2014年11月12日，江苏连云港检察院披露，一位多地公安车管系统软件供应商竟变身“黑客”，勾结“黄牛”，在车管所软件系统植入程序，专门代人删除交通违章记录达1.4万余条。

李某利用为连云港、宿迁、南京等市车管所软件系统提供运维技术支持的便利条件，躲避现场监管，将事先编好的删除程序输入，通过修改公安内网服务器的网络配置，避开公安内网报警体系，从互联网远程侵入公安网络系统，非法删除车辆违章记录上万条获利。 

截止到案发，公安机关查明李某共计非法删除14000余条交通违章记录，涉案金额1800余万元。三年时间，李某非法敛财650余万元，王某、张某非法获利300余万元。

网民关注：数据库的信息因何被篡改？数据是通过何种渠道泄漏出去的？

本案例中车管所的数据库中的数据被远程修改，其中一个重要的原因就是数据库未进行防护。根据本案例分析，该数据库的部署位置有两种可能，一种是部署在外网，则开发方对数据库进行了直接访问；另一种更大的可能性是，数据库部署在内网，在内外网之间部署了网闸，但这些网闸为了外网的应用服务期能访问到数据库，让数据库访问的通讯协议直接进行了穿透，而未对访问协议中的攻击行为进行控制。

数据库安全领域的专家安华金和指出： 

车管所信息系统的数据库中存储着大量驾驶员、机动车、违章记录等敏感信息，这些重要信息存在非法被篡改和盗取的风险； 

车管所网上机动车自编自选系统存在漏洞，经过安装互联网选号客户端，进行抓取通信数据包获得注入地址，有“拖库”风险； 

外网用户可以通过互联网访问车管所网站，利用黑客攻击手段以web应用服务器为跳板从数据库获取批量敏感信息； 

在内部网络环境下，运维人员对数据库的违规操作和数据恶意篡改，未能进行安全审计。 

还有其他安全隐患，包括数据库自身漏洞和应用程序开发漏洞，数据库自身漏洞主要是“PL-SQL注入”和“缓冲区溢出”两种漏洞有攻击性，需要重点防范；应用程序开发时由于安全验证不到位，可以执行任意SQL语句，导致批量驾驶人和车辆信息泄漏。 

安华金和数据库安全专家支招如何做好数据库安全保护： 

措施一：对从数据库批量导出数据的行为、整表删除、不带条件的更新等恶意行为及时中断数据库操作，防止数据库非法操作行为的发生；

措施二：定期对数据库进行安全风险检查，发现数据库使用中的安全隐患，如弱口令、宽泛权限等及时进行修复； 

措施三：数据库漏洞的攻击特征进行识别，通过虚拟补丁技术对来自外网的黑客数据库攻击及时拦截； 

措施四：运维人员对数据库中的敏感数据修改，一定要记入审计记录，如果出现非法篡改行为可以进行事后追责定责； 

措施五：在应用系统上线前，要对应用和数据库进行安全风险评估测试，及时发现并修复存在的安全隐患，如：SQL注入点、后门程序、缓冲区溢出漏洞等。 

措施六：对数据库中的敏感字段如违章记录、身份证号、车牌号进行加密存储，即使整库丢失也不会泄密。 

关联事件： 

信息安全形势严峻，近两年国内频频出现黑客入侵大型网站和数据库，盗取用户资料的情况。 

软件工程师入侵公安车管信息系统 给126辆走私车办牌照

【案件描述】2008年，武汉一名软件工程师侵入公安机关车辆驾管信息系统，办起一个“地下车管所”。他通过篡改信息，先后给126辆高档轿车办理假证号牌，非法牟利1500余万元。　

【作案手段】武汉人付强此前系深圳某信息技术有限公司武汉办事处软件工程师，曾为省交警总队开发车管信息程序，拥有该信息库的“超级管理员”身份。付强利用自己超级管理员的用户和密码登录数据库，添加黑车牌照数据。同时，付强还向网上黑客购买了破解用户密码的计算程序，在车管系统中录入非法数据。 

江苏宿迁一交通协管员帮人消除违章1156条获刑 

【案件描述】2011年，江苏泗洪县交通协管员孙小虎盗用民警用户名和密码，多次登录公安交通管理综合应用平台，非法删除1156条违章记录，获利2.4万元。

【作案手段】2011年4月，由于关键部位环节的计算机密码数年得不到修改，孙小虎采取盗用民警用户名和密码的方式，多次登录公安交通管理综合应用平台作案。