“誰動了你的數(shù)據(jù)庫?”之層層排查捉竊賊
2010年8月底的一個下午,G公司信息化部的會議室坐滿了人,屋里卻鴉雀無聲。公司COO意外的現(xiàn)身在這次部門會議上,信息化部的萬部長眉頭緊鎖,技術(shù)負(fù)責(zé)人小李臉色微白,其他人也都是滿臉嚴(yán)肅,到底發(fā)生了什么事
2010年8月底的一個下午,G公司信息化部的會議室坐滿了人,屋里卻鴉雀無聲。公司COO意外的現(xiàn)身在這次部門會議上,信息化部的萬部長眉頭緊鎖,技術(shù)負(fù)責(zé)人小李臉色微白,其他人也都是滿臉嚴(yán)肅,到底發(fā)生了什么事?原來,G公司近期發(fā)生了一起事故,大批客戶的個人信息被泄露,姓名、聯(lián)系方式甚至身份證號碼全部曝光,一些客戶一怒之下投訴了G公司。
G公司從事通信業(yè)務(wù),因為管理有方,近幾年的業(yè)務(wù)做的風(fēng)生水起,尤其是憑借出色的服務(wù)質(zhì)量,在業(yè)內(nèi)樹立了良好的口碑。出于客戶管理和業(yè)務(wù)安全性的需要,客戶辦理部分業(yè)務(wù)時,需要留下身份證號碼和聯(lián)系方式等信息,G公司一直承諾對客戶信息的保密性負(fù)責(zé),不會發(fā)生信息外泄的現(xiàn)象。此次事故的發(fā)生,不僅導(dǎo)致大批客戶資源的流失,支付巨額賠償金,就連股票也一路下滑,如果不及時采取應(yīng)對措施,G公司前途堪憂。
會上COO說的最多的一個字就是"查",由信息化部牽頭,一定要配合公安機關(guān),查出罪魁禍?zhǔn)祝瑢ι鐣际鹿试颍炀绕髽I(yè)形象,杜絕此類現(xiàn)象的再次發(fā)生。萬部長強調(diào),公安機關(guān)主要從企業(yè)外部開始查起,信息化部要利用好已有的安全防范工具,尤其是已經(jīng)部署的信息安全產(chǎn)品,從內(nèi)部開始嚴(yán)查。小李提出一個思路:既然是客戶信息泄露,必然跟客戶業(yè)務(wù)信息系統(tǒng)有關(guān)。首先,要排查業(yè)務(wù)系統(tǒng)是否受到了黑客攻擊,這是信息泄露最常見的渠道,然后,排查可能接觸到業(yè)務(wù)信息系統(tǒng)的員工。這個思路被大家認(rèn)可,排查工作開始了。
G公司深知業(yè)務(wù)信息的重要性,早在兩年前就開始了信息安全的建設(shè),公司在各個網(wǎng)絡(luò)分支機構(gòu)都部署了防火墻,在關(guān)鍵業(yè)務(wù)區(qū)域還部署了IDS、IPS等設(shè)備,本次排查,大家都希望這些設(shè)備能派上用場。兩天過去了,小李帶領(lǐng)技術(shù)攻關(guān)小組,逐項檢查業(yè)務(wù)部門網(wǎng)絡(luò)所部署的防火墻、IDS、IPS日志,想從這些信息安全設(shè)備上找到一些黑客入侵的蛛絲馬跡,然而,結(jié)果讓他失望。防火墻的策略非常嚴(yán)格,日志沒看到有異常的訪問流量;部署在業(yè)務(wù)網(wǎng)接入邊界的IPS,日志顯示近三個月有兩起入侵事件,但是入侵行為被及時阻斷,威脅尚未產(chǎn)生就已經(jīng)被制止;監(jiān)控業(yè)務(wù)網(wǎng)核心交換流量的IDS,日志中看到的攻擊行為都是蠕蟲類攻擊,只能引起業(yè)務(wù)系統(tǒng)資源耗盡或者目標(biāo)業(yè)務(wù)主機不響應(yīng),不會導(dǎo)致客戶信息泄露。
如果沒有受到來自外部的黑客攻擊,那么,問題應(yīng)該出在內(nèi)部了,所有能接觸到業(yè)務(wù)網(wǎng)尤其是數(shù)據(jù)庫的員工立刻都變成了嫌疑人,公司內(nèi)部的氣氛陡然變得緊張起來。最先被懷疑的是兩個數(shù)據(jù)庫管理員(DBA)老滕和老宋,只有他們能最直接的接觸到數(shù)據(jù)庫的核心數(shù)據(jù)。不過,DBA對數(shù)據(jù)庫的任何操作都必須經(jīng)過嚴(yán)格的身份認(rèn)證和監(jiān)控機制,且經(jīng)過檢查數(shù)據(jù)庫和操作系統(tǒng)日志,沒看到DBA有什么違規(guī)操作。嫌疑暫時解除,老滕和老宋松了一口氣,加入到排查問題的隊伍中來。他們提出建議,G公司除了DBA,沒有人能直接接觸數(shù)據(jù)庫服務(wù)器了,需要檢查一下通過網(wǎng)絡(luò)訪問數(shù)據(jù)庫的業(yè)務(wù)系統(tǒng)是否有異常。G公司能批量查詢客戶信息的主要業(yè)務(wù)系統(tǒng)是客戶關(guān)系管理系統(tǒng),系統(tǒng)為BS架構(gòu)。操作員在PC上通過瀏覽器進行身份認(rèn)證并登錄客戶關(guān)系管理系統(tǒng)(WEB服務(wù)),系統(tǒng)的WEB服務(wù)器連接后臺數(shù)據(jù)庫服務(wù)器,WEB服務(wù)器到數(shù)據(jù)庫的訪問均采用同一數(shù)據(jù)庫賬號,此系統(tǒng)有管理員2人、運維人員2人、操作員若干。
又是三天的排查時間,客戶關(guān)系管理系統(tǒng)相關(guān)的管理人員和操作人員沒有被查出任何違規(guī)行為。不過在排查中發(fā)現(xiàn)了一個線索,在數(shù)據(jù)庫日志中發(fā)現(xiàn),WEB服務(wù)器在7月份發(fā)生過多次向數(shù)據(jù)庫查詢批量客戶信息的操作,一部分查詢集中在月初,那個時候公司會開展常規(guī)的客戶關(guān)系維護活動,要查詢客戶信息比較正常。另一部分查詢操作均在7月12日左右,正常來說,公司月中不會辦理對批量客戶的業(yè)務(wù)或者活動,這些查詢顯得有些莫名其妙,操作員均否認(rèn)這個時間段查詢過客戶信息。公安機關(guān)的同志分析,問題應(yīng)該就出在這里,這個時間距離客戶信息被泄露的時間也比較近。經(jīng)過層層排查,罪魁禍?zhǔn)捉K于被找到。那么,到底是誰偷盜了用戶信息,內(nèi)鬼還是外賊?答案即將揭曉。
G公司從事通信業(yè)務(wù),因為管理有方,近幾年的業(yè)務(wù)做的風(fēng)生水起,尤其是憑借出色的服務(wù)質(zhì)量,在業(yè)內(nèi)樹立了良好的口碑。出于客戶管理和業(yè)務(wù)安全性的需要,客戶辦理部分業(yè)務(wù)時,需要留下身份證號碼和聯(lián)系方式等信息,G公司一直承諾對客戶信息的保密性負(fù)責(zé),不會發(fā)生信息外泄的現(xiàn)象。此次事故的發(fā)生,不僅導(dǎo)致大批客戶資源的流失,支付巨額賠償金,就連股票也一路下滑,如果不及時采取應(yīng)對措施,G公司前途堪憂。
會上COO說的最多的一個字就是"查",由信息化部牽頭,一定要配合公安機關(guān),查出罪魁禍?zhǔn)祝瑢ι鐣际鹿试颍炀绕髽I(yè)形象,杜絕此類現(xiàn)象的再次發(fā)生。萬部長強調(diào),公安機關(guān)主要從企業(yè)外部開始查起,信息化部要利用好已有的安全防范工具,尤其是已經(jīng)部署的信息安全產(chǎn)品,從內(nèi)部開始嚴(yán)查。小李提出一個思路:既然是客戶信息泄露,必然跟客戶業(yè)務(wù)信息系統(tǒng)有關(guān)。首先,要排查業(yè)務(wù)系統(tǒng)是否受到了黑客攻擊,這是信息泄露最常見的渠道,然后,排查可能接觸到業(yè)務(wù)信息系統(tǒng)的員工。這個思路被大家認(rèn)可,排查工作開始了。
G公司深知業(yè)務(wù)信息的重要性,早在兩年前就開始了信息安全的建設(shè),公司在各個網(wǎng)絡(luò)分支機構(gòu)都部署了防火墻,在關(guān)鍵業(yè)務(wù)區(qū)域還部署了IDS、IPS等設(shè)備,本次排查,大家都希望這些設(shè)備能派上用場。兩天過去了,小李帶領(lǐng)技術(shù)攻關(guān)小組,逐項檢查業(yè)務(wù)部門網(wǎng)絡(luò)所部署的防火墻、IDS、IPS日志,想從這些信息安全設(shè)備上找到一些黑客入侵的蛛絲馬跡,然而,結(jié)果讓他失望。防火墻的策略非常嚴(yán)格,日志沒看到有異常的訪問流量;部署在業(yè)務(wù)網(wǎng)接入邊界的IPS,日志顯示近三個月有兩起入侵事件,但是入侵行為被及時阻斷,威脅尚未產(chǎn)生就已經(jīng)被制止;監(jiān)控業(yè)務(wù)網(wǎng)核心交換流量的IDS,日志中看到的攻擊行為都是蠕蟲類攻擊,只能引起業(yè)務(wù)系統(tǒng)資源耗盡或者目標(biāo)業(yè)務(wù)主機不響應(yīng),不會導(dǎo)致客戶信息泄露。
如果沒有受到來自外部的黑客攻擊,那么,問題應(yīng)該出在內(nèi)部了,所有能接觸到業(yè)務(wù)網(wǎng)尤其是數(shù)據(jù)庫的員工立刻都變成了嫌疑人,公司內(nèi)部的氣氛陡然變得緊張起來。最先被懷疑的是兩個數(shù)據(jù)庫管理員(DBA)老滕和老宋,只有他們能最直接的接觸到數(shù)據(jù)庫的核心數(shù)據(jù)。不過,DBA對數(shù)據(jù)庫的任何操作都必須經(jīng)過嚴(yán)格的身份認(rèn)證和監(jiān)控機制,且經(jīng)過檢查數(shù)據(jù)庫和操作系統(tǒng)日志,沒看到DBA有什么違規(guī)操作。嫌疑暫時解除,老滕和老宋松了一口氣,加入到排查問題的隊伍中來。他們提出建議,G公司除了DBA,沒有人能直接接觸數(shù)據(jù)庫服務(wù)器了,需要檢查一下通過網(wǎng)絡(luò)訪問數(shù)據(jù)庫的業(yè)務(wù)系統(tǒng)是否有異常。G公司能批量查詢客戶信息的主要業(yè)務(wù)系統(tǒng)是客戶關(guān)系管理系統(tǒng),系統(tǒng)為BS架構(gòu)。操作員在PC上通過瀏覽器進行身份認(rèn)證并登錄客戶關(guān)系管理系統(tǒng)(WEB服務(wù)),系統(tǒng)的WEB服務(wù)器連接后臺數(shù)據(jù)庫服務(wù)器,WEB服務(wù)器到數(shù)據(jù)庫的訪問均采用同一數(shù)據(jù)庫賬號,此系統(tǒng)有管理員2人、運維人員2人、操作員若干。
又是三天的排查時間,客戶關(guān)系管理系統(tǒng)相關(guān)的管理人員和操作人員沒有被查出任何違規(guī)行為。不過在排查中發(fā)現(xiàn)了一個線索,在數(shù)據(jù)庫日志中發(fā)現(xiàn),WEB服務(wù)器在7月份發(fā)生過多次向數(shù)據(jù)庫查詢批量客戶信息的操作,一部分查詢集中在月初,那個時候公司會開展常規(guī)的客戶關(guān)系維護活動,要查詢客戶信息比較正常。另一部分查詢操作均在7月12日左右,正常來說,公司月中不會辦理對批量客戶的業(yè)務(wù)或者活動,這些查詢顯得有些莫名其妙,操作員均否認(rèn)這個時間段查詢過客戶信息。公安機關(guān)的同志分析,問題應(yīng)該就出在這里,這個時間距離客戶信息被泄露的時間也比較近。經(jīng)過層層排查,罪魁禍?zhǔn)捉K于被找到。那么,到底是誰偷盜了用戶信息,內(nèi)鬼還是外賊?答案即將揭曉。
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
