在2023年的時候,有這樣一則訊息,說湖北仙桃破獲一起非法***公安機關車輛管理系統,通過修改資料,為非法渠道購得的豪華車「辦理」車牌號。表像就是如果你去查車管系統,這個車牌是存在的,資訊一應俱全。但是,實際上這條記錄沒有對應的原始登記檔案。犯罪嫌疑人付強,武漢礄口人,此前系深圳某資訊科技****武漢辦事處工程師,曾經幫助湖北省公安廳科技處金盾辦開發軟體,為省交警總隊開發車駕管資訊程式,擁有該資訊庫的「超級管理員」身份。據仙桃市公安局網路監察大隊介紹,付強團夥***公安機關資訊系統,非法牟利的案件,在全國尚屬首例。
這的確是乙個很典型的利用職務之便的資訊篡改事件。跟之前深圳福彩事件類似,犯罪嫌疑人都是曾經接觸過被***的資訊系統,了解他們的情況。這個案例是說他有系統的帳號。如果確實如此的話,至少說明資訊系統的帳號管理有問題,乙個是管理員帳號的受控問題,另乙個是對外包人員的帳號管理問題。
都屬於10大資料庫威脅之列。
1)超級管理員使用者範圍應該嚴格受控,防止許可權濫用和誤用。即便沒有這個付強,車管系統的內部使用者一般也不能擁有超級管理員帳號。
2)對外包人員的管理問題。開發時期的帳號與上線後的帳號一定要分開,應該重新設定,最好帳號重建,至少口令要全部修改。具我所知,這個問題很嚴重。有的系統開發的時候為了測試方便,建立了一堆資料庫帳號,很多簡易的資訊系統登入帳號口令。在系統正式上線後,這些帳號根本沒有進行清理,連登入口令都沒有更換。
這就為外包人員作案有了可乘之機。上次的移動神州行事件也是如此。
3)這個問題反映到資料庫系統上,屬於審計記錄不足的問題,也就是沒有對資料庫的「合法行為」進行審計。如果前兩點我們都錯過了,但是我們有一套審計體系,那麼問題可能也會很快被發現。如果在資料庫旁邊部署了乙個網路行為審計系統,對所有合法資料操作進行審計,那麼可能會發現貌似合法的違規行為。
我想再次提醒所有人,哪怕是公安機關,對於資訊系統的資料庫安全保護一定要注意!要制定有效的管理制度,尤其是對外包人員的管理,要設定必要的審計機制,至少要進行日誌審計。有條件的,一定要考慮部署資料庫審計產品,對網路行為進行審計。
資料安全案例 案例彙總
個人資訊保護 北京破獲販賣個人資訊案 涉及上千萬條公民資訊 23人侵犯個人資訊獲刑,含7名電信單位人員 個人資訊倒賣產業鏈悄然形成,司法困境依舊待解 移動和聯通員工洩露和利用個人資訊犯罪獲刑 通訊公司內部員工出賣個人資訊 全國首單侵犯公民資訊保安案在珠海宣判 侵犯個人資訊保安 第一案帶來什麼 資訊洩...
資料安全案例 全國首單侵犯公民資訊保安案宣判
全國首單侵犯公民資訊保安案在珠海宣判。被告人周建平則因向上述被告人非法 個人資訊資料被以非法獲取公民個人資訊罪判處有期徒刑1年6個月,並處罰金2000元。周建平是2009年10月16日最高法院 最高檢察院針對 刑法修正案 七 而公布施行的 罪名補充規定 四 後,國內被法院以侵犯個人資訊保安的新罪名追...
資料安全案例 花旗集團承認遭受資料安全洩露
據報道,2011年6月9日,花旗集團 citigroup 公開承認其約有20萬個北美地區的銀行卡客戶資料遭到洩露。花旗集團表示,洩露的資訊包括了帳號 郵箱 號碼,以及其他敏感資料。近期,較大影響性的資訊洩露事件頻發,包括多個美國防務公司 洛克希德馬丁 格魯曼 該報道還列舉了近期的一些重要資訊洩露事故...