“誰(shuí)動(dòng)了你的數(shù)據(jù)庫(kù)？”之層層排查捉竊賊

2013-10-22 10:40:17 eNet硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

2010年8月底的一個(gè)下午，G公司信息化部的會(huì)議室坐滿了人，屋里卻鴉雀無(wú)聲。公司COO意外的現(xiàn)身在這次部門(mén)會(huì)議上，信息化部的萬(wàn)部長(zhǎng)眉頭緊鎖，技術(shù)負(fù)責(zé)人小李臉色微白，其他人也都是滿臉嚴(yán)肅，到底發(fā)生了什么事？原來(lái)，G公司近期發(fā)生了一起事故，大批客戶(hù)的個(gè)人信息被泄露，姓名、聯(lián)系方式甚至身份證號(hào)碼全部曝光，一些客戶(hù)一怒之下投訴了G公司。

　　G公司從事通信業(yè)務(wù)，因?yàn)楣芾碛蟹剑鼛啄甑臉I(yè)務(wù)做的風(fēng)生水起，尤其是憑借出色的服務(wù)質(zhì)量，在業(yè)內(nèi)樹(shù)立了良好的口碑。出于客戶(hù)管理和業(yè)務(wù)安全性的需要，客戶(hù)辦理部分業(yè)務(wù)時(shí)，需要留下身份證號(hào)碼和聯(lián)系方式等信息，G公司一直承諾對(duì)客戶(hù)信息的保密性負(fù)責(zé)，不會(huì)發(fā)生信息外泄的現(xiàn)象。此次事故的發(fā)生，不僅導(dǎo)致大批客戶(hù)資源的流失，支付巨額賠償金，就連股票也一路下滑，如果不及時(shí)采取應(yīng)對(duì)措施，G公司前途堪憂。

　　會(huì)上COO說(shuō)的最多的一個(gè)字就是"查",由信息化部牽頭，一定要配合公安機(jī)關(guān)，查出罪魁禍?zhǔn)祝瑢?duì)社會(huì)公布事故原因，挽救企業(yè)形象，杜絕此類(lèi)現(xiàn)象的再次發(fā)生。萬(wàn)部長(zhǎng)強(qiáng)調(diào)，公安機(jī)關(guān)主要從企業(yè)外部開(kāi)始查起，信息化部要利用好已有的安全防范工具，尤其是已經(jīng)部署的信息安全產(chǎn)品，從內(nèi)部開(kāi)始嚴(yán)查。小李提出一個(gè)思路：既然是客戶(hù)信息泄露，必然跟客戶(hù)業(yè)務(wù)信息系統(tǒng)有關(guān)。首先，要排查業(yè)務(wù)系統(tǒng)是否受到了黑客攻擊，這是信息泄露最常見(jiàn)的渠道，然后，排查可能接觸到業(yè)務(wù)信息系統(tǒng)的員工。這個(gè)思路被大家認(rèn)可，排查工作開(kāi)始了。

　　G公司深知業(yè)務(wù)信息的重要性，早在兩年前就開(kāi)始了信息安全的建設(shè)，公司在各個(gè)網(wǎng)絡(luò)分支機(jī)構(gòu)都部署了防火墻，在關(guān)鍵業(yè)務(wù)區(qū)域還部署了IDS、IPS等設(shè)備，本次排查，大家都希望這些設(shè)備能派上用場(chǎng)。兩天過(guò)去了，小李帶領(lǐng)技術(shù)攻關(guān)小組，逐項(xiàng)檢查業(yè)務(wù)部門(mén)網(wǎng)絡(luò)所部署的防火墻、IDS、IPS日志，想從這些信息安全設(shè)備上找到一些黑客入侵的蛛絲馬跡，然而，結(jié)果讓他失望。防火墻的策略非常嚴(yán)格，日志沒(méi)看到有異常的訪問(wèn)流量；部署在業(yè)務(wù)網(wǎng)接入邊界的IPS,日志顯示近三個(gè)月有兩起入侵事件，但是入侵行為被及時(shí)阻斷，威脅尚未產(chǎn)生就已經(jīng)被制止；監(jiān)控業(yè)務(wù)網(wǎng)核心交換流量的IDS,日志中看到的攻擊行為都是蠕蟲(chóng)類(lèi)攻擊，只能引起業(yè)務(wù)系統(tǒng)資源耗盡或者目標(biāo)業(yè)務(wù)主機(jī)不響應(yīng)，不會(huì)導(dǎo)致客戶(hù)信息泄露。

　　如果沒(méi)有受到來(lái)自外部的黑客攻擊，那么，問(wèn)題應(yīng)該出在內(nèi)部了，所有能接觸到業(yè)務(wù)網(wǎng)尤其是數(shù)據(jù)庫(kù)的員工立刻都變成了嫌疑人，公司內(nèi)部的氣氛陡然變得緊張起來(lái)。最先被懷疑的是兩個(gè)數(shù)據(jù)庫(kù)管理員（DBA）老滕和老宋，只有他們能最直接的接觸到數(shù)據(jù)庫(kù)的核心數(shù)據(jù)。不過(guò)，DBA對(duì)數(shù)據(jù)庫(kù)的任何操作都必須經(jīng)過(guò)嚴(yán)格的身份認(rèn)證和監(jiān)控機(jī)制，且經(jīng)過(guò)檢查數(shù)據(jù)庫(kù)和操作系統(tǒng)日志，沒(méi)看到DBA有什么違規(guī)操作。嫌疑暫時(shí)解除，老滕和老宋松了一口氣，加入到排查問(wèn)題的隊(duì)伍中來(lái)。他們提出建議，G公司除了DBA,沒(méi)有人能直接接觸數(shù)據(jù)庫(kù)服務(wù)器了，需要檢查一下通過(guò)網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)庫(kù)的業(yè)務(wù)系統(tǒng)是否有異常。G公司能批量查詢(xún)客戶(hù)信息的主要業(yè)務(wù)系統(tǒng)是客戶(hù)關(guān)系管理系統(tǒng)，系統(tǒng)為BS架構(gòu)。操作員在PC上通過(guò)瀏覽器進(jìn)行身份認(rèn)證并登錄客戶(hù)關(guān)系管理系統(tǒng)（WEB服務(wù)），系統(tǒng)的WEB服務(wù)器連接后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，WEB服務(wù)器到數(shù)據(jù)庫(kù)的訪問(wèn)均采用同一數(shù)據(jù)庫(kù)賬號(hào)，此系統(tǒng)有管理員2人、運(yùn)維人員2人、操作員若干。

　　又是三天的排查時(shí)間，客戶(hù)關(guān)系管理系統(tǒng)相關(guān)的管理人員和操作人員沒(méi)有被查出任何違規(guī)行為。不過(guò)在排查中發(fā)現(xiàn)了一個(gè)線索，在數(shù)據(jù)庫(kù)日志中發(fā)現(xiàn)，WEB服務(wù)器在7月份發(fā)生過(guò)多次向數(shù)據(jù)庫(kù)查詢(xún)批量客戶(hù)信息的操作，一部分查詢(xún)集中在月初，那個(gè)時(shí)候公司會(huì)開(kāi)展常規(guī)的客戶(hù)關(guān)系維護(hù)活動(dòng)，要查詢(xún)客戶(hù)信息比較正常。另一部分查詢(xún)操作均在7月12日左右，正常來(lái)說(shuō)，公司月中不會(huì)辦理對(duì)批量客戶(hù)的業(yè)務(wù)或者活動(dòng)，這些查詢(xún)顯得有些莫名其妙，操作員均否認(rèn)這個(gè)時(shí)間段查詢(xún)過(guò)客戶(hù)信息。公安機(jī)關(guān)的同志分析，問(wèn)題應(yīng)該就出在這里，這個(gè)時(shí)間距離客戶(hù)信息被泄露的時(shí)間也比較近。經(jīng)過(guò)層層排查，罪魁禍?zhǔn)捉K于被找到。那么，到底是誰(shuí)偷盜了用戶(hù)信息，內(nèi)鬼還是外賊？答案即將揭曉。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊