那些年,我嘗過的互聯(lián)網的鮮
我是一個數據庫安全從業(yè)者,盡管每天會聽到、看到、處理該領域相關的安全事件,但基于僥幸心理,從概率角度來推斷,從未想過,從未發(fā)生過,這種事情真的會落到自己的頭上。盡管我每天有數通電話是來自各種銀行擔保、投資理財、外匯交易,但這些,都沒有能夠足夠觸動到我那根敏感的神經,直到一個與往常一樣的下午,這件事的發(fā)生。。。
我同時是一個互聯(lián)網模式的擁躉,各種與此相關的新鮮事務,最新應用,我都會勇于去嘗試,期間不吝惜提供個人相關信息,這些信息包括,姓名、電話、郵箱,甚至與此關聯(lián)的身份證號碼(用過手機銀行的都知道,不提供是無法享受其服務的),誰知道呢?即使我不說,聚集了一些字段后,按照現在大數據身份識別分析技術,恐怕早已經能夠智能解決“我是誰“這個哲學領域的復雜問題,而在現實身份認證中,關于“我是誰”早已迎刃而解。
手機銀行一出,我被深深吸引。直接手機下載App,我對這種方式,贊不絕口,屢試不爽,工資第一時間查看,理財線上操作,轉賬分分鐘的事情,不用排大隊,不用看四大行姑娘們養(yǎng)尊處優(yōu)的臉色。緊接著,互聯(lián)網金融來了,別忘了,我是個互聯(lián)網的擁躉,自然不會錯過嘗鮮的機會,于是宜人貸、盈盈理財等各路APP被我嘗試了個遍。這些信息,都是需要身份證信息的,我統(tǒng)統(tǒng)貢獻出來,相信金融行業(yè)各家銀行保險機構的安全性。直到有一天,一連串的來電詢問,我整個人都毛了。
自作孽,不可活,終于攤上事兒了
就在近期,7月的一個下午,準確時間16點10分,我收到一封郵件,以我個人名義的注冊的一個外匯金融交易賬號注冊成功,且姓名、電話、郵箱地址完全吻合。本故事毫無虛構,完全真實,有圖有真相。接下來,在每一個時間點,奇妙的事情均在發(fā)生,而我的小心臟,也逐步加速跳動。
接著,第二封郵件來襲,這次是獲取到金融賬戶登陸名密碼信息。
緊接著4分鐘后,接到金融外匯公司的客服來電,但前兩次均因不明電話而未接聽。
2分鐘過后,郵件繼續(xù)追剿,金融外匯機構請求我與其聯(lián)系。
當日下午18點31分,因為對方多次來電,我便接聽了電話。客服詢問我是否為我本人,手機號是本人么,是不是在今天的幾點幾分用什么郵箱賬號進行過怎樣的操作。這通電話中的一系列問題完成后,嚇了自己一身冷汗。對方的專業(yè),直覺告訴我她不是個騙子,而且經我的核實確認后,發(fā)現不是本人操作,直接消除了此賬號,未能有更進一步實際操作。這個詢問過程結束了,我的聯(lián)想并未結束,關聯(lián)此前在銀行留下的諸多信息,開通過的諸多互聯(lián)網賬號,哪一個都綁著我的錢袋子, 怎能不擔憂?
整個事件,我的個人信息暴露無遺,在我毫不知情的情況下,被動完成了外匯交易平臺注冊全過程,如果沒有人工核實校驗環(huán)節(jié),以我名義被注冊的賬號,將開展系列交易動作,很可能還會和我現有的銀行賬戶掛鉤,那么這個平臺下所產生的交易盈虧,均將和我的賬戶做對應?;蛘呶荫R虎一些,直接對該賬戶進行存款操作,對方直接可獲漁翁之利。
站在數據庫安全行業(yè)的肩頭眺望
上文提到了,我是一個數據庫安全從業(yè)者,我們每天會面對銀行、保險、基金、互聯(lián)網金融各類企業(yè)用戶,在金融領域整體信息化建設的過程中,信息安全建設緊隨其后,但是黑客的能力也是在不斷進步的,而且系統(tǒng)越復雜,自身的漏洞也會越多,漏洞越多伴隨著的是黑客的攻擊手段也會越來越多。傳統(tǒng)的安全防護思維已經無法適應現在安全態(tài)勢的發(fā)展,原有部署的防病毒、網關類基礎安全產品,已經不足以抵御愈變愈復雜的攻擊行為。這就好比我們把財富放在家里,就覺得相對安全了,然后你把家里的防盜門裝好,便認為家里的東西本身就不需要再做什么安全措施了。這就好比數據庫都是放到企業(yè)內部或者內網當中,在外圍加上防火墻,再加一些控制就變得很安全了。實際上這個是遠遠不足夠的,就拿銀行的內部系統(tǒng)來看,第一個就是內部很多第三方開發(fā)人員,他們可以直接訪問數據庫,有一些好一點,弄一個測試庫,但是測試庫又與真實數據庫中的數據相同,實際上在這種情況下數據庫中的數據是可以直接被開發(fā)人員拿走的;第二種情況就是運維人員,銀行內部大多也沒有足夠的運維人員,運維也是外包服務,這就造成外部的運維人員可以直接接觸到系統(tǒng)的生產庫,所以這些外部的運維人員是可以直接把數據庫中的數據拿走的。另外還有一些更可笑的,有一年,香港花旗銀行做裝修,裝修過程中由于安全防護沒做好,數據庫服務器丟了。數據庫服務器丟失以后,實際上后端的那些數據存儲是完全有手段還原成明文的。那個時候數據自身的一些防護措施已經不起作用了,花旗銀行的所有客戶資料都泄露了。
新興的互聯(lián)網金融業(yè),多金,多用戶,更是在忙著業(yè)務,忙著系統(tǒng)如何快速支撐和運轉,對安全問題的重視程度并不是第一位考慮的因素,但站在個人用戶的角度,風險低、安全才是第一前提,然后才是如何在安全基礎上財務增值。從數據存儲的介質來看,核心數據最終都會落到數據庫里,如果數據庫被顛覆了,一切歸零,對于互聯(lián)網金融企業(yè)來講,損失不可預估。因此說,安全是一個水桶原理,往往是從最短板的地方流出,那么現在發(fā)生的信息泄露事件90%以上都和數據庫有關,數據庫安全這塊最短的木桶短板,在互聯(lián)網金融這個新興領域仍不可忽視。
數據庫安全這個領域,因為新,因為尚未形成網絡安全同等的市場規(guī)模,業(yè)內基本的認知還停留在數據庫安全審計與防護,目前市面上被認知較多、用戶接受度較高較多的也是數據庫審計產品,該類事后追蹤審計產品確實在金融行業(yè)應用較多,但從安全防護的過程來看,數據庫安全同樣包含事前的數據庫安全體檢、事中的數據庫安全訪問控制防御、庫內數據的加密和事后的行為監(jiān)測與審計。而事后的追溯反映,快也要3到6個月,企業(yè)才會知道,而散落在外面的數據,在這個時間里,不知道已經被傳閱和販賣了多少次了。因此,事前的防御和事中的過程控制不可或缺。通常數據庫防火墻和數據路加密產品,可以解決此類問題。
現在訪問數據的途徑變多了,那么在系統(tǒng)中留下的后門和竊取數據的途徑也變多了,用戶數據的價值增大了,所以現在數據泄露事件頻發(fā)也是一個必然的現象,數據庫安全也在逐漸被企業(yè)提高維護意識。企業(yè)的安全意識在提高,涉及到個人的隱私信息,更是需要嚴格保密。真正讓用戶在享受互聯(lián)網金融便捷服務的同時,感到安心。
分享到微信 ×
打開微信,點擊底部的“發(fā)現”,
使用“掃一掃”即可將網頁分享至朋友圈。