作为一个数据库安全从业者,虽然每天处理安全与这个领域相关的事件,但是从来没有想过,安全问题真的会落到自己头上。虽然每天都会接到好几个各种银行担保、投资理财、外汇交易的电话,但都没有足够触动我敏感的神经,直到有一天下午像往常一样发生了这件事。

最近,7月的一个下午,16: 10,准确的时间,我收到了一封邮件。以本人名义注册的一个外汇金融交易账户注册成功,姓名、电话、电子邮箱完全一致。然后,在每一个时间点,奇妙的事情都在发生,我的小心脏也在逐渐加速。

然后,第二封邮件来了,这次是为了获取金融账户登录名的密码信息。

然后4分钟后,我接到了金融外汇公司客服的电话,但是前两个电话都因为不明来电而无人接听。

当日下午18时31分,因对方多次来电,我接了电话。客服问我是不是我自己,手机号是不是我自己的,今天什么时间用什么邮箱做了什么事情。这个电话一系列问题问完,我吓出一身冷汗。对方的专业,直觉告诉我她不是骗子,而且经过我的核实确认,发现不是我自己操作的,就直接把这个账号剔除了,也没能做进一步的实际操作。这个询问过程结束了,但是我的联想并没有结束。怎么才能不担心留在银行的很多资料和自己开的很多互联网账户?

数据库安全
数据库安全

整个事件过程中,我的个人信息完全暴露。在我不知情的情况下,被动完成了外汇交易平台的整个注册过程。如果没有人工验证,以我的名义注册的账户会进行一系列的交易,甚至可能会与我现有的银行账户挂钩,那么在这个平台下产生的交易盈亏将全部对应到我的账户上。或者我一不小心直接存进这个账户,对方直接受益。

传统的安全防护思维已经不能适应当前安全形势的发展,原有部署的反病毒和基于网关的安全产品也无法抵御日益复杂的攻击。这就好比当我们把财富放在家里的时候,我们觉得相对于安全,然后当你在家里安装了防盗门的时候,你就觉得没有必要对家里的东西做什么安全防护。就像数据库放在企业内部一样,外围加个防火墙,再加些控制,让它很安全。其实这远远不够。

以银行内部制度为例。第一种是很多内部第三方开发者,可以直接访问数据库。有些稍好,只可访问测试库,但是测试库和生产环境数据库中的数据是一样的。其实在这种情况下,数据库中的数据可以直接被开发者拿走;第二种情况是运维人员。大部分银行没有足够的运维人员,运维都是外包服务。这就造成了外部运维人员可以直接访问系统的生产数据库,所以这些外部运维人员可以直接取数据库中的数据。

还有其他更可笑的。有一年,香港的花旗银行做了一次翻新。改造时安全保护没做好,丢失了数据库服务。数据库服务器丢失后,其实后端的那些数据存储是完全能够恢复成明文的。当时数据本身的一些保护措施已经失效,花旗银行的客户信息全部泄露。

数据库安全这一领域,因为是新生事物,还没有形成网络安全对等的市场规模,业内的基本认知还停留在数据库安全审计和保护。数据库安全还包括数据库安全事前体检,数据库安全访问控制防御,数据库中的数据加密以及事后的行为监控和审计。事后的追溯,企业需要三到六个月的时间才能知道,而这段时间零散的数据已经被多次流传和出售。所以事前防御和事中控制缺一不可。通常数据库防火墙和数据路径加密产品可以解决此类问题。

结合个人信息被套用案例谈数据库安全,现在访问数据的途径多了,系统里留下的窃取数据的后门和途径也多了,用户数据的价值也就增加了。因此,数据泄露频繁发生是不可避免的现象。数据库安全也逐渐被企业提出来保持警惕。安全在企业中的认知度越来越高,涉及个人隐私信息,需要严格保密。让用户在享受互联网金融便捷服务的同时也能安心。

本文由《MySql教程网》原创,转载请注明出处!https://mysql360.com