表明奥巴马政府的黑客组织渗透和干扰外国计算机网络的活动在不断升级。

此外，在一场代号为“妖怪”的大规模行动中，美国计算机专家渗透进入外国网络，让这些网络都处于美国的秘密监控之下。预算文件称，这一耗资6.52亿美元的项目每年将远程传输的复杂恶意软件“秘密植入”数以万计的计算机、路由器和防火墙内，且还计划将这一数字扩展至每年数以百万计。

斯诺登提供的文件及对前美国官员的采访表明，美国的计算机渗透活动比之前预料的范围更广且更具侵略性。奥巴马政府将所有网络行动都列为机密，且拒绝承认这些行动的存在。

攻击性网络作战行动的范围和规模代表着一种政策的演变。在过去，这些政策旨在维护防止网络侵权行为的国际准则，其部分原因在于美国的经济和军事实力在很大程度上依赖于计算机。

预算文件还称，在2011年实施的231起网络攻击行动中，近四分之三针对的是“首要目标”，前美国官员称其中包括伊朗、俄罗斯、中国和朝鲜等敌对国家及核扩散等行动。文件没有就这些行动提供其他详细信息。

这则新闻中的6.52亿美元的惊人数字，让国际 “网络战争”动用的黑色预算浮出水面，从而反映出当今国际网络信息安全的危险一触即发。

克敌制胜秘诀之二：以不变应万变 固守根基借力打力

虽然内外的安全形势不容乐观，但是作为想要防护个人、企业甚至是国家信息安全的人来说，防护好自己的根基，灵活应对才是上上之策。而固守根源在信息、数据安全防护领域来说数据加密时最好的选择，同时为了增加灵活性，采用能适应各种加密环境，同时能自主选择加密模式的多模加密技术则是上上之选。而山丽防水墙正是这种技术的典型代表。

克敌制胜秘诀之三：内外坚固 对症下药

有了巩固的根基和灵活的应对手段之后，想要彻底解决未来可能的发生的各种安全问题，防范于未然，企业就必须主动出击。而主动出击必须做到内外坚固，对症下药。这里山丽网安建议企业利用权限管理划分内部数据、文档操作、阅览、使用等权限，从而最大限度的避免了误操作和内鬼带来的安全隐患；同时利用安全网关和预警系统从网络节点防护和预警威胁两方面量应对外部多样的安全危机。

了解方法，最后就是最关键的信念。在电影中、决斗中、战争中是必胜的信念催生奇迹的发生，而在信息、数据安全防护领域，安全意识就是这关键的“信念”。良好的安全意识配合本源防护、灵活防护的数据安全产品或者加密软件，相信定能在数据安全领域做到内外坚固、以弱胜强！

                                   关键字：数据加密  数据安全  加密软件

版权声明：此文为山丽原创，转载请注明作者和出处。