毋庸置疑,如今已是重大数据泄密事件层出不穷的年代。大大小小的企业在遭到数据库泄密事件的重创。7天酒店600会员信息被网上叫卖、索尼公司1000万客户信用卡信息遭泄露、电信行业内鬼倒卖用户通话记录获利300多万……

    据隐私权信息交流中心(Privacy Rights Clearinghouse)声称,单单2011年上半年就发生了234起泄密事件,受影响的人成千上万。另据美国专业咨询机构评估,欧美企业发生一次数据泄密事故,给企业带来的平均损失额在2000万美元,用于赔付客户的损失等。
    纵观这些数据库泄密事件,可以发现都是由于利用了数据库自身的安全漏洞或威胁,***后直接操纵数据库或直接拿走数据文件。数据库的安全漏洞与威胁类别繁多,不亚于几十种,***们或***者最常使用的有:
 
通过暴力破解数据库用户口令,操纵数据库
利用缺省口令的漏洞访问数据库
利用权限提升的漏洞得到高权限用户身份,控制数据库
利用PL/SQL注入等,获取访问权限提升,操纵数据库
利用管理漏洞,获知DBA等合法用户名的口令,然后冒用
***到数据库服务器主机,拷贝数据文件、或备份文件
 
    除了对工作流程进行严格管理和控制,对数据库威胁及漏洞做一一对应的安全加固,是人们常用的数据库泄密防护方法,但面临的问题是工作量繁重且难以完全覆盖极其容易遗留漏洞。
 
    经过分析,各种数据库***的方法,最终窃取数据的目标途径离不开以下三个层面:
 
   1. 存储层:直接盗走数据文件或备份文件,异地还原后得到数据
   2. 数据访问:通过人为获取DBA等高权限用户的口令,或通过权限提升等漏洞得到一个高权限用户身份,进行数据窃取。
   3. 应用层:破解或通过工作便利获取应用中的数据库用户口令,绕开业务系统直接访问所有数据(因业务系统中往往对操作范围进行限定,只可获得局部数据)。
因此,真正行之有效的数据库防护的技术手段应该是从根源上,进行核心数据的增强访问控制。包括存储层上利用加密技术保护核心数据项、访问控制上采用独立的权控增强技术防止DBA等高权限用户,应用层保证数据库用户与业务系统的绑定无法绕开。
 
    以下是对近年发生的典型数据泄密事件进行分析,总结其中暴露出的数据库安全威胁,并给出数据库防护手段的建议。
 
一、 7 天酒店数据库被盗
    会员人数超过 1650万,酒店总数逼近600家,在美国纽约证券交易所上市的7天连锁酒店集团无疑是国内经济型连锁酒店集团的龙头企业之一,但更多人所不知道的是,从去年开始,7天酒店在国内***圈中成了“明星”。
最早在去年 8月2日,国内安全圈子里就传出了7天酒店官方网站被攻破,会员资料数据库被刷走的消息。
 
    “我不清楚 7天酒店是被哪个***攻破的,但那天我所在的几个安全类的QQ群中都在谈这件事,甚至群里面还有人给出了会员数据库文件准确的大小——562M左右。”互联网安全专家一翔曾经在接受采访时表示。
 
数据库安全威胁分析
    7天酒店事件中暴露出了当前数据库中普遍存在的一个安全威胁,即数据的明文存储。数据库虽然以二进制方式存储数据,但本质上数据是明文形态,使用Dul/MyDul等工具,可以轻松对数据库文件进行反向解析,还原成清晰的格式化数据。
安全防护建议
    建议采用加密技术类的数据库安全防护产品,对核心敏感数据进行加密存储,使数据文件、备份文件中的敏感数据都是密文形态;即使数据文件或备份文件被盗,也可以保证核心敏感数据的安全性,防止批量泄露。
 
二、 深圳福彩中心双色球巨奖骗局
    2009年 6月9日,福彩双色球第 2009066期摇奖结束后,深圳市福彩中心值班人员在收到中福彩中心中奖号码传真后,进行数据文件中奖数据检索时发现,封期时从销售数据库中导出的两份数据文件(存于硬盘和光盘中)均报错,摇奖程序无法正常对文件进行处理。
    结果显示,深圳 83021022站中出5注一等奖,为一张机选、单注5倍的×××,深圳福利×××中心随即将生成中奖检索结果报告单上报中彩中心,以发布当期中奖信息。中奖结果公布后,为了核验那5注中奖×××的真实性,工作人员对上传中彩中心的数据备份文件进行对比校验,发现备份数据中该×××的投注号码并非中奖号码,即该×××未中一等奖。因此判断,有人非法***深圳福彩中心销售系统,篡改×××数据,人为制造一等奖。
    经审讯,犯罪嫌疑人程某如实交代了作案过程:程某利用系统实施工作之便,提前获知数据库口令。通过植入***程序,待中奖号码公布后,立即启动***程序,修改数据库中自己购买×××的号码。
 
数据库安全威胁分析
(1)    假冒合法用户进行违规访问:数据库口令防控不严,他人可直接使用该用户及口令,绕过合法业务系统,通过自定义程序直接访问数据库;
(2) 数据库用户权限过大
若应用系统中数据库用户本身不被授予中奖号码的修改权限,则即便口令被泄露,也不会造成核心的中奖号码数据被篡改。
 
 安全防护建议
(1) 使用基于数据加密的应用绑定技术,防止合法用户的违规访问
应用绑定技术可以将数据库用户和合法的业务系统直接绑定,确保该用户只能通过指定的业务系统程序进行核心数据的访问,通过自定义程序、其他管理工具等方式无法进行敏感数据的访问。
(2) 数据库管理员需要按最小原则构建安全的权限体系。
 
三、 程稚瀚北京移动充值卡盗窃案
    2005年 3月至8月间,被告人程稚瀚多次通过互联网,经由西藏移动通信有限责任公司(以下简称西藏移动公司)计算机系统,非法侵入北京移动通信有限责任公司(以下简称北京移动公司)充值中心,采取将数据库中已充值的充值卡数据修改后重新写入未充值数据库的手段,对已使用的充值卡进行非法充值后予以销售,非法获利人民币377.5万元。
 
数据库安全威胁分析
    该事件暴露出了数据库固有的一大安全威胁,即超级用户的权限漏洞;数据库中的超级用户具有至高的权限,可以执行任何数据库操作,特别是Oracle数据库中,还存在DBA用户本地执行权限的漏洞,即使用DBA身份本地登录时不需要任何口令校验。
安全防护建议
    使用加密技术对核心的敏感数据进行加密,同时引入三权分立机制,通过安全管理员控制对密文数据的访问权限,这样即使是DBA用户,在没有被授予密文访问权限的情况下照样无法访问敏感数据。
 
四、 Korea 会展中心数据库被***
    2011年5月,******Korea会展中心数据库,在网上爆出其中大量的客户资料数据,并展示数据库操做过程。
    ***首先通过端口扫描技术,检测出该服务器上开放着1521端口(Oracle数据库的缺省端口),首先探明该主机便是数据库服务器。接着利用扫描程序,检测到缺省系统用户dbsnmp并未被锁定,且保留着数据库安装时的缺省密码。
之后***利用权限提升的漏洞,将dbsnmp用户的权限提升至DBA,开始了数据库访问之旅。
 
数据库安全威胁分析
    该事件暴露出了Oracle数据库自身及管理上的几个漏洞:缺省端口号、缺省用户名,以及存在权限提升的漏洞。
 
安全防护建议
    使用加密技术对核心的敏感数据进行加密,同时引入三权分立机制,通过安全管理员控制对密文数据的访问权限,这样即使是利用了数据库的漏洞获取DBA权限,在没有被授予密文访问权限的情况下照样无法访问敏感数据。
 
五、 3.15 移动联通网通 " 内鬼 " 泄密
    一调查公司的“私家侦探”涉案被抓后,牵出“移动、联通及原中国网通三大电信运营商的 3个内鬼多次向其泄露公民个人信息”一事。2010年的3.15晚会上暴露出该电信行业内鬼泄密事件。
    事件的过程是内部坐席维护人员利用工作中的便利途径,获取客服操作员的工号、口令;利用该操作员身份登录客户应用系统。利用修改客服口令不需要旧口令的业务逻辑漏洞,直接修改用户客服密码;以用户的身份和修改后的新客服密码直接登录业务系统,导出短信、通话记录等信息,以此为私家侦探提供线索累计获利300多万。
 
数据库安全威胁分析
(1) 缺乏基于应用级用户的数据访问权限控制
对于不同应用级用户,后台使用同一个数据库用户进行数据访问控制,因此无法有效区分应用级用户的数据访问权限。
(2) 对应用级用户的身份鉴别强度不够
 
安全防护建议
(1) 构建应用级用户的数据访问权限体系
使用具备应用级用户权限控制能力的数据库安全防护产品,使得对于不同应用级的用户,能够精确控制敏感数据的访问权限。
(2) 增加应用级用户的身份鉴别强度
使用基于物理设备的双因素口令认证技术,如Ukey+PIN等方式的身份鉴别方法,使得即使获取密码口令后也不能轻易冒用他人身份,随意进行业务操作。