qw_xue 发表于 2015-7-29 13:12:13

从个人信息被套用看数据库安全

那些年,我尝过的互联网的鲜我是一个数据库安全从业者,尽管每天会听到、看到、处理该领域相关的安全事件,但基于侥幸心理,从概率角度来推断,从未想过,从未发生过,这种事情真的会落到自己的头上。尽管我每天有数通电话是来自各种银行担保、投资理财、外汇交易,但这些,都没有能够足够触动到我那根敏感的神经,直到一个与往常一样的下午,这件事的发生。我同时是一个互联网模式的拥趸,各种与此相关的新鲜事务,最新应用,我都会勇于去尝试,期间不吝惜提供个人相关信息,这些信息包括,姓名、电话、邮箱,甚至与此关联的身份证号码(用过手机银行的都知道,不提供是无法享受其服务的),谁知道呢?即使我不说,聚集了一些字段后,按照现在大数据身份识别分析技术,恐怕早已经能够智能解决“我是谁“这个哲学领域的复杂问题,而在现实身份认证中,关于“我是谁”早已迎刃而解。手机银行一出,我被深深吸引。直接手机下载App,我对这种方式,赞不绝口,屡试不爽,工资第一时间查看,理财线上操作,转账分分钟的事情,不用排大队,不用看四大行姑娘们养尊处优的脸色。紧接着,互联网金融来了,别忘了,我是个互联网的拥趸,自然不会错过尝鲜的机会,于是宜人贷、盈盈理财等各路APP被我尝试了个遍。这些信息,都是需要身份证信息的,我统统贡献出来,相信金融行业各家银行保险机构的安全性。直到有一天,一连串的来电询问,我整个人都毛了。自作孽,不可活,终于摊上事儿了就在近期,7月的一个下午,准确时间16点10分,我收到一封邮件,以我个人名义的注册的一个外汇金融交易账号注册成功,且姓名、电话、邮箱地址完全吻合。本故事毫无虚构,完全真实,有图有真相。接下来,在每一个时间点,奇妙的事情均在发生,而我的小心脏,也逐步加速跳动。http://www.secwk.com/uploads/imgupload/20150728/1438079518543823.jpg接着,第二封邮件来袭,这次是获取到金融账户登陆名密码信息。http://www.secwk.com/uploads/imgupload/20150728/1438079524477769.jpg紧接着4分钟后,接到金融外汇公司的客服来电,但前两次均因不明电话而未接听。http://www.secwk.com/uploads/imgupload/20150728/1438079530863295.jpg2分钟过后,邮件继续追剿,金融外汇机构请求我与其联系。http://www.secwk.com/uploads/imgupload/20150728/1438079537426566.jpg当日下午18点31分,因为对方多次来电,我便接听了电话。客服询问我是否为我本人,手机号是本人么,是不是在今天的几点几分用什么邮箱账号进行过怎样的操作。这通电话中的一系列问题完成后,吓了自己一身冷汗。对方的专业,直觉告诉我她不是个骗子,而且经我的核实确认后,发现不是本人操作,直接消除了此账号,未能有更进一步实际操作。这个询问过程结束了,我的联想并未结束,关联此前在银行留下的诸多信息,开通过的诸多互联网账号,哪一个都绑着我的钱袋子, 怎能不担忧?http://www.secwk.com/uploads/imgupload/20150728/1438079547355170.jpg整个事件,我的个人信息暴露无遗,在我毫不知情的情况下,被动完成了外汇交易平台注册全过程,如果没有人工核实校验环节,以我名义被注册的账号,将开展系列交易动作,很可能还会和我现有的银行账户挂钩,那么这个平台下所产生的交易盈亏,均将和我的账户做对应。或者我马虎一些,直接对该账户进行存款操作,对方直接可获渔翁之利。站在数据库安全行业的肩头眺望传统的安全防护思维已经无法适应现在安全态势的发展,原有部署的防病毒、网关类基础安全产品,已经不足以抵御愈变愈复杂的攻击行为。这就好比我们把财富放在家里,就觉得相对安全了,然后你把家里的防盗门装好,便认为家里的东西本身就不需要再做什么安全措施了。这就好比数据库都是放到企业内部或者内网当中,在外围加上防火墙,再加一些控制就变得很安全了。实际上这个是远远不足够的。拿银行的内部系统来看,第一个就是内部很多第三方开发人员,他们可以直接访问数据库,有一些好一点,弄一个测试库,但是测试库又与真实数据库中的数据相同,实际上在这种情况下数据库中的数据是可以直接被开发人员拿走的;第二种情况就是运维人员,银行内部大多也没有足够的运维人员,运维也是外包服务,这就造成外部的运维人员可以直接接触到系统的生产库,所以这些外部的运维人员是可以直接把数据库中的数据拿走的。另外还有一些更可笑的,有一年,香港花旗银行做装修,装修过程中由于安全防护没做好,数据库服务器丢了。数据库服务器丢失以后,实际上后端的那些数据存储是完全有手段还原成明文的。那个时候数据自身的一些防护措施已经不起作用了,花旗银行的所有客户资料都泄露了。新兴的互联网金融业,多金,多用户,更是在忙着业务,忙着系统如何快速支撑和运转,对安全问题的重视程度并不是第一位考虑的因素,但站在个人用户的角度,风险低、安全才是第一前提,然后才是如何在安全基础上财务增值。从数据存储的介质来看,核心数据最终都会落到数据库里,如果数据库被颠覆了,一切归零,对于互联网金融企业来讲,损失不可预估。因此说,安全是一个水桶原理,往往是从最短板的地方流出,那么现在发生的信息泄露事件90%以上都和数据库有关,数据库安全这块最短的木桶短板,在互联网金融这个新兴领域仍不可忽视。数据库安全这个领域,因为新,因为尚未形成网络安全同等的市场规模,业内基本的认知还停留在数据库安全审计与防护,目前市面上被认知较多、用户接受度较高较多的也是数据库审计产品,该类事后追踪审计产品确实在金融行业应用较多,但从安全防护的过程来看,数据库安全同样包含事前的数据库安全体检、事中的数据库安全访问控制防御、库内数据的加密和事后的行为监测与审计。而事后的追溯反映,快也要3到6个月,企业才会知道,而散落在外面的数据,在这个时间里,不知道已经被传阅和贩卖了多少次了。因此,事前的防御和事中的过程控制不可或缺。通常数据库防火墙和数据路加密产品,可以解决此类问题。现在访问数据的途径变多了,那么在系统中留下的后门和窃取数据的途径也变多了,用户数据的价值增大了,所以现在数据泄露事件频发也是一个必然的现象,数据库安全也在逐渐被企业提高维护意识。企业的安全意识在提高,涉及到个人的隐私信息,更是需要严格保密。真正让用户在享受互联网金融便捷服务的同时,感到安心。【本文转载自威客众测(secwk.com),转载请注明出处】

qw_xue 发表于 2015-7-29 13:34:45

你让我懂 发表于 2015-7-29 13:17
有空一起交流一下

好呀~我对这个还是蛮有兴趣的~

不仅丑还保守 发表于 2015-7-30 17:51:35

y1.岁拽起 发表于 2015-8-1 10:56:48

页: [1]
查看完整版本: 从个人信息被套用看数据库安全