读耗子叔的《从Equifax信息泄露看数据安全》

Posted erbiao

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了读耗子叔的《从Equifax信息泄露看数据安全》相关的知识,希望对你有一定的参考价值。

本文永久地址:https://www.cnblogs.com/erbiao/p/9214219.html

最近正好看到耗子叔《从Equifax信息泄露看数据安全》这篇文章,就来说一下这篇文章给我带来的一些东西。在上一篇文章中主要介绍了Equifax数据泄露事件始末,已经对事件发生的原因做了分析。《从Equifax信息泄露看数据安全》则基于事件讲述了数据安全相关的知识。比如数据泄露前一些常见的攻击方法:

  ①利用程序框架或库的已知漏洞

  ②暴力破解密码

  ③代码注入

  ④社会工程学

以及数据管理上的问题:

  ①安全防护层次单一

  ②弱密码或者明文存储密码

  ③向不可信网络区域暴露核心系统

  ④未监控系统或软件安全事件,导致漏洞百出

  ⑤关键信息写入磁盘文件,但文件有未做好权限管控。

相应的也给出一下安全性方面的建议(或最佳实践):

  ①了解你所用到的软件,时刻跟踪相关安全信息

  ②建立相关安全补丁发布流程,加快漏洞修复时间

  ③在多个层面建立安全防护

  ④做好异常访问的监控

  ⑤上线必要的集成自动化测试

  ⑥将关键数据隔离在安全级别非常高的区域,做好审计、监控、访问记录,强制敏感数据只入不出

  ⑦等等。

 

以上是关于读耗子叔的《从Equifax信息泄露看数据安全》的主要内容,如果未能解决你的问题,请参考以下文章

Equifax因Struts漏洞未及时打补丁 面临4500亿美元集体诉讼赔偿

从疑似华住集团4.93亿开房信息泄露 看个人如何预防信息泄露

从疑似华住集团4.93亿开房信息泄露 看个人如何预防信息泄露

从Facebook数据泄露事件看大数据时代的个人信息安全问题

Equifax 证实:未及时修复 Apache Struts 漏洞,致使美国公民数据遭窃

EasyMR 安全架构揭秘:如何管理 Hadoop 数据安全