第四节——安全性控制.pdfVIP

第4章 数据库安全性 1 什么是秘密？ 美国海军2007年8月禁止一段视频录像继续在著 名视频网站“YouTube”上播出，原因是录像中有美 国海军圣迭戈基地“罗纳德·里根”号核动力航空母舰 上的画面，涉嫌泄密。录像中出现了航空母舰上的核 反应堆画面（有关部门认为任何与航空母舰上核反应 堆有关的图像都属高度军事机密）。令海军官员真正 感到不安的是，录像中出现几处士兵采取错误方式操 作安全设备的场景，有关部门担心这有损海军形象， 或对人们构成误导 2 推理也是泄密的渠道 2006年4月，美国空军一个基地的网站上出现重 大泄密，透露出布什总统专机“空军一号”反导防御 系统等机密信息。从这个网站的一份政府文件中，人 们可以轻易地知道两架“空军一号”详细的内部地图 ，包括飞机内特工人员所处的位置。这份文件还提到 了一个给“空军一号”提供服务的供氧地点， 声称恐 怖分子有可能引爆的这里的氧气罐。 3 不合 理的 使用 权限 伦敦警察局副局长于2009年4月8 日前往首相府参加会议， 手持一份标记有“机密”字样的文件，下车时被在场记者拍下照 片。文件内容朝外，字迹在照片上清晰可辨，记录着警方即将展 开的反恐突袭行动的详细方案，其中包括负责行动的几名高级警 官的姓名，以及恐怖分子在海外活动的地点和其它情报。 4 不合理的权限控制 美国联邦检察官2009年8月17日指控佛罗里达州 迈阿密居民阿尔贝特·冈萨雷斯利用黑客技术，盗窃大 约1.3亿张信用卡和借计卡的相关信息。美国司法部 官员认为，这是美国历史上最大的此类案件。该男子 曾是美国特工处线人，负责帮助特工处追踪黑客。特 工处后来发现冈萨雷斯“脚踏两只船”，认定他在帮 助特工处的同时，也与犯罪分子合作，向犯罪分子提 供调查信息。 5 自2011年12月21 日开始，中国最大开发者技术 社区CSDN的600万用户数据被泄露，其中包含极为 敏感的用户名、明文密码；次日，垂直游戏网站多玩 网被传泄露800万用户数据；25 日，号称“最有影响 力华人论坛”天涯社区4000万用户数据包被疯传； 51CTO、CNZZ、eNet、UUU9、YY语音、百合网、 开心网、人人网、美空网、珍爱网等相继被卷入用户 数据泄露风波；支付宝、当当网以及京东商城等电子 商务网站亦未幸免。 6 2012年1月10日晚间，国家互联网信息办（下称 国信办）就连环泄密事件所做的情况调查通报：近期 查处的五起信息泄露事件中，最终确认被黑客入侵并 遭泄露者仅CSDN和天涯社区两家网站，被入侵均为 2009年前的陈年往事；其余数据泄露或为公司内部职 员监守自盗，或是“一些人编造或炒作网站用户信息 被大规模泄露的消息”。 7 有网民由此认为：“CSDN明文储存密码，不 是技术问题，而是道德问题。” 为了用户的安全，应该在数据库里保存用户密码 的加密信息，最简单的MD5 （密码+随机字符串）方 式。