【数据安全案例】黑客入侵教育考试院，篡改数据库

2010年1月7日，BTV播出了一则新闻，说抓住一名黑客利用职务之便，入侵北京教育考试院的网上证书查询系统，并根据受益人（名叫高茜的一名湖北考生，打算借此在考公务员的时候获得加分）的授意，登录后台数据库，篡改记录，增加了一条关于受益人的计算机等级考试合格证书的信息。
这起事件发生在去年，后经公安机关调查，最终锁定了犯罪嫌疑人孟某，其曾经在北京教育考试院社会考试办公室工作，并从事数据录入工作，有机会接触后台数据库系统。
这里有这个新闻报道的更详细信息。
根据BTV的报道，目前此案正在庭审之中。根据公诉人的指证，公安机关后来通过分析WEB服务器的日志以及数据库的日志，发现了一些可疑IP地址，并获得了这些可疑IP地址访问后台数据库的时间、次数。看电视镜头显示，很多来自123.*.*.*的公网IP 地址，也有一些内部IP地址。公安机关就是通过这些线索最终定位到位于北京丰台区的孟某的。

可以看出这个黑客并不高明，他之所以能够成功主要是因为：
1）他有职务之便，了解证书查询系统的情况，例如使用什么数据库，服务器的对内对外IP地址，相关系统和服务器的帐号口令，并能够 “合法地”接触到这些系统。
2）他有作案工具——一个”黑客工具“。而实际上，这类作案工具在互联网到处都是，开发工具的人很NB，但是使用者根本不需要什么技术，照着使用说明用就好了。
而说他不高明，是指这类人都不是专业的黑客，只是利用黑客工具谋取利益的人。所以他的访问IP地址都轻易暴露了，所以数据库和服务器日志都能够记录下来。真正的高手，这些蛛丝马迹是不会轻易留下的，也很容易进行冒充，增加破案的难度。
这里，我并不想多说黑客攻击的问题，我要说的是我们真的很需要赶紧加强对数据库的安全保护。这种保护不是简单的防范黑客攻击，防止外部入侵，而是要进行数据库安全审计！要知道，现在的数据泄漏和篡改事件都是”内部人员“作案为主，他们有帐号口令，他们完全可以把自己”伪装“成一个合法的内部人员，堂而皇之的窃取数据库信息，根本不用任何攻击手段，IPS/IDS/WAF之类的东西根本发现不了。因为我就没有攻击，都是正常访问！这个时候，就需要DAM（Database Activity Monitoring）和NBA（Network Behavior. Analysis）系统，或者叫数据库审计系统来发挥作用了。这类产品最大的功效就在于
1）记录所有针对数据库的增删改查操作，无论是否合规合法，以备后查；
2）能够对看似合法的数据库操作进行行为分析。注意，不是操作分析，而是行为分析。例如一个Seclect语句，能够分析他选择的是哪个表，选择了哪个字段，返回的记录量多大，执行这个语句的数据库帐号是什么，来自哪个IP，MAC，什么时间发起的访问，这个IP对应的是内部还是外部地址，如果是内部地址，是从单位哪台电脑上发出的，这个电脑的责任人是谁？等等。
因此，我们建议在现有传统的安全防护措施（FW，IPS/IDS）之上，还应该部署数据库审计系统。
此外，我们还可以有选择性的部署日志审计产品。因为有时候通过日志也能够发现很多问题的蛛丝马迹，能够帮助我们顺藤摸瓜，找到问题源头。例如本案中公安机关就是这样做的。

最后，我们还要来看看这起法律事件的法律适用性和量刑依据。很显然，这个行为已经触犯了我国刑法，是一起刑事案件。

根据《刑法》第286条的规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。……
根据BTV的报道，孟某被指控“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重”，因而他可能面临“五年以下有期徒刑或者拘役”。
可以说，刑法 286条对于信息篡改行为有着明确的量刑依据。而针对现在更为普遍的信息泄漏行为，去年最新公布的《刑法第七修正案》也针对第253条做了加强：
      在刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。
    “窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。
    “单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”
此外，对于黑客入侵和控制行为，刑法第七修正案第285条做了加强：
      第二百八十五条中增加两款作为第二款、第三款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
    “提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”

所以，有了法律依据后，企事业单位更应该抓紧加固数据库系统，保护其安全，这既是对于防范攻击和违法犯罪的需要，也是尽责尽职的体现，是对法律的捍卫。

【后记】就在2010年5月14日，这个案件有了定论，北京教育考试院社会考试办公室临时工孟令建，利用木马病毒程序进入北京教育考试院网上证书查询系统，帮助网友篡改全国计算机等级考试成绩。北京市丰台区人民法院日前对此案作出一审判决，以破坏计算机信息系统罪判处孟令建有期徒刑1年零6个月.