【IT168 评论】近日来,深圳一起涉及3305万元的福利彩票诈骗案成了社会关注的焦点,深圳市某技术公司软件开发工程师程某,利用在深圳福彩中心实施技术合作项目的机会,通过木马程序,攻击了存储福彩信息的数据库,并进一步进行了篡改彩票中奖数据的恶意行为,以期达到其牟取非法利益的目的。
“一字千金”的时代
在过去的20多年里,数据库应用在数量和重要性方面都取得了巨大的增长。包括政府、企业、医疗卫生、教育、工商业等在内的几乎各个行业都使用数据库来存储、操作和检索数据。随着人们对数据的依赖性越来越高,尤其是一些财务数据、客户数据等更是成为了关系到企业生存的重要数据。因此,信息系统数据的安全问题成为必须予以重视的大问题,特别是那些重要信息系统数据的安全,更成为关系国家安全、经济命脉、社会稳定等各方面的重要问题。
像此次的福彩事件,程某只是简单的进行了几个数据的更改,就有可能为他带了3千万的不法收入,真正可谓是一“字”千金。值得庆幸的是,程某的犯罪行为并没有成功,但这其中存在的潜在的风险是不容忽视的。
民政部部长李学举日前表示,基于上半年工作情况和面临形势的分析,下半年要特别防止不法分子运用高技术手段侵害销售系统。李学举在讲话中突出强调要防范福利彩票风险问题。他说,近年来,福利彩票进入了高位运行阶段,高位运行就有可能带来“高危”风险。各级民政部门和福利彩票发行机构要把安全运行、健康发展放在首位,严格规范发行、销售和开奖、兑奖等行为,严格规范销售过程中的技术操作,尤其要防止不法分子运用高技术手段侵害销售系统,确保网络安全。
网御神州的安全审计产品经理冷强认为,福彩的网络化促进了福彩事业的发展,同时也带来了极高的安全风险。福彩网络系统经过多年的建设,已经在安全防范方面做了大量工作。但是,这些安全防范措施大多都是“防外不防内”,并且对当前日益突出的应用层安全缺乏必要的应对措施,尤其是对于那些曾经接触过福彩网络信息系统的人员以及内部人员的违规操作缺乏必要的防范和审计,因此就给程某之流创造了机会。他利用职务之便,绕开了所有防线,直接连接到了福彩的网络中,就好像直接进入了屋中,由于屋中的财物再无防护(或防护极其薄弱),因此他利用黑客工具轻松地篡改了数据。由此可见,在福彩网络的安全建设过程中,我们除了要对网络整体进行防护外,还要对承载重要数据的系统(大部分都为数据库系统)进行严格的保护,尤其是要对所有的数据访问行为进行审计,所有操作都要被记录在案。此外,我国的另一套彩票系统——体彩——也存在同样的问题。
数据库需要审计
此次事件发生不到一个月,国务院就发布第554号令,2009年7月1日起开始实行国务院第58次常务会议通过的《彩票管理条例》。值得我们关注的是,本条例中第十四条、第二十二条、第三十九条第(四)项,反复强调禁止查阅、变更、删除彩票的销售数据,并且构成犯罪的,将追究犯罪人及相关主管的刑事责任。由此可见,国家也将在数据安全方面下大力度进行保障。那么如何能阻止同类事件的再次发生呢?那么我们就需要快速定位谁,在什么时间,用什么方式,对哪些数据进行了查阅、变更或删除操作,并且实时对这些不法行为进行阻断和报警,这样才能有效地保障数据库的安全。鉴于这些需要,我们推荐采用数据库审计类产品对数据库进行保护。
以网御神州的网神SecFox-NBA(业务审计型)为例,它能够对各种数据库及与数据相关联的主机系统、应用系统进行全方位的数据库审计,保障客户业务信息系统网络中数据安全和操作合规,具体包括:
1) 数据访问审计:记录所有对保护数据的访问信息,包括主机访问,文件操作,数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息。
2) 数据变更审计:审计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作,等等,防止外部和内部人员非法篡改重要的业务数据。
3) 用户操作审计:统计和查询所有用户的主机、数据库和应用系统的登录成功记录和登录失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可以用于事故和故障的追踪和诊断。
4) 违规访问行为审计:记录和发现用户违规访问。系统可以设定用户黑白名单,以及定义复杂的合规规则(例如定义合法的访问时间段、合法的源IP地址库、合法的用户账号库),可以设置合理的审计策略进行告警和阻断。
5) 恶意攻击审计:记录和发现利用主机,数据库的漏洞对资源的攻击行为,例如主机扫描、DoS/DDoS攻击、ARP欺骗和攻击等,并可以对攻击行为进行告警和阻断。
网神SecFox-NBA(业务审计型)产品能够对多种操作系统平台(Windows、Linux、HP-UX、Solaris、AIX)下各个版本的SQL Server、Oracle、DB2、Sybase、MySQL 等数据库进行审计。审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。
网神SecFox-NBA(业务审计型)能够对各种访问数据库的途径进行监控和审计。
网神SecFox-NBA(业务审计型)具有灵活便捷的旁路的部署方式,不会对原有的系统造成任何影响。它对业务网络中的数据包进行应用层协议分析和审计,就像真实世界的摄像机。借助网御神州独有的基于会话的行为分析技术,审计员可以对当前网络中所有访问者进行基于时间的审查,了解每个访问者任意一段时间内先后进行了什么操作,并支持访问过程回放,尤其能够实现对访问数据库行为的记录和回放。SecFox-NBA(业务审计型)真正实现了对“谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何”的全程审计。
SecFox-NBA(业务审计型)在识别出安全事故后,可以通过电子邮件、SNMP Trap等方式对外发出通告;能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。也可直接或通过与网络设备或安全设备共同协作来实时阻断可疑的网络通讯,关闭威胁通信,以阻止正在进行的攻击。这样通过多种方式形成安全审计的闭环。
总结
此次福彩事件,由于涉及金额巨大,因此引起了广大群众的关注。实际上,数据被非法篡改的事件天天都在发生,所有存在数据的地方,只要数据是有价值的,就存在风险,就有人会去想法子窃取、篡改、贩卖,从中牟利。例如医疗机构的病患信息、电信公司的手机号码信息、银行个人账户信息、社保、医保信息、交通违章信息、高考成绩,等等。各种信息泄漏、篡改的事件屡见不鲜,虽然影响有大有小,但此类事件绝对不容忽视。通过SecFox-NBA(业务审计型)可以较好地从网络安全审计的技术角度加强对数据库的安全保护,保障数据安全。