美国某研究所提供的网络犯罪研究报告显示:数据泄漏使美国塔吉特公司、日本索尼公司等全球知名企业普遍遭遇损失。令人更加沮丧的是,有越来越多全球性企业被迫加入了数据泄漏行列。报告数据显示,美国企业仅2013年一年,就为网络犯罪给其造成的数据泄漏付出了总额高达1156万美元的“学费”。除数据泄漏外,全球各大企业为保障数据安全所做的“无用功”也给其平添了不小的财务负担。而公司数据一旦泄漏,企业还要被迫为其后产生的法务开销、合规罚款与司法调查费用埋单。数据信息泄露事件的频繁发生,也再次给我们敲响了警钟。
据不完全统计显示,2012年国内有50余个网站用户信息数据库在互联网上公开流传或通过地下黑色产业链进行售卖,其中已被证实确为真实信息的数据近5000万条,包括移动互联网也成为网络安全事件多发领域。2014年更是成为重灾区,光重大泄露事件就有二十多起,直接损失多达上百亿元。
案例:
2011.04 索尼PNS网络平台遭遇黑客攻击,超过7000万用户资料外泄
2011.12 广东省公安厅出入境网上申请数据被黑客窃取泄露
2012.03 315晚会曝光多家银行员工倒卖用户隐私信息
2013.06 “棱镜门”事件,爱德华.斯诺顿将美国国家安全局的秘密文档披露给了《卫报》和华盛顿邮报,随即遭美国政府通缉
2014.01 2000万条酒店数据“曝光”汉庭星空(上海)酒店管理有限公司被起诉,索赔20万元
2014.02 多地职称英语考试学生信息“裸奔”
2014.03 携程信息安全门事件,导致用户个人信息、银行等多重信息泄露
2014.05 小米800万用户数据泄露
2014.08 多家快递网站因存在漏洞遭黑客入侵,有1400万条个人信息在网络上被层层转卖。
2014.10 考研报名结束后不久,网络上就公然出售考生信息
2014.12 东航被曝系统漏洞 致大量用户订单信息泄露
2014.12 智联招聘86万用户简历信息泄露的漏洞并公开
2014.12 12306订票网站大量用户数据遭泄露,导致大量用户被恶意改签退票·····
数据泄密途径及原因分析:
业内人士都知道数据泄露的所有数据出入都源自于我们的数据库系统,而数据库系统是企业里最具有战略性的资产,随着业务系统的不断增加伴随着数据库信息价值以及可访问性提升,使得数据库面对来自内部和外部的安全风险大大增加,如过违规越权操作或恶意入侵,很容易导致机密信息窃取泄漏,而且事后无法有效的追溯和审计。通常数据库安全存在风险我们具体总结为以下几点:
(1)核心数据维护人员越来越多,既有本公司的信息维护人员,也有系统开发商、第三方运维外包公司的操作监控失效等等,致使安全事件发生时,无法追溯并定位真实的操作者。
(2)授权人员的权限滥用;如:已授权的人员通过自己拥有可查询、修改的权限进行滥用。他们通过信息化系统如财务系统、OA系统、BI系统查询核心数据库敏感信息。
(3)现有的安全工具(比如:防火墙、IDS、IPS等)无法阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。
针对数据库存在的风险及漏洞,深圳昂楷科技数据安全研发厂商技术总监钱教授给出建议说:由于现有的安全工具无法阻止黑客恶意操作,我们不得不借助于基于DPI+DFI技术的数据库审计系统,对来自应用系统客户端和DBA对数据库的访问行为进行深度审计,他不仅针对SQL语句,还可以对FTP、TELETN等远程访问进行审计。审计系统能详细记录查询、删除、增加、修改等行为及操作结果,对危险操作可以实时预警、及时阻止,从而达到保护数据库的良好效果。
数据库审计系统是一款保护数据库安全的软硬件一体化产品,通过交换机端口镜像功能,将网络中对数据库各种访问的IP报文复制一份到审计设备中,数据库审计系统采用数据库深度报文协议解析技术DPI及流媒体分析技术DFL等,将数据库的各种访问操作,解析还原为数据库级的操作语句,以此为基础,在通过预置的安全规则,就能够智能的分析和监控访问者的各种操作,对威胁发出预警、对漏洞提出警告,并对时间进行统计分析记录,进行电子取证,数据库审计系统是信息安全管理人员保护数据库的重要工具。
大数据时代,数据泄露事件的愈演愈烈,不仅给企业带来严重的直接经济损失,而且在品牌价值、投资人关系、社会公众形象等多方面造成损害,因此,企业必须加强信息安全管理。但要想彻底治理实属不易,这也不是单方面的努力所能企及的,而是需要企业、社会各界的共同努力。
