隨著信用卡的普及,盜刷事件隨之進(jìn)入我們的視野�����。近年來人們的防范意識(shí)已有顯著提高�����,懂得在各類場(chǎng)合保護(hù)我們的財(cái)產(chǎn)隱私����,但此類案件卻依然屢見不鮮。
就在2月份��,新浪曝光了關(guān)于中行信用卡的投訴:2015年10月初���,于女士在中國(guó)銀行申請(qǐng)了一張信用卡�����,但收到卡后并沒有立刻辦理激活����,而是順手將信件和卡放進(jìn)抽屜里鎖起來�。10月22日,于女士接到自稱是中國(guó)銀行員工的電話�,號(hào)碼以170開頭,該“員工”說出了他的員工號(hào)�,聲稱要為于女士的白金卡提高信用額度,并且報(bào)出了于女士的姓名���、開卡賬號(hào)以及綁定手機(jī)號(hào)�����,于女士信以為真�,按對(duì)方要求提供了身份證號(hào)以及手機(jī)收到的激活驗(yàn)證碼��。就這樣���,于女士一步步落入騙子的圈套�,在接下來的一小時(shí)里�����,于女士信用卡的綁定電話被修改��,并陸續(xù)發(fā)生了20多筆交易,總金額近 5萬元���。于女士向中行提出質(zhì)疑:自己的信用卡信息是如何泄露出去的����,包括開卡時(shí)注冊(cè)的手機(jī)號(hào)碼���、卡號(hào)和姓名�����?
事實(shí)上金融行業(yè)的信息泄露現(xiàn)象已經(jīng)很常見���,當(dāng)你在銀行購買了某種基金、保險(xiǎn)產(chǎn)品后��,會(huì)接到無數(shù)向你兜售同類理財(cái)產(chǎn)品的電話���;當(dāng)你的信用卡賬單做了一筆分期��,會(huì)有無數(shù)不知名的公司向你推銷小額貸款業(yè)務(wù)……電話里的推銷員對(duì)我們過往的理財(cái)行為如此了解�,得到了我們的手機(jī)號(hào)碼�����,還可以說出我們的名字,究竟這些個(gè)人敏感數(shù)據(jù)從何泄露����?銀行的數(shù)據(jù)庫是否可以保護(hù)我們的隱私信息不被侵入��。
國(guó)內(nèi)知名IT咨詢研究機(jī)構(gòu)計(jì)世資訊(CCW Research)在1月份發(fā)布的《2015-2016數(shù)據(jù)庫安全市場(chǎng)現(xiàn)狀和發(fā)展趨勢(shì)研究報(bào)告》中指出��,當(dāng)前泄露事件中超過90%的數(shù)據(jù)都是從數(shù)據(jù)庫中泄露出去的��,而數(shù)據(jù)庫被侵入事件中���,內(nèi)部侵入的比例更是高達(dá)80%以上�。此類現(xiàn)象在金融行業(yè)更為明顯�����。由于金融機(jī)構(gòu)的信息化程度較高��,網(wǎng)絡(luò)安全產(chǎn)品已經(jīng)非常普及且足夠成熟���,雖然能夠抵擋外部大的侵入攻擊����,但蕭薔始于內(nèi),內(nèi)部人員為了牟利�����,利用自身權(quán)限和對(duì)于數(shù)據(jù)庫的熟悉�����,更容易對(duì)數(shù)據(jù)進(jìn)行竊取或修改�。隨著司法制度的健全,此類因銀行信息泄露導(dǎo)致客戶財(cái)產(chǎn)損失的案子�����,已有多起被法院判定由銀行承擔(dān)主要責(zé)任�����,對(duì)客戶進(jìn)行財(cái)產(chǎn)賠付的案例���。所以����,保護(hù)敏感數(shù)據(jù)的安全,既關(guān)乎消費(fèi)者的財(cái)產(chǎn)安全���,也保護(hù)了銀行自己的信譽(yù)和商業(yè)利益�。
銀行數(shù)據(jù)庫面臨的內(nèi)部侵入風(fēng)險(xiǎn):
通過對(duì)銀行數(shù)據(jù)庫系統(tǒng)運(yùn)維管理工作的研究�,安華金和總結(jié)出4條主要安全隱患,可能導(dǎo)致內(nèi)部侵入事件的發(fā)生:
1����、外包人員權(quán)限過大
為滿足業(yè)務(wù)部門與日俱增的IT需求�����、縮短產(chǎn)品研發(fā)周期����,銀行很多信息系統(tǒng)引入IT外包模式,而對(duì)于外包服務(wù)商的操作權(quán)限控制不嚴(yán)���,導(dǎo)致的數(shù)據(jù)泄密事件時(shí)有發(fā)生�����。
2�、合法人員的非授權(quán)訪問
對(duì)內(nèi)部網(wǎng)絡(luò)來講,DBA管理員等合法人員同樣存在著針對(duì)銀行核心數(shù)據(jù)庫進(jìn)行違規(guī)操作的安全隱患���,例如非授權(quán)訪問敏感數(shù)據(jù)�、非工作時(shí)間訪問核心業(yè)務(wù)表�����、非工作場(chǎng)所訪問數(shù)據(jù)庫���、運(yùn)維誤操作����、(delete�����、update)高危指令的操作等行為����,都可能造成信息泄露。
3���、明文保存數(shù)據(jù)極易泄露
不排除個(gè)別內(nèi)部員工法制觀念淡薄�����、道德防線脆弱�����,在利益驅(qū)使下��,利用職務(wù)之便搜集客戶的銀行卡號(hào)���、姓名、金額�����、聯(lián)系方式等大量明文存儲(chǔ)在數(shù)據(jù)庫中的敏感信息�����,并向不法分子兜售���;將造成銀行重要數(shù)據(jù)的泄密�����,引發(fā)法律風(fēng)險(xiǎn)�����。
4�、安全取證困難
數(shù)據(jù)庫系統(tǒng)中,現(xiàn)有日志系統(tǒng)可以實(shí)時(shí)或非實(shí)時(shí)的監(jiān)測(cè)和追蹤侵入者�����,但是數(shù)據(jù)庫系統(tǒng)遭受入侵和非授權(quán)操作時(shí)����,攻擊者也可拿到系統(tǒng)高權(quán)限賬戶,可以有選擇的刪除部分或全部審計(jì)日志�����,導(dǎo)致無法準(zhǔn)確定位和追責(zé)破壞和泄露行為���,對(duì)日后調(diào)查取證造成嚴(yán)重阻礙�。
針對(duì)內(nèi)部泄露的數(shù)據(jù)庫安全防護(hù)措施
對(duì)于內(nèi)部用戶主動(dòng)或被動(dòng)泄露敏感信息等事件�,傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品成效不大。基于以上內(nèi)部風(fēng)險(xiǎn)及防護(hù)思路��,安華金和數(shù)據(jù)庫安全專家建議部署數(shù)據(jù)庫防火墻�����、數(shù)據(jù)庫保險(xiǎn)箱及數(shù)據(jù)庫監(jiān)控與審計(jì)系統(tǒng)����,三者配合構(gòu)成嚴(yán)密的內(nèi)部核心數(shù)據(jù)安全防護(hù)。
數(shù)據(jù)庫防火墻(DBFirewall)控制外包人員訪問權(quán)限和授權(quán)范圍����,避免第三方外包人員針對(duì)庫內(nèi)核心數(shù)據(jù)進(jìn)行有意無意的高危操作;防止開發(fā)人員批量下載敏感數(shù)據(jù)���;防止內(nèi)部維護(hù)人員遠(yuǎn)程或本地批量導(dǎo)出敏感數(shù)據(jù)。
數(shù)據(jù)庫保險(xiǎn)箱(DBCoffer)可以將明文保存的數(shù)據(jù)進(jìn)行加密處理�����,保證他人即使拿到了數(shù)據(jù)文件���,也“看不懂”�����。
數(shù)據(jù)庫監(jiān)控與審計(jì)系統(tǒng)(DBAudit)針對(duì)所有數(shù)據(jù)庫操作�����,將操作語句與操作人員���、操作時(shí)間�����、操作對(duì)象���、操作結(jié)果有效關(guān)聯(lián),進(jìn)行事后的安全分析�����,為安全取證提供可靠的依據(jù)�����。
金融行業(yè)因?yàn)樯婕敖?jīng)濟(jì)財(cái)富和人員核心身份信息���,其安全需求的特殊性���、重要性和敏感度要求�,相較其他行業(yè)���,信息安全起步早��,投入大��。雖然大部分傳統(tǒng)網(wǎng)關(guān)邊界安全產(chǎn)品已經(jīng)配備�,但縱深至核心系統(tǒng)�,金融行業(yè)整體的信息安全防護(hù)仍然漏洞百出,對(duì)于核心數(shù)據(jù)的保護(hù)更需要跨越邊界安全�,全面滲透至核心數(shù)據(jù)庫的防護(hù)。
產(chǎn)品咨詢:4000 258 365 
