【数据安全案例】高教网站学籍数据库被入侵，数据遭窃取并被贩卖

2009年11月26日，法制日报报道，两名网络“黑客”利用教育部学籍学历信息平台管理漏洞，非法入侵和下载学历数据近4000万条，并通过出售学籍学历信息牟利。近日，江西省信丰县人民法院一审判决被告人邱海鹏、邱国俊犯非法侵入计算机信息系统罪，分别判处有期徒刑十个月。　　经审理查明，自2005年起，被告人邱海鹏、邱国俊利用中国高等教育学籍学历信息网漏洞，采用“溯雪”、“按键精灵脚本”等软件非法侵入学籍学历查询系统。 2008年10月期间，两被告人在信丰县城网吧包机，利用“按键精灵”软件非法入侵中国高等教育学籍学历管理平台，非法获取约500万条2008年全国高等教育毕业生毕业证书编号。2009年4月23日，被告人邱海鹏又破解了中国高等学籍学历管理平台一部级超级用户的管理权限，并利用该部级用户登录中国高等教育学籍学历信息系统，修改了全国各省市用户名的密码，然后通过省市级用户身份下载了该学籍学历管理平台当中1991年以来的学历数据共计3947.5 万条。两被告人通过出售学籍学历信息进行牟利。
我不知道是不是这个网站：http://www.chsi.com.cn/。

从表面来看，这是一个典型的黑客入侵案例，黑客利用极为简单的密码暴力破解软件和工具（溯雪、按键精灵）就获取了管理员密码帐号，并借此一步步深入，最终获取了访问后台数据库的帐号权限，然后开始疯狂下载数据，……

首先，也是最原始一个安全守则，就是管理员帐号密码的强度问题，这是一个从“互联网的远古”时代就提出来的问题，但是至今仍然是最大的安全隐患，这已经不是制度的问题，而是意识的问题了。的确，“安全需要意识”，这永远是第一条真理。

其次，我们应该知道，现在的黑客入侵，目的已经与以前大不相同了。原来可能是要涂鸦网站，表达观点和示威，现在更多的是为了获取经济利益。入侵只是第一步，而获取后台的数据信息才是关键。这个案例中，明显缺乏对数据库的保护，这是防范信息泄漏的最后一条防线。本质上，只要数据存在牟利的可能，遭受入侵就不可避免。而既然入侵一定存在，那么被攻破的风险就存在，或大或小。对于大部分网站而言，额外的花一笔钱投入到部署一条数据库保护的防线上，投资收益比是绝对划算的，相当于买份保险。如果当初有一套数据库保护系统，例如数据库审计系统，那么，即便是“合法”的管理员，审计系统也会察觉到有人在大量的下载数据（例如Select * from），因而发出可疑预警警告信息。信息泄漏的后果也许就不会这么严重了（几千万条记录被泄漏）。

再深入思考，还有一个问题就是管理员权限的分配的合理性。有必要让管理员具备那么大的权限吗？系统的管理员有做到职责分离吗（网站维护管理员、数据维护管理员、信息审计管理员）？这个问题本质上也不是技术的问题，而是管理的问题，制度的问题。

因此，我建议，对于那些对互联网用户提供数据信息服务的网站管理维护者们：
1）设定高强度的管理员帐号密码，别用姓名、生日之类的词组。
2）管理员的入口能隐藏就隐藏，没有必要在对公众的入口网页上写上“管理员入口请单击这里”，或者出现“管理员登录“提示信息。管理员登录的域名可以与对公众的是一个，但是后面的URL可以隐藏起来，并且尽量复杂。还有，配置好您的网站服务器系统，禁止对网站URL进行遍历。
3）管理员一定要划分角色，做好职责分离，至少要有网站维护者、信息录入者、信息审查者、信息维护着。最重要的就是信息维护者，他是唯一有权看到数据库中最多的数据的人，要控制好。
4）部署一套针对数据库的保护系统，例如一套数据库审计系统，对貌似合法的数据库操作进行审计，记录所有的数据库操作访问的行为。
5）评估加固您的网站，去购买专业的评估加固服务，并持续的购买这类服务