數據庫安全審計系列文章之一——誰動了你的數據庫?

　　(聯合電訊社/北京)--近日，一些公司企業的大量客戶信息被泄露，姓名、聯系方式、身份證號碼等全部曝光。從事通信業務的某公司，憑借出色的服務質量，在業內樹立了良好的口碑;出于客戶管理和業務安全性的需要，客戶辦理部分業務時，需要留下身份證號碼和聯系方式等信息，并承諾對客戶信息的保密性負責，不會發生信息外泄的現象，但由于一起公司資料信息外泄事故的發生，不僅導致大批客戶資源的流失，支付巨額賠償金，也造成該公司股票也一路下滑。

　　事故發生后，公司領導當即作出指示：由信息化部牽頭，配合公安機關，查出罪魁禍首，對社會公布事故原因，挽救企業形象，杜絕此類現象的再次發生。公安機關主要從企業外部開始查起，信息化部則要利用好已有的安全防范工具，尤其是已經部署的信息安全產品，從內部開始嚴查。首先，要排查業務系統是否受到了黑客攻擊，這是信息泄露最常見的渠道，然后，排查可能接觸到業務信息系統的員工。

　　此公司對業務信息的重要性有深刻的認識，兩年前就開始了信息安全的建設，公司在各個網絡分支機構都部署了防火墻，在關鍵業務區域還部署了IDS、IPS等設備。技術攻關小組逐項檢查業務部門網絡所部署的防火墻、IDS、IPS日志，以期從這些信息安全設備上找到一些黑客入侵的蛛絲馬跡。防火墻的策略非常嚴格，日志沒看到有異常的訪問流量;部署在業務網接入邊界的IPS，日志顯示近三個月有兩起入侵事件，但是入侵行為被及時阻斷，威脅尚未產生就已經被制止;監控業務網核心交換流量的IDS，日志中看到的攻擊行為都是蠕蟲類攻擊，只能引起業務系統資源耗盡或者目標業務主機不響應，不會導致客戶信息泄露。

　　如果沒有受到來自外部的黑客攻擊，那么，問題應該出在內部了，能接觸到業務網尤其是數據庫的兩個數據庫管理員(DBA)被列入了懷疑對象。然而，DBA對數據庫的任何操作都必須經過嚴格的身份認證和監控機制，經過檢查數據庫和操作系統日志，沒有發現DBA的違規操作。公司除了DBA，沒有人能直接接觸數據庫服務器，因此需要檢查通過網絡訪問數據庫的業務系統是否有異常。公司能批量查詢客戶信息的主要業務系統是客戶關系管理系統，系統為BS架構。操作員在PC上通過瀏覽器進行身份認證并登錄客戶關系管理系統(WEB服務)，系統的WEB服務器連接后臺數據庫服務器，WEB服務器到數據庫的訪問均采用同一數據庫賬號，此系統有管理員2人、運維人員2人、操作員若干。

　　進過仔細排查，客戶關系管理系統相關的管理人員和操作人員沒有被查出任何違規行為。不過在數據庫日志中發現WEB服務器發生過多次向數據庫查詢批量客戶信息的操作，一部分查詢集中在月初，公司會開展常規的客戶關系維護活動，需要查詢客戶信息。另一部分查詢操作均在月中，正常來說，公司月中不會辦理對批量客戶的業務或者活動，操作員均否認這個時間段查詢過客戶信息。經過分析，問題應該就出在這里，這個時間距離客戶信息被泄露的時間也比較近。經過層層排查，罪魁禍首終于被找到。那么，到底是誰偷盜了用戶信息，答案即將揭曉。