数据库安全审计系列文章之一——谁动了你的数据库?
(联合电讯社/北京)--近日,一些公司企业的大量客户信息被泄露,姓名、联系方式、身份证号码等全部曝光。从事通信业务的某公司,凭借出色的服务质量,在业内树立了良好的口碑;出于客户管理和业务安全性的需要,客户办理部分业务时,需要留下身份证号码和联系方式等信息,并承诺对客户信息的保密性负责,不会发生信息外泄的现象,但由于一起公司资料信息外泄事故的发生,不仅导致大批客户资源的流失,支付巨额赔偿金,也造成该公司股票也一路下滑。
事故发生后,公司领导当即作出指示:由信息化部牵头,配合公安机关,查出罪魁祸首,对社会公布事故原因,挽救企业形象,杜绝此类现象的再次发生。公安机关主要从企业外部开始查起,信息化部则要利用好已有的安全防范工具,尤其是已经部署的信息安全产品,从内部开始严查。首先,要排查业务系统是否受到了黑客攻击,这是信息泄露最常见的渠道,然后,排查可能接触到业务信息系统的员工。
此公司对业务信息的重要性有深刻的认识,两年前就开始了信息安全的建设,公司在各个网络分支机构都部署了防火墙,在关键业务区域还部署了IDS、IPS等设备。技术攻关小组逐项检查业务部门网络所部署的防火墙、IDS、IPS日志,以期从这些信息安全设备上找到一些黑客入侵的蛛丝马迹。防火墙的策略非常严格,日志没看到有异常的访问流量;部署在业务网接入边界的IPS,日志显示近三个月有两起入侵事件,但是入侵行为被及时阻断,威胁尚未产生就已经被制止;监控业务网核心交换流量的IDS,日志中看到的攻击行为都是蠕虫类攻击,只能引起业务系统资源耗尽或者目标业务主机不响应,不会导致客户信息泄露。
如果没有受到来自外部的黑客攻击,那么,问题应该出在内部了,能接触到业务网尤其是数据库的两个数据库管理员(DBA)被列入了怀疑对象。然而,DBA对数据库的任何操作都必须经过严格的身份认证和监控机制,经过检查数据库和操作系统日志,没有发现DBA的违规操作。公司除了DBA,没有人能直接接触数据库服务器,因此需要检查通过网络访问数据库的业务系统是否有异常。公司能批量查询客户信息的主要业务系统是客户关系管理系统,系统为BS架构。操作员在PC上通过浏览器进行身份认证并登录客户关系管理系统(WEB服务),系统的WEB服务器连接后台数据库服务器,WEB服务器到数据库的访问均采用同一数据库账号,此系统有管理员2人、运维人员2人、操作员若干。
进过仔细排查,客户关系管理系统相关的管理人员和操作人员没有被查出任何违规行为。不过在数据库日志中发现WEB服务器发生过多次向数据库查询批量客户信息的操作,一部分查询集中在月初,公司会开展常规的客户关系维护活动,需要查询客户信息。另一部分查询操作均在月中,正常来说,公司月中不会办理对批量客户的业务或者活动,操作员均否认这个时间段查询过客户信息。经过分析,问题应该就出在这里,这个时间距离客户信息被泄露的时间也比较近。经过层层排查,罪魁祸首终于被找到。那么,到底是谁偷盗了用户信息,答案即将揭晓。