【数据安全案例】车管信息再遭窃取，数据安全缺乏保障

据2010年5月25日转载自新华网的 新闻报道，浙江一男子伙同他人，串通多名民警和协警，进入公安部交管局全国车辆管理信息库，下载大量车辆信息，并获利近90余万元，近日这七人被以涉嫌 非法获取公民个人信息罪提起公诉。
而就在去年，在 湖北仙桃发生过同样的一起窃取车管系统信息的事件。
这起事件再次告诉我们：
1）核心、敏感数据的安全保护很重要，一定要加强保护，除了制定严格的安全制度并严格执行外，尤其是要加强安全审计，数据审计等技术措施。

2）在防范信息泄露和篡改的时候，尤其是要加强内部自身人员的管理和防范措施。以前，我们考虑的更多的是如何防止外部的******并窃取数据，因此加强外部防御。但是，这个浙江案例，以及上一个湖北案例，都是外部人员串通内部人员才得逞的。也就是说，如果一旦有内部人员（包括民警、协警、临时工、外包、劳务人员等）参与作案，他们可以利用工作上的便利轻易地突破各类传统的安全防线。这些人可能掌握的信息系统的合法账号口令，有操作车管系统的权限，他们的行为不会被传统的安全防御系统所识别，他们可以堂而皇之的进行大规模的数据下载操作。这个时候，什么终端准入控制、防火墙、***检测设备都失效了。因此，要加强内部网络安全防范，尤其是加强内部数据和网络的安全审计。

加强内部安全审计，核心的问题就是要对最重要的数据库及其数据实施安全审计，尤其是试图通过网络远程访问和操作数据库的各种行为的审计。这时候，数据库安全审计产品（国外称作Database Activity Monitoring，或者Network Behavior Analysis）可以发挥其巨大的作用。这类产品一个最基本的功能就是如实地记录一切通过网络针对数据库的访问和数据操作，不论是否合法合规。其次，这些产品都提供查询功能，协助审计人员从这些记录中查找违规行为。这其中，有的优秀产品还具有自动或者是半自动的调查取证功能，通过” 行为分析“协助审计人员更快地识别违规行为。例如某个合法账号在非工作时间大量的使用SELECT操作读取数据库中的记录，并且返回的记录量超过1万条；又例如某个合法账号在一台从未此前登录过数据库的PC上发起访问连接，并且对某个重要的表进行删除和修改操作；等等。更高级的产品甚至具有”自动学习“能力，智能的区别合规行为和违规行为。
需要特别强调的是，”行为分析“不同于传统的”操作分析“或者叫”操作审计“。传统的”操作审计“主要是进行应用层协议分析，识别各种SQL语句，可以发现SQL注入***等异常SQL，进行操作本身的安全性分析，但不足以发现违规行为，进行合规性分析。因为违规不一定安全问题。向上面列举的行为分析的例子，从网络安全角度来看是没有问题的，都是很好的SQL语句，但是从合规的角度来看，就不同了。这就需要”行为分析“来实现。