【数据安全案例】假借修改医师资格考试成绩数据库牟利

我们已经整理和分析了大量的通过修改数据库中的敏感信息牟利的案例了。道理都很简单，就是这些数据对于一些人而言很重要，例如这个数据是某人的四六级考试成绩，或者是某个资质证书。于是，就有人打这些数据的主意。由于当前的数据篡改产业链已经打通，生产者（篡改者）和消费者已经可以联系上，因而这种行为就有了“产业基础”。例如，最近，有人在网上说可以帮人 修改医师资格考试的成绩，或者说可以帮你 修改四六级考试成绩。尽管这些报道都是指出这种行为都是骗局，包括 卫生部也发布了声明进行辟谣，但是从原理上分析并非行不通。也正是因为原理上行得通，骗局才能得逞。
我们可以稍微分析一下。
就算有人真的能够修改那些数据库信息，也要分是修改存档数据库还是修改查询数据库。如果是修改查询数据库，那么只是一般人在查询的时候会被欺骗，误以为某人具有该数据，但是只要核对一下就会发现问题。问题就在于制度上的缺陷和人为的失误可能导致缺少核对这个环节，从而做出误判。
退一步，如果修改的是存档数据库，尽管这种修改更难，那么同理只要进行核对也会发现问题。而如果审查不严就会出现漏洞。
更厉害的是在操作人员录入存档数据库后，颁发证件之前进行数据修改，这样，如果颁证环节不严，就可能发出本不该存在的真实证件，这样就需要核对最原始的材料（考卷、原始凭证、原始处理单据）了。这对于一般的核对人员和流程来说是不可能发现的了。例如，北京教育考试院的那个案例。这位作案人除了能改后台的存档数据库，还能颁证！
总的来说，原理就是这些。从技术上看，一般现在供公众查询的各类数据库（例如成绩等）都是与存档数据库分离的，他们之间有同步，但是放在Internet上的就是查询数据库，仅供查询。存档数据库是放在内网的，例如电子政务内网。有的连政务内网都没有上，就在一个独立的局域网中。要修改，很难，但是，完全有可能。
现在，这类信息篡改犯罪一个最大的特点，我之前说过了，已经形成了“产业链"。那些在网上叫卖的人一般不是生产者，而是销售人员，他们张罗半天，收完钱，最后还要去找那些生产者，让他们去搞定一切。这些生产者，有的的确是高手，即所谓的***，更多的，其实没啥水平， 都是内部人员！
问题就在这里，修改数据库的人多是内部人员！如何理解这些内部人员。包括单位职工，单位雇佣的劳务人员，外包，外协，外维，协维人员；软件开发的供应商，原厂商等等。既有现任的，还有曾任的。这些人有机会接触到那些重要数据库和数据，例如他是一个录入人员，他是软件开发人员，并参与了项目实施，他是信息系统的运维人员。他们知道数据库的类型、IP地址，所在主机和网络的相关信息，知道单位的管理制度，管理现状，管理漏洞，能够接触这些机器、设备和软件系统，甚至有登录访问的帐号口令。而这些帐号口令都没有进行自然人对应，或者说几个人用同一个帐号。又或者帐号口令机制不完善，张三可以登录数据库上面自己另外创建新的数据库帐号。等等。
所有这些内部安全建设的漏洞都可能导致内部人员作案，这样，上面提及的信息篡改，修改考试成绩的事情完全可能发生，为了钱，一定有人挺而走险！
所以，我在这里想要强调的是加强数据保护，特别是要加强对数据库的保护。而这种加强，不仅仅是针对外部的******，也不仅仅是针对网络信息系统存在的那些个漏洞、缺陷，更重要的是针对内部人员操作使用的合规性进行约束和审计！一定要加强内部管理，既有制度上的，也有技术上的。在技术上，就是要部署数据库审计类产品！