信用卡盗刷事件 冰山一角看数据安全
作者:安华金和 发布时间:2016-06-29

随着信用卡的普及,盗刷事件随之进入我们的视野。近年来人们的防范意识已有显著提高,懂得在各类场合保护我们的财产隐私,但此类案件却依然屡见不鲜。

就在2月份,新浪曝光了关于中行信用卡的投诉:2015年10月初,于女士在中国银行申请了一张信用卡,但收到卡后并没有立刻办理激活,而是顺手将信件和卡放进抽屉里锁起来。10月22日,于女士接到自称是中国银行员工的电话,号码以170开头,该“员工”说出了他的员工号,声称要为于女士的白金卡提高信用额度,并且报出了于女士的姓名、开卡账号以及绑定手机号,于女士信以为真,按对方要求提供了身份证号以及手机收到的激活验证码。就这样,于女士一步步落入骗子的圈套,在接下来的一小时里,于女士信用卡的绑定电话被修改,并陆续发生了20多笔交易,总金额近 5万元。于女士向中行提出质疑:自己的信用卡信息是如何泄露出去的,包括开卡时注册的手机号码、卡号和姓名?

事实上金融行业的信息泄露现象已经很常见,当你在银行购买了某种基金、保险产品后,会接到无数向你兜售同类理财产品的电话;当你的信用卡账单做了一笔分期,会有无数不知名的公司向你推销小额贷款业务……电话里的推销员对我们过往的理财行为如此了解,得到了我们的手机号码,还可以说出我们的名字,究竟这些个人敏感数据从何泄露?银行的数据库是否可以保护我们的隐私信息不被侵入。

国内知名IT咨询研究机构计世资讯(CCW Research)在1月份发布的《2015-2016数据库安全市场现状和发展趋势研究报告》中指出,当前泄露事件中超过90%的数据都是从数据库中泄露出去的,而数据库被侵入事件中,内部侵入的比例更是高达80%以上。此类现象在金融行业更为明显。由于金融机构的信息化程度较高,网络安全产品已经非常普及且足够成熟,虽然能够抵挡外部大的侵入攻击,但萧蔷始于内,内部人员为了牟利,利用自身权限和对于数据库的熟悉,更容易对数据进行窃取或修改。随着司法制度的健全,此类因银行信息泄露导致客户财产损失的案子,已有多起被法院判定由银行承担主要责任,对客户进行财产赔付的案例。所以,保护敏感数据的安全,既关乎消费者的财产安全,也保护了银行自己的信誉和商业利益。

银行数据库面临的内部侵入风险:

通过对银行数据库系统运维管理工作的研究,安华金和总结出4条主要安全隐患,可能导致内部侵入事件的发生:

1、外包人员权限过大

为满足业务部门与日俱增的IT需求、缩短产品研发周期,银行很多信息系统引入IT外包模式,而对于外包服务商的操作权限控制不严,导致的数据泄密事件时有发生。

2、合法人员的非授权访问

对内部网络来讲,DBA管理员等合法人员同样存在着针对银行核心数据库进行违规操作的安全隐患,例如非授权访问敏感数据、非工作时间访问核心业务表、非工作场所访问数据库、运维误操作、(delete、update)高危指令的操作等行为,都可能造成信息泄露。

3、明文保存数据极易泄露

不排除个别内部员工法制观念淡薄、道德防线脆弱,在利益驱使下,利用职务之便搜集客户的银行卡号、姓名、金额、联系方式等大量明文存储在数据库中的敏感信息,并向不法分子兜售;将造成银行重要数据的泄密,引发法律风险。

4、安全取证困难

数据库系统中,现有日志系统可以实时或非实时的监测和追踪侵入者,但是数据库系统遭受入侵和非授权操作时,攻击者也可拿到系统高权限账户,可以有选择的删除部分或全部审计日志,导致无法准确定位和追责破坏和泄露行为,对日后调查取证造成严重阻碍。

针对内部泄露的数据库安全防护措施

对于内部用户主动或被动泄露敏感信息等事件,传统网络安全产品成效不大。基于以上内部风险及防护思路,安华金和数据库安全专家建议部署数据库防火墙、数据库保险箱及数据库监控与审计系统,三者配合构成严密的内部核心数据安全防护。

数据库防火墙(DBFirewall)控制外包人员访问权限和授权范围,避免第三方外包人员针对库内核心数据进行有意无意的高危操作;防止开发人员批量下载敏感数据;防止内部维护人员远程或本地批量导出敏感数据。

数据库保险箱(DBCoffer)可以将明文保存的数据进行加密处理,保证他人即使拿到了数据文件,也“看不懂”。

数据库监控与审计系统(DBAudit)针对所有数据库操作,将操作语句与操作人员、操作时间、操作对象、操作结果有效关联,进行事后的安全分析,为安全取证提供可靠的依据。

金融行业因为涉及经济财富和人员核心身份信息,其安全需求的特殊性、重要性和敏感度要求,相较其他行业,信息安全起步早,投入大。虽然大部分传统网关边界安全产品已经配备,但纵深至核心系统,金融行业整体的信息安全防护仍然漏洞百出,对于核心数据的保护更需要跨越边界安全,全面渗透至核心数据库的防护。