文章大纲：

• 1、个人信息泄露的泄露途径
• 2、遭遇黑客，程序员，前端人员获取个人信息泄密问题你看该怎么解决？
• 3、谁能简单介绍下数据库加密？
• 4、数据安全有哪些案例？
• 5、CSDN网站遭到“拖库”，对于网站和用户有什么危害和损失？
• 6、密码多了怎么记住

个人信息泄露的泄露途径

研究发现，人为倒卖信息、手机泄露、PC电脑感染、网站漏洞是目前个人信息泄露的四大途径。

一是人为因素，即掌握了信息的公司、机构员工主动倒卖信息。

案例 ：

据《北京晚报》报道，2015年3月份，6名在京的教育培训机构员工因非法买卖大量学生及家长个人信息，总计多达200余万条，涉嫌非法获取公民个人信息罪，当庭受审并认罪。

被告人之一杨某高中文化，今年25岁，从内蒙古鄂伦春来京打工。据他称，2011年他到一家教育培训机构上班，发现公司掌握大量家长信息，就偷偷拷贝了一些准备出售。杨某先后在至少3家此类机构干过，获取学生及家长个人信息总计200多万条。杨某在网上分批出售信息，共获利1万余元，平均每条信息5厘钱。

另一名被告徐某，今年37岁，硕士文化，因2011年创业开公司需招收学员，正好收到一条称有学生家长数据的短信，经联系后，便花了2000元从杨某手中获取了理工大附属小学等海淀7所小学学生家长的信息。之后他找短信代发公司，以每条5分钱大批量群发垃圾短信，每年能增加25%的招生量。同时，他加价到2万元的价格将部分信息卖给同行。

二是通过手机泄露的信息。主要有以下几条途径： 手机中了木马； 使用了黑客的钓鱼WiFi，或者是自家WiFi被蹭网； 手机云服务账号被盗（弱密码或撞库或服务商漏洞等各种方式）； 拥有隐私权限的APP厂商服务器被黑客拖库； 通过伪基站短信等途径访问了钓鱼网站，导致重要的账号密码泄露； 使用了恶意充电宝等黑客攻击设备； G *** 制式 *** 被黑客监听短信。　 三是电脑感染了病毒木马等恶意软件，造成个人信息泄露。

网民在享受互联网来的便利、快捷功能的同时，不经意间感染了病毒木马等恶意软件，造成个人隐私、重要信息泄露。如轻信假 *** 、假机票等购物被骗。

四是攻击者利用网站漏洞，入侵了保存信息的数据库。

从2014年网站安全的攻防实践来看，网站攻击与漏洞利用正在向批量化，规模化方向发展。网站安全直接关系到大量的个人信息数据、商业机密、财产安全等数据。攻击者入侵网站后，一般会篡改网站内容，植入黑词黑链；二是植入后门程序，达到控制网站或网站服务器的目的；三是通过其他方式骗取管理员权限，进而控制网站或进行拖库。2011年至今，约有总计11.2167亿用户信息数据因网站遭遇拖库和撞库等原因被泄露。

遭遇黑客，程序员，前端人员获取个人信息泄密问题你看该怎么解决？

这是一个安全问题，大致需要解决的是前端可能导致的权限被拉取(cookie跨域访问等)，传输过程中的信息抓包(中间人攻击等)，以及后端数据库被拖库(服务器被黑)

首先前端不要用cookie进行权限的管理，使用token的方式，有条件设计单独的token服务器。非分布式的可以使用session。

其次数据的交互应该走https或一定的加密规则，保证数据传输过程的安全性。

前端开发者发送数据的时候，重要的数据一定得post不能使用get，还可以进行一定的数据加密和校验规则。

最后后端接收并保存到数据库，重要数据和隐私数据是必然需要加密存储的，这里涉及到权限问题，加密的隐私数据与规则应该尽量保证只有用户才能查看，保证拖库后也无法直接获取用户信息。加密规则加盐规则保密。

谁能简单介绍下数据库加密？

一、数据库加密是什么？

数据库加密技术属于主动防御机制，可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击以及来自于内部高权限用户的数据窃取，从根本上解决数据库敏感数据泄漏问题。数据库加密技术是数据库安全措施中最顶级的防护手段，也是对技术性要求更高的，产品的稳定性至关重要。

二、数据库加密的方式有哪些？

目前，不同场景下仍在使用的数据库加密技术主要有：前置 *** 加密、应用系统加密、文件系统加密、后置 *** 加密、表空间加密和磁盘加密等，下文将对前四种数据加密技术原理进行简要说明。

1、前置 *** 加密技术

该技术的思路是在数据库之前增加一道安全 *** 服务，所有访问数据库的行为都必须经过该安全 *** 服务，在此服务中实现如数据加解密、存取控制等安全策略，安全 *** 服务通过数据库的访问接口实现数据存储。安全 *** 服务存在于客户端应用与数据库存储引擎之间，负责完成数据的加解密工作，加密数据存储在安全 *** 服务中。

2、应用加密技术

该技术是应用系统通过加密API(JDBC,ODBC,CAPI等)对敏感数据进行加密，将加密数据存储到数据库的底层文件中；在进行数据检索时，将密文数据取回到客户端，再进行解密，应用系统自行管理密钥体系。

3、文件系统加解密技术

该技术不与数据库自身原理融合，只是对数据存储的载体从操作系统或文件系统层面进行加解密。这种技术通过在操作系统中植入具有一定入侵性的“钩子”进程，在数据存储文件被打开的时候进行解密动作，在数据落地的时候执行加密动作，具备基础加解密能力的同时，能够根据操作系统用户或者访问文件的进程ID进行基本的访问权限控制。

4、后置 *** 技术

该技术是使用“视图”+“触发器”+“扩展索引”+“外部调用”的方式实现数据加密，同时保证应用完全透明。核心思想是充分利用数据库自身提供的应用定制扩展能力，分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力以及视图等技术来满足数据存储加密，加密后数据检索，对应用无缝透明等核心需求。

三、数据库加密的价值

1、在被拖库后，避免因明文存储导致的数据泄露

通常情况下，数据库中的数据是以明文形式进行存储和使用的，一旦数据文件或备份磁带丢失，可能引发严重的数据泄露问题；而在拖库攻击中，明文存储的数据对于攻击者同样没有任何秘密可言——如Aul、MyDul等很多成熟的数据库文件解析软件，均可对明文存储的数据文件进行直接分析，并输出清晰的、结构化的数据，从而导致泄密。

数据库加密技术可对数据库中存储的数据在存储层进行加密，即使有人想对此类数据文件进行反向解析，所得到的也不过是没有任何可读性的“乱码”，有效避免了因数据文件被拖库而造成数据泄露的问题，从根本上保证数据的安全。

2、对高权用户，防范内部窃取数据造成数据泄露

主流商业数据库系统考虑到初始化和管理的需要，会设置以sys、sa或root为代表的数据库超级用户。这些超级用户天然具备数据访问、授权和审计的权限，对存储在数据库中的所有数据都可以进行无限制的访问和处理；而在一些大型企业和 *** 机构中，除系统管理员，以数据分析员、程序员、服务外包人员为代表的其他数据库用户，也存在以某种形式、在非业务需要时访问敏感数据的可能。

数据库加密技术通常可以提供独立于数据库系统自身权限控制体系之外的增强权控能力，由专用的加密系统为数据库中的敏感数据设置访问权限，有效限制数据库超级用户或其他高权限用户对敏感数据的访问行为，保障数据安全。

数据安全有哪些案例？

“大数据时代，在充分挖掘和发挥大数据价值同时，解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。

员工监守自盗数亿条用户信息

今年初，公安部破获了一起特大窃取贩卖公民个人信息案。

被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条，随后这些用户个人信息被通过各种方式在 *** 黑市进行贩卖。警方发现，幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。

业内数据安全专家评价称，这起案件泄露数亿条公民个人信息，其中主要问题，就在于内部数据安全管理缺陷。

国外情况也不容乐观。2016年9月22日，全球互联网巨头雅虎证实，在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、 *** 号码、出生日期和部分登陆密码。

企业数据信息泄露后，很容易被不法分子用于 *** 黑灰产运作牟利，内中危害轻则窃财重则取命，去年8月，山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件，就可见一斑。

去年7月，微软Window10也因未遵守欧盟“安全港”法规，过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。

上海社会科学院互联网研究中心发布的《报告》指出，随着数据资源商业价值凸显，针对数据的攻击、窃取、滥用和劫持等活动持续泛滥，并呈现出产业化、高科技化和跨国化等特性，对国家和数据生态治理水平，以及组织的数据安全能力都提出了全新挑战。

当前，重要商业网站海量用户数据是企业核心资产，也是民间黑客甚至国家级攻击的重要对象，重点企业数据安全管理更是面临严峻压力。

企业、组织机构等如何提升自身数据安全能力？

企业机构亟待提升数据安全管理能力

“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节，包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称，大数据安全事件风险成因复杂交织，既有外部攻击，也有内部泄密，既有技术漏洞，也有管理缺陷，既有新技术新模式触发的新风险，也有传统安全问题的持续触发。

5月27日，中国互联网协会副秘书长石现升称，互联网日益成为经济社会运行基础， *** 数据安全意识、能力和保护手段正面临新挑战。

今年6月1日即将施行的《 *** 安全法》针对企业机构泄露数据的相关问题，重点做了强调。法案要求各类组织应切实承担保障数据安全的责任，即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。

石现升介绍，实际早在2015年国务院就发布过《促进大数据发展行动纲要》，就明确要“健全大数据安全保障体系”、“强化安全支撑，提升基础设施关键设备安全可靠水平”。

“目前，很多企业和机构还并不知道该如何提升自己的数据安全管理能力，也不知道依据什么标准作为衡量。”一位业内人士分析称，问题的症结在于国内数据安全管理尚处起步阶段，很多企业机构都没有设立数据安全评估体系，或者没有完整的评估参考标准。

“大数据安全能力成熟度模型”已提国标申请

数博会期间，记者从“大数据安全产业实践高峰论坛”上了解到，为解决此问题，全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同，着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》，该标准是基于阿里巴巴提出的数据安全成熟度模型（Data Security Maturity Model, D *** M）进行制订。

阿里巴巴集团安全部总监郑斌介绍D *** M。

作为此标准项目的牵头起草方，阿里巴巴集团安全部总监郑斌介绍说，该标准是阿里巴巴基于自身数据安全管理实践经验成果D *** M拟定初稿，旨在与同行业分享阿里经验，提升行业整体安全能力。

“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称，《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。

CSDN网站遭到“拖库”，对于网站和用户有什么危害和损失？

拖库不可怕，可怕的是号称全中国更大的IT技术网站，所有的注册用户的密码竟然没有经过一丁点的加密，很丢人啊，即使一个菜鸟也知道把密码进行一个简单的md5加密，而csdn竟然是明文，哎，不说了，很多用户一般所有的密码都是通用的，包括 *** 之类的，所以，危害很大

密码多了怎么记住

互联网时代，成功人士银行卡多、网站账户多、邮箱密码多??几乎干什么事都离不开用户名和密码。把它们都设的一个样固然方便记忆，但也为安全带来隐患。所以个人的密码策略就显的尤为重要。接下来就说说怎样设计自己的密码。\x0d\x0a\x0d\x0a1、帐号分级\x0d\x0a\x0d\x0a这个已经众所周知了，不同重要程度的帐号应该使用不同级别的密码。例如我有一些不重要的网站的帐号，这些账户就算被盗也不会对我产生多大的影响，所以即使我把密码设置成“123abc”也没什么要紧。而且使用不同等级的密码可以防止重要的帐号被那些被盗帐号牵连。所以我建议大家首先对自己所有的帐号进行重要程度的评估，例如 *** 推广帐号可以列为不重要级别，一些包含个人信息的列为普通级别，涉及到资金的例如支付宝、网银列为重要级别，特别注意自己的安全邮箱，因为现在基本都是通过邮箱来重置密码，一旦邮箱被盗后果很严重。\x0d\x0a\x0d\x0a2、使用不同的密码\x0d\x0a\x0d\x0a这也成为共识了。由于我们之一步已经对自己的帐号进行评估了，所以我们可以对不同重要程度的帐号使用不同等级的密码。例如不重要的帐号我们可以使用简单的同一个密码（注意这仅限于那些帐号真的不重要），对于普通级别的帐号，我们就得花一些心思了，密码起码要8位及以上的，而且不能多账户使用同一个密码。而对于那些重要级别的账户，已经不能单单靠一个密码来保护了，更好额外使用其他的一些验证方式，例如安全证书、手机验证码、动态口令卡等等。\x0d\x0a\x0d\x0a3、设定独有的密码\x0d\x0a\x0d\x0a由于上面的两点已经说明了对于那些比较重要的帐号必须使用不同的密码，但是单凭自己的记忆力你能记住那几十个不同的密码吗？所以那些密码必须要符合一种算法，这样就算自己一时忘记了，也可以通过算法再计算出来。算法的话可以自己设计，也可以直接用别人的。\x0d\x0a\x0d\x0a先说自己设计算法。我们可以用一个基本密码加特征码的方式来生成独一无二的密码。比如你可以使用“90blog”这个基本密码，然后根据不同的帐号添加不同的特征码，例如 *** 号你可以使用腾讯在香港股市的股票代码“0700”，这样就产生了一个很特别的密码“90blog0700”，而谷歌在纳斯达克的股票代码是“GOOG”，那你的谷歌账户就可以使用“90blogGOOG”这个密码。如果你觉得这些密码还是有可能被攻克的话，我们可以再改良一下，比如我们可以把26个英文字母与0-25这26个数对应起来，把最后一位的数字变成字母，而字母变成数字。那 *** 密码就变成了“90blog070a”，而谷歌账户的密码则变成了“90blogGOO6”，这样就算黑客盗取了你一个账户，他也比较困难倒推出你的加密算法。当然这个算法是我刚才花了几分钟想的，你也可以花一些时间来设计你自己的算法，比如可以对照元素周期表什么的。\x0d\x0a\x0d\x0a接下来说说使用别人设计好的加密算法。比较出名的有KeePass，这个我没用过，大家可以自行搜索相应文章。还有的就是花密，花密的原理也是用一个记忆用密码和一个区分不同网站的特征码，通过一系列的计算最后得到一个16位MD5\x0d\x0ahash，而且这个hash也不是标准MD5，可以防止MD5破解，避免攻克。而且花密有网页版，直接保存到自己电脑上无需联网就可以使用，而且用的是 *** 脚本加密，安全性还是很不错的。\x0d\x0a\x0d\x0a4、其他保护密码的方式\x0d\x0a\x0d\x0a定期更换密码，这个不用多说了，不可能一个密码用一辈子的，说不定哪天某个网站就被黑客拖库了，经常改密码是必须的。还有就是安装杀毒软件啊，不打开来路不明的网站啊，防止被钓鱼（千万不要相信 *** 上的那个网站信任的图标，用这个钓鱼的不知道有多少），不在黑网吧登录帐号等等。\x0d\x0a\x0d\x0a5、把密码藏在潜意识当中\x0d\x0a\x0d\x0a你有没有想过，如果有一天一群歹徒为了获得数据而把你绑起来，逼你说出银行密码？这种恐惧不是完全没道理。斯坦福大学和西北大学的科学家们研究了一种新技术，通过这种技术你可能就不会担心忘记密码的问题了。\x0d\x0a\x0d\x0a这一技术基于所谓的“程序记忆”，这种东西储存在你的大脑里，而你访问时是潜意识的。比如，你骑车或者弹吉他的时候是没有回忆使用 *** 的。这些记忆实际上存储在你大脑里很深的部位，负责处理动机控制和习惯形成。这与清晰记忆相对，它们存储在大脑前额叶。不过，如果有需要的话，你可以训练自己使用程序记忆。\x0d\x0a\x0d\x0a使用程序记忆来保存不能被黑客窃取的密码只需要一点点工夫。斯坦福和西北大学的科学家设计了一种看起来像“吉他英雄”的游戏，或多或少地能训练你的大脑记住特定的敲击键盘的方式。经过一段时间，输入长密码就被存储成了肌肉记忆，几周后当参与者被再次要求参与游戏的时候，他们输入这一序列的准确性变得更好。你只需要一样东西：一台计算机，它需要能通过速度和准确性区分一个人是无意识地输入密码还是从来没看过密码。\x0d\x0a\x0d\x0a也就是说，这还不能完全取代你的Facebook密码——至少不是现在。这比我们现在使用的直白的密码要多耗费一些时间，但是更安全。\x0d\x0a\x0d\x0a如果有人揍你一顿想得到密码，他们可能完全没有收获，因为你根本不知道密码是什么，但是你能感觉到密码是什么。