【数据安全案例】黑客入侵教育考试院,篡改数据库

2010年1月7日,BTV播出了一则新闻,说抓住一名黑客利用职务之便,入侵北京教育考试院的网上证书查询系统,并根据受益人(名叫高茜的一名湖北考生,打算借此在考公务员的时候获得加分)的授意,登录后台数据库,篡改记录,增加了一条关于受益人的计算机等级考试合格证书的信息。
这起事件发生在去年,后经公安机关调查,最终锁定了犯罪嫌疑人孟某,其曾经在北京教育考试院社会考试办公室工作,并从事数据录入工作,有机会接触后台数据库系统。
这里有这个新闻报道的更详细信息。
根据BTV的报道,目前此案正在庭审之中。根据公诉人的指证,公安机关后来通过分析WEB服务器的日志以及数据库的日志,发现了一些可疑IP地址,并获得了这些可疑IP地址访问后台数据库的时间、次数。看电视镜头显示,很多来自123.*.*.*的公网IP 地址,也有一些内部IP地址。公安机关就是通过这些线索最终定位到位于北京丰台区的孟某的。

可以看出这个黑客并不高明,他之所以能够成功主要是因为:
1)他有职务之便,了解证书查询系统的情况,例如使用什么数据库,服务器的对内对外IP地址,相关系统和服务器的帐号口令,并能够 “合法地”接触到这些系统。
2)他有作案工具——一个”黑客工具“。而实际上,这类作案工具在互联网到处都是,开发工具的人很NB,但是使用者根本不需要什么技术,照着使用说明用就好了。
而说他不高明,是指这类人都不是专业的黑客,只是利用黑客工具谋取利益的人。所以他的访问IP地址都轻易暴露了,所以数据库和服务器日志都能够记录下来。真正的高手,这些蛛丝马迹是不会轻易留下的,也很容易进行冒充,增加破案的难度。
这里,我并不想多说黑客攻击的问题,我要说的是我们真的很需要赶紧加强对数据库的安全保护。这种保护不是简单的防范黑客攻击,防止外部入侵,而是要进行数据库安全审计!要知道,现在的数据泄漏和篡改事件都是”内部人员“作案为主,他们有帐号口令,他们完全可以把自己”伪装“成一个合法的内部人员,堂而皇之的窃取数据库信息,根本不用任何攻击手段,IPS/IDS/WAF之类的东西根本发现不了。因为我就没有攻击,都是正常访问!这个时候,就需要DAM(Database Activity Monitoring)和NBA(Network Behavior. Analysis)系统,或者叫数据库审计系统来发挥作用了。这类产品最大的功效就在于
1)记录所有针对数据库的增删改查操作,无论是否合规合法,以备后查;
2)能够对看似合法的数据库操作进行行为分析。注意,不是操作分析,而是行为分析。例如一个Seclect语句,能够分析他选择的是哪个表,选择了哪个字段,返回的记录量多大,执行这个语句的数据库帐号是什么,来自哪个IP,MAC,什么时间发起的访问,这个IP对应的是内部还是外部地址,如果是内部地址,是从单位哪台电脑上发出的,这个电脑的责任人是谁?等等。
因此,我们建议在现有传统的安全防护措施(FW,IPS/IDS)之上,还应该部署数据库审计系统。
此外,我们还可以有选择性的部署日志审计产品。因为有时候通过日志也能够发现很多问题的蛛丝马迹,能够帮助我们顺藤摸瓜,找到问题源头。例如本案中公安机关就是这样做的。

最后,我们还要来看看这起法律事件的法律适用性和量刑依据。很显然,这个行为已经触犯了我国刑法,是一起刑事案件。

根据《刑法》第286条的规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。……
根据BTV的报道,孟某被指控“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重”,因而他可能面临“五年以下有期徒刑或者拘役”。
可以说,刑法 286条对于信息篡改行为有着明确的量刑依据。而针对现在更为普遍的信息泄漏行为,去年最新公布的《刑法第七修正案》也针对第253条做了加强:
      在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
    “窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
    “单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
此外,对于黑客入侵和控制行为,刑法第七修正案第285条做了加强:
      第二百八十五条中增加两款作为第二款、第三款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
    “提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”

所以,有了法律依据后,企事业单位更应该抓紧加固数据库系统,保护其安全,这既是对于防范攻击和违法犯罪的需要,也是尽责尽职的体现,是对法律的捍卫。

【后记】就在2010年5月14日,这个案件有了定论,北京教育考试院社会考试办公室临时工孟令建,利用木马病毒程序进入北京教育考试院网上证书查询系统,帮助网友篡改全国计算机等级考试成绩。北京市丰台区人民法院日前对此案作出一审判决,以破坏计算机信息系统罪判处孟令建有期徒刑1年零6个月.

你可能感兴趣的:(案例,数据保护,数据库安全,DLP,数据库审计)