【IT168 案例】那些年,我尝过的互联网的鲜
我是一个数据库安全从业者,尽管每天会听到、看到、处理该领域相关的安全事件,但基于侥幸心理,从概率角度来推断,从未想过,从未发生过,这种事情真的会落到自己的头上。尽管我每天有数通电话是来自各种银行担保、投资理财、外汇交易,但这些,都没有能够足够触动到我那根敏感的神经,直到一个与往常一样的下午,这件事的发生。。。
我同时是一个互联网模式的拥趸,各种与此相关的新鲜事务,最新应用,我都会勇于去尝试,期间不吝惜提供个人相关信息,这些信息包括,姓名、电话、邮箱,甚至与此关联的身份证号码(用过手机银行的都知道,不提供是无法享受其服务的),谁知道呢?即使我不说,聚集了一些字段后,按照现在大数据身份识别分析技术,恐怕早已经能够智能解决“我是谁“这个哲学领域的复杂问题,而在现实身份认证中,关于“我是谁”早已迎刃而解。
手机银行一出,我被深深吸引。直接手机下载App,我对这种方式,赞不绝口,屡试不爽,工资第一时间查看,理财线上操作,转账分分钟的事情,不用排大队,不用看四大行姑娘们养尊处优的脸色。紧接着,互联网金融来了,别忘了,我是个互联网的拥趸,自然不会错过尝鲜的机会,于是宜人贷、盈盈理财等各路APP被我尝试了个遍。这些信息,都是需要身份证信息的,我统统贡献出来,相信金融行业各家银行保险机构的安全性。直到有一天,一连串的来电询问,我整个人都毛了。
自作孽,不可活,终于摊上事儿了
就在近期,7月的一个下午,准确时间16点10分,我收到一封邮件,以我个人名义的注册的一个外汇金融交易账号注册成功,且姓名、电话、邮箱地址完全吻合。本故事毫无虚构,完全真实,有图有真相。接下来,在每一个时间点,奇妙的事情均在发生,而我的小心脏,也逐步加速跳动。
接着,第二封邮件来袭,这次是获取到金融账户登陆名密码信息。
紧接着4分钟后,接到金融外汇公司的客服来电,但前两次均因不明电话而未接听。
2分钟过后,邮件继续追剿,金融外汇机构请求我与其联系。
当日下午18点31分,因为对方多次来电,我便接听了电话。客服询问我是否为我本人,手机号是本人么,是不是在今天的几点几分用什么邮箱账号进行过怎样的操作。这通电话中的一系列问题完成后,吓了自己一身冷汗。对方的专业,直觉告诉我她不是个骗子,而且经我的核实确认后,发现不是本人操作,直接消除了此账号,未能有更进一步实际操作。这个询问过程结束了,我的联想并未结束,关联此前在银行留下的诸多信息,开通过的诸多互联网账号,哪一个都绑着我的钱袋子, 怎能不担忧?
整个事件,我的个人信息暴露无遗,在我毫不知情的情况下,被动完成了外汇交易平台注册全过程,如果没有人工核实校验环节,以我名义被注册的账号,将开展系列交易动作,很可能还会和我现有的银行账户挂钩,那么这个平台下所产生的交易盈亏,均将和我的账户做对应。或者我马虎一些,直接对该账户进行存款操作,对方直接可获渔翁之利。
站在数据库安全行业的肩头眺望
上文提到了,我是一个数据库安全从业者,我们每天会面对银行、保险、基金、互联网金融各类企业用户,在金融领域整体信息化建设的过程中,信息安全建设紧随其后,但是黑客的能力也是在不断进步的,而且系统越复杂,自身的漏洞也会越多,漏洞越多伴随着的是黑客的攻击手段也会越来越多。传统的安全防护思维已经无法适应现在安全态势的发展,原有部署的防病毒、网关类基础安全产品,已经不足以抵御愈变愈复杂的攻击行为。这就好比我们把财富放在家里,就觉得相对安全了,然后你把家里的防盗门装好,便认为家里的东西本身就不需要再做什么安全措施了。这就好比数据库都是放到企业内部或者内网当中,在外围加上防火墙,再加一些控制就变得很安全了。实际上这个是远远不足够的,就拿银行的内部系统来看,第一个就是内部很多第三方开发人员,他们可以直接访问数据库,有一些好一点,弄一个测试库,但是测试库又与真实数据库中的数据相同,实际上在这种情况下数据库中的数据是可以直接被开发人员拿走的;第二种情况就是运维人员,银行内部大多也没有足够的运维人员,运维也是外包服务,这就造成外部的运维人员可以直接接触到系统的生产库,所以这些外部的运维人员是可以直接把数据库中的数据拿走的。另外还有一些更可笑的,有一年,香港花旗银行做装修,装修过程中由于安全防护没做好,数据库服务器丢了。数据库服务器丢失以后,实际上后端的那些数据存储是完全有手段还原成明文的。那个时候数据自身的一些防护措施已经不起作用了,花旗银行的所有客户资料都泄露了。
新兴的互联网金融业,多金,多用户,更是在忙着业务,忙着系统如何快速支撑和运转,对安全问题的重视程度并不是第一位考虑的因素,但站在个人用户的角度,风险低、安全才是第一前提,然后才是如何在安全基础上财务增值。从数据存储的介质来看,核心数据最终都会落到数据库里,如果数据库被颠覆了,一切归零,对于互联网金融企业来讲,损失不可预估。因此说,安全是一个水桶原理,往往是从最短板的地方流出,那么现在发生的信息泄露事件90%以上都和数据库有关,数据库安全这块最短的木桶短板,在互联网金融这个新兴领域仍不可忽视。
数据库安全这个领域,因为新,因为尚未形成网络安全同等的市场规模,业内基本的认知还停留在数据库安全审计与防护,目前市面上被认知较多、用户接受度较高较多的也是数据库审计产品,该类事后追踪审计产品确实在金融行业应用较多,但从安全防护的过程来看,数据库安全同样包含事前的数据库安全体检、事中的数据库安全访问控制防御、库内数据的加密和事后的行为监测与审计。而事后的追溯反映,快也要3到6个月,企业才会知道,而散落在外面的数据,在这个时间里,不知道已经被传阅和贩卖了多少次了。因此,事前的防御和事中的过程控制不可或缺。通常数据库防火墙和数据路加密产品,可以解决此类问题。
现在访问数据的途径变多了,那么在系统中留下的后门和窃取数据的途径也变多了,用户数据的价值增大了,所以现在数据泄露事件频发也是一个必然的现象,数据库安全也在逐渐被企业提高维护意识。企业的安全意识在提高,涉及到个人的隐私信息,更是需要严格保密。真正让用户在享受互联网金融便捷服务的同时,感到安心。