6、信息安全与Web应用安全全解析

信息安全与Web应用安全全解析

1. 信息安全事件回顾与启示

在互联网的发展历程中，出现了众多影响深远的安全事件。例如，SQL Slammer蠕虫利用微软SQL Server的缓冲区溢出漏洞，导致服务拒绝状况。2007年，美国连锁商店TJ Maxx遭遇黑客攻击，约4600万张信用卡和借记卡信息被盗。黑客通过不安全的无线接入点进入TJ Maxx的一家门店系统，进而渗透到公司的企业系统。类似地，支付处理商CardSystems也因网络安全防护不足和未及时更新杀毒定义，致使超4000万张信用卡号被盗。

近年来，Web应用攻击事件频发。SQL注入攻击是极具破坏力的攻击方式之一，攻击者通过利用数据库输入验证不足以及未打补丁的操作系统、应用程序和数据库平台等漏洞，对数据库发起攻击。MySpace网站曾遭受跨站脚本攻击，被名为Samy的用户触发，导致网站关闭超过12小时。此外，巴克莱银行、美国运通等银行，以及谷歌的Gmail和Google Apps都被发现存在Web应用安全漏洞。

从这些安全事件中可以看出，攻击者常常能够攻破配置不当或未及时打补丁的系统。像Kevin Mitnick攻击、TJ Maxx黑客事件、MySpace Samy蠕虫事件等，都是组织在安全防护上出现失误的结果。这充分表明，信息安全并非一次性的工作，而是一个持续且不断发展的过程，需要组织和个人以全面、系统的方式来应对。

2. 信息安全的常见误区

2.1 不存在内部威胁

这种观点是错误的。内部人员是组织关键信息被盗和遭受其他攻击的主要来源之一，甚至比外部黑客更具危险性。心怀不满的员工、商业间谍或粗心大意的员工都可能导致组织信息资产的损失。例如，North Ba