企业 2013 年最高的 10 个信息安全威胁是哪些?

标签: 企业 信息安全 | 发表时间:2013-09-04 20:51 | 作者:王音
出处:http://www.zhihu.com
以下是我认为如今威胁企业信息安全的威胁所在,以及排序和对应的描述:
  • A1-引用不安全的第三方应用
第三方开源应用、组件、库、框架和其他软件模块;
过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加。由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷。

  • A2-互联网泄密事件/撞库攻击
以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。

  • A3-XSS跨站脚本攻击/CSRF
属于代码注入的一种,XSS发生在当应用程序获得不可信的数据并发送到浏览器或支持用户端脚本语言容器时,没有做适当的校验或转义。XSS能让攻击者在受害者的浏览器上执行脚本行,从而实现劫持用户会话、破坏网站Dom结构或者将受害者重定向到恶意网站。

  • A4-系统错误/逻辑缺陷带来的自动化枚举
由于应用系统自身的业务特性,会开放许多接口用于处理数据,如果接口或功能未进行严谨的安全控制或判断,将会促进骇客加快攻击应用程序的过程,大大降低了骇客发现威胁的人力成本。
随着模块化的自动化攻击工具包越来越趋向完善,将给应用带来最大的威胁。

  • A5-注入漏洞
注入缺陷不仅仅局限于SQL,还包括命令、代码、变量、HTTP响应头、XML等注入。
程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,当不可信的数据作为命令或查询的一部分被发送到解释器时,注入就会发生。攻击者的恶意数据欺骗解释器,让它执行意想不到的命令或者访问没有准确授权的数据。

  • A6-应用错误配置/默认配置
数应用程序、中间件、服务端程序在部署前,未针对安全基线缺乏严格的安全配置定义和部署,
将为攻击者实施进一步攻击带来便利。常见风险:flash默认配置,Access数据库默认地址,WebDav配置错误,Rsync错误配置,应用服务器、Web服务器、数据库服务器自带管理功能默认后台和管理口令。

  • A7-敏感信息泄露
由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露,攻击者可能会通过收集这些保护不足的数据,利用这些信息对系统实施进一步的攻击。

  • A8-未授权访问/权限绕过
多数业务系统应用程序仅仅只在用户客户端校验授权信息,或者干脆不做访问控制规则限制,如果服务端对来自客户端的请求未做完整性检查,攻击者将能够伪造请求,访问未被授权使用的功能。

  • A9-账户体系控制不严/越权操作
与认证和会话管理相关的应用程序功能常常会被攻击者利用,攻击者通过组建的社会工程数据库,检索用户密码,或者通过信息泄露获得的密钥、会话token、GSID和利用其它信息来绕过授权控制访问不属于自己的数据。如果服务端未对来自客户端的请求进行身份属主校验,攻击者可通过伪造请求,越权窃取所有业务系统的数据。

  • A10-企业内部重要资料/文档外泄
无论是企业还是个人,越来越依赖于对电子设备的存储、处理和传输信息的能力。
企业重要的数据信息,都以文件的形式存储在电子设备或数据中心上,企业雇员或程序员为了办公便利,常常将涉密数据拷贝至移动存储介质或上传至网络,一旦信息外泄,将直接加重企业安全隐患发生的概率。

— 完 —
本文作者: 王音

【知乎日报——比新闻更多】听亲历者和内行专家八仙过海谈新闻,离现场更近一点。
下载知乎新 app - 知乎日报客户端(Android / iPhone 同步上架):
http://daily.zhihu.com/download

此问题还有 5 个回答,查看全部。
延伸阅读:
安全感是什么?
你用的360安全卫士还是金山卫士?为什么?

相关 [企业 信息安全] 推荐:

企业 2013 年最高的 10 个信息安全威胁是哪些?

- - 知乎每日精选
以下是我认为如今威胁企业信息安全的威胁所在,以及排序和对应的描述:. A1-引用不安全的第三方应用. 第三方开源应用、组件、库、框架和其他软件模块;. 过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加. 由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷.

云环境下的信息安全

- - 技术改变世界 创新驱动中国 - 《程序员》官网
背景:阿里云已获得由BSI(英国标准协会)审核的ISO 27001信息安全管理体系国际认证,该体系涵盖基础设施、数据中心和云产品,包括阿里云弹性计算、开放数据处理服务(ODPS)、关系型数据库服务(RDS)、云安全服务(云盾). ISO 27001是一种被广泛采用的全球安全标准,它建立在定期评估风险的基础上,采用安全控制和最佳实践相结合的系统化方法来管理公司和客户信息.

我所认知的甲方信息安全建设经验

- - IT瘾-dev
推开门 烟火中的红尘 宣纸上 是故事里的人.   毕业至今,从最初在乙方安全厂商做安全服务,辗转到互联网公司做安全研发,现今在金融国企做安全建设工作. 几年信息安全职业生涯,我经历了从乙方到甲方的角色转换,经历了从互联网到国企的转变. 兜兜转转的几年时间里,随着日常工作内容的改变,我对信息安全的认知也发生了一些变化.

高效信息安全团队常用的八种数据可视化方法

- - IT经理网
大数据时代大数据本身的安全成为一个新的安全挑战,但与此同时大数据技术也为信息安全技术的发展起到极大推动作用,例如数据可视化技术和方法的引入可以大大提高信息安全的预防、侦测和事件响应等环节的效率. 俗话说一图抵万言,本文我们将介绍高效信息安全团队常用的八种数据可视化方法. 一、层级树状图(Hierarchical Tree Map).

360周鸿祎:IOT时代的信息安全 六挑战三原则

- - 周鸿祎博客
360周鸿祎:IOT时代的信息安全 六挑战三原则.     前一段时间我干了很多和安全关系不大的事情,看到了很多传统行业的老大如何患上“互联网焦虑症”,他们害怕互联网成为传统价值的毁灭者,其实这些是对于互联网的一些误解,所以我还写了一本书,讲我的互联网方法论. 我想了想是在过去的20年里互联网最大的力量就是实现了“网聚人的力量”,互联网把我们很多人连接起来.

信息安全工程师登陆非诚勿扰,随后邮箱被黑客窃取

- RustingSword - 素包子
观看地址http://www.qiyi.com/zongyi/20100927/n41295.html. 杯具的是在节目末尾他公开了他的邮箱,没多久,黑客就进入了他的邮箱,发现了下面的邮件,看来效果不错,单身的同学可以考虑上非诚勿扰,但要准备好勇气和智慧面对24位挑剔的美女.

常州社区医院尝试区块链试点 各级医院信息安全互通 改变传统医患关系

- - TECH2IPO/创见
比特币底层技术区块链在金融领域安全可信的应用,在医疗体系也能发挥出巨大价值吗. 8 月 17 日,阿里健康宣布与常州市合作医联体+区块链试点项目:将最前沿的区块链科技,应用于常州市医联体底层技术架构体系中,并已实现当地部分医疗机构之间安全、可控的数据互联互通,用低成本、高安全的方式,解决长期困扰医疗机构的「信息孤岛」和数据安全问题.

好农民是企业家

- 躲在街角的猫 - 南桥的博客
去上海之前,我跑了一趟宜兴,去部长在太湖边设的农场. 农场我虽然没有去过,但看了很多相片. 这次回去,发觉又增添了两间套房,可供希望躲藏起来搞创作的人居住. 农场有竹林,有茶地,有鱼塘,有山羊,有鸭子,有鸡,物产丰富. 早晨的时候,年龄大一点的老农尹大叔带我参观,去了菜园子. 菜园子种着十几种菜蔬,一茬罢了一茬跟上,几乎吃不完.

企业用研二三事

- - 腾讯CDC
  互联网产品层出不穷,不同于大多数个人产品,企业产品的直接使用者为企业用户. 企业用户要比个人用户复杂得多,有着相当大的区别. 除了个人因素外,还有环境、组织、个体间等影响因素. 对应地,在做企业产品的用户研究工作时,我们需要针对企业用户的特殊性和复杂性来进行相应的规划和执行. 目前我主要从事企业产品的用户研究工作,之前也从事过一段时间的个人产品用户研究工作,对企业用研和个人用研的差异小有感受.

再谈企业架构

- - 人月神话的BLOG
本篇为杂谈,谈下最近关于企业架构的一些思考. 对于企业架构有很多定义,简单来说的话可以说企业架构包括了三个方面的内容,一个是业务的现状和建模,一个是IT的现状和建模,还有就是业务和IT的匹配. 业务重点是流程和数据,IT的重点是应用和技术. 所有的企业架构基本都包括了这三个方面的内容,只是前面增加了企业愿景和业务目标驱动,后面增加了可落地的实施策略和计划.