关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


从信用卡数据泄露视角浅谈银行数据库的安全问题

2015-01-17 11:41 推荐: 浏览: 58字号:

摘要: 根据上海某第三方财富管理公司销售人员提供的线索,记者近日使用QQ群查找功能,搜索“电话销售”这一关键词,找到约200个有“数据交流”功能的QQ群。搜索“银行数据”,参与人数多达数百人、交易活跃的群至少有30个。据介绍,这些正是信用卡信息交易的“黑市”。 在其中...

根据上海某第三方财富管理公司销售人员提供的线索,记者近日使用QQ群查找功能,搜索“电话销售”这一关键词,找到约200个有“数据交流”功能的QQ群。搜索“银行数据”,参与人数多达数百人、交易活跃的群至少有30个。据介绍,这些正是信用卡信息交易的“黑市”。

在其中一个名为“电话销售数据货源”的QQ交流群,记者以求购者身份,很快就从一位卖家处获得了“供试用验真”的银行信用卡客户数据。在这份数据中,工农中建交等多家商业银行的200名客户信息均在列,包括持卡人姓名、移动电话以及家庭住址、开户银行。

这些隐私信息是否真实有效?记者拨打了其中一位安徽省合肥市的持卡人盛某某的电话,经其确认,自己确实在交通银行安徽分行某营业部申请办理了太平洋信用卡。而家住合肥市蜀山区某街道、在该市旅游局工作的其他信息,也与其本人提供的身份证明相符。经一一致电确认,工商银行、建设银行的数十位持卡人也表示,已泄露的客户信息真实有效。

我国银行已发行信用卡逾4亿张,每年信用卡交易总额超13万亿元。银行应对信用卡信息安全和隐私保密,但银行信用卡客户数据泄露现象颇为严重,一条条包括姓名、电话、地址、工作单位、开户行等完整隐私的信用卡开户数据,在网络上公开贩卖,每条从2分钱到5元钱不等。个人信息泄露的危害大家都知道,小到推销电话、短信骚扰,大到金融诈骗甚至绑架勒索。

不仅仅是信用卡客户数据,银行数据库存储着客户的个人以及资金等各类信息,是银行信息系统的核心和基础,承载着越来越多的关键业务系统,整个业务流程过程中的操作、数据的变更、新增、删除都存储在数据库中。信息一旦被篡改或者泄露,不仅损害到公民自身利益,机构的品牌形象,甚至影响到公共秩序和国家利益。所以对数据库的保护是一项必须的,关键的,重要的工作任务。

银行系统核心数据库风险分析

银行行业数据安全的具体含义为:保证银行系统核心数据库信息的保密性、完整性、一致性、可用性和抗否认性。

  • 保密性:指保护数据库中的数据不被泄露和未经授权的获取;
  • 完整性:指保护数据库中的数据不被破坏和删除;
  • 一致性:确保数据库中的数据满足实体完整性、参照完整性和用户定义完整性要求;
  • 可用性:确保数据库中的数据不因人为或自然的原因对授权用户不再可用;
  • 抗否认性:保证用户事后无法否认对数据库进行的一系列访问、修改、查询等操作,便于事后分析调查。

我们可以从银行信息管理系统框架来探讨核心数据库存在的风险,主要有以下几点:

1 .用户个人信息、交易信息被泄露,如用户姓名,电话,用户地址等重要信息被泄露。

2.客户关系管理系统,也是银行系统组成一部分,通过客户满意度分析、客户信用、分析潜在客户等对银行系统也至关重要,有助于拓展市场,挖掘客户的潜在价值。

3.操作人员非法更改数据信息,例如更改金额,日期,地址等信息,这些对银行系统的运作以及客户隐私有重大影响。

4.非法对数据库访问权限授权,某些人没有数据库的写权限,通过非法授权,他就可以对重要数据随意获取、更改,破坏。

5.数据库维护人员对业务系统的误操作,恶意操作,权限滥用等行为无法做到全面的审计

6.黑客攻击,网络中总是存在各种安全漏洞,因此黑客的攻击行为是威胁银行系统数据安全的一大隐患。黑客攻击网络的目的通常是扰乱系统正常运行或者窃取重要的商业机密。

黑客惯常使用的攻击手段为:

  • 窃听-即黑客通过截获通讯信道上的重要数据并破译来达到窃取用户机密的目的;
  • 重发攻击-黑客为达到影响系统正常运行的目的,而将窃听得到的数据经过篡改之后重新发回服务器或者数据库用户;
  • 迂回攻击-黑客掌握电子商务数据库系统的安全漏洞之后,绕过数据库系统而直接访问机密数据;
  • 假冒攻击-黑客先是采取发送大量无意义的报文而堵塞服务器和客户终端的通讯端口以后,再通过假冒该客户或者该服务器的方法来非法操作数据库系统;

◆越权攻击-黑客属于一个合法用户,但是其通过某种手段使自己去访问没有得到授权的数据。

昂楷数据库审计系统解决方案

昂楷数据库审计系统是一款保护数据库安全的软硬件一体化产品,通过交换机端口镜像功能,将网络中对数据库各种访问的IP报文复制一份到审计设备中,数据库审计系统采用数据库深度报文协议解析技术DPI及流媒体分析技术DFL等,将数据库的各种访问操作,解析还原为数据库级的操作语句,以此为基础,在通过预置的安全规则,就能够智能的分析和监控访问者的各种操作,对威胁发出预警、对漏洞提出警告,并对时间进行统计分析记录,进行电子取证,数据库审计系统是信息安全管理人员保护数据库的重要工具。

昂楷数据库审计系统能对来自应用系统客户端和DBA对数据库的访问行为进行全面审计,不仅针对SQL语句,还可以对FTP、TELETN等远程访问进行审计。审计系统能详细记录查询、删除、增加、修改等行为及操作结果,对危险操作还可以实时预警,从而达到保护数据库的良好效果。

目前行业内数据库种类繁多,昂楷数据库审计系统支持对Oracle、MS-SQL 、DB2、MYSQL、Sybase、CACHE等常见数据库的审计。银行系统的核心数据库不管采用什么类型的数据库,昂楷数据库审计系统都可对其全面监控,将核心数据保护起来

昂楷数据库审计系统给银行带来的价值

1.满足合规性要求

顺利通过IT审计 数据库审计系统为用户核心系统提供了独立的审计解决方案,有助于完善组织的IT内控体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。

2.有效减少核心信息资产的破坏和泄露

对金融行业的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用数据库安全审计产品,能够加强对这些关键系统的审计,从而有效地减少对核心信息资产的破坏和数据泄露。

3.追踪溯源

便于事后追查原因与界定责任 负责运维的部门通常拥有数据库管理系统的最高权限(掌握DBA账号的口令),因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。审计系统能够帮助企业进行事后追查原因与界定责任。

4.直观掌握业务系统运行的安全状况

业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说,网络环境的安全状况事关重大。审计系统提供业务流量监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况。

5.实现独立审计

完善IT内控机制 从内控的角度来看,IT系统的使用权、管理权与监督权必须三权分立。审计系统实现独立审计,帮助监督人员获得有效的技术手段,从而完善企业IT内控机制。

联系站长租广告位!

中国首席信息安全官
Copy link