社保行業信息大量泄露 安華金和提出解決方案
針對今日全網大規模報道的全國30省市社保用戶信息泄露事件,安華金和對烏云歷史報道的社保行業相關漏洞進行集中分析,得出的結論為:大量的信息泄露主要由軟件中存在的SQL注入漏洞引起,而且由外部黑客入侵引起。
實際上根據安華金和對社保行業的掌握情況,不僅僅是外部黑客,同時社保內部的運維人員、第三方的開發人員、甚至社保系統的業務人員都可以通過直連到數據庫,查看或修改相關信息,從而引起社保數據的批量泄露或篡改。
這些問題的解決需要一個系統化的方法,包括管理制度上的改善、安全意識的增強、更嚴謹的應用代碼、更為安全的網絡體系結構;但從專業的數據庫安全廠商角度來看,社保的數據庫安全本身就存在極大的漏洞,特別是社保信息在提供外網訪問時,更是容易被拖庫。
數據泄露類的安全問題的分析如下:
(1)外部黑客攻擊者進行社保信息竊取
黑客攻擊者一般有兩種手段進行數據的竊取:
一是入侵到網絡后,能夠直接訪問數據庫服務器,進行刷庫直接拷貝數據文件,再進行異地的數據還原。
二是利用應用系統的漏洞,通過sql注入,完成對社保人員信息的批量下載,這種方式是當前暴漏出來的案例中的主要方式。
(2)系統維護或第三方開發人員權限過高
負責數據庫的維護管理,直接掌握數據庫DBA用戶的口令。DBA 既負責各項系統維護管理工作,又可以隨時查詢數據庫中的一切敏感信息;這些人員被他人利用,完全可以隨時登陸數據庫,任意進行社保信息的訪問。
而社保系統的第三方開發人員,由于對系統的熟悉度更高,往往可以通過程序中的后門程序或直接訪問數據庫的機會獲得數據。
陜西移動1300萬的數據泄露,就是開發方人員聯創的人員種植的后門程序,引起的信息泄露。
(3)數據庫文件采用明文存儲,拷貝到數據文件后引起整體泄露
當前的主流數據庫中,數據文件都是以明文形式進行存儲的。內部人員或外部黑客入侵者很容易利用這一漏洞,拿到社保數據庫的數據文件或備份文件,進行異地還原或使用專門的數據解析工具,獲得全部社保信息。
近年,有諸多典型的泄密事件,都是通過直接利用文件層的存儲漏洞竊取數據;例如小米論壇800萬用戶信息泄密是由于黑客進行刷庫拿到數據文件、CSDN1000多萬客戶信息泄密,是由于備份磁盤被人拿到后利用。
數據篡改類的安全問題的分析如下:
(1) 非法高權限維護人員的違規篡改
在社保數據庫系統維護過程中,有大量的維護人員賬戶,以及第三方人員使用的賬戶。為了使用方便,DBA在給這些賬戶分配權限時,往往簡化處理,直接給予DBA角色的權限,或者能隨時訪問敏感社保信息的高權限角色。
掌握這些賬戶口令的人員,一旦出于經濟利益或其他原因被人利用,便隨時可以進行參保人員的工資、賬戶余額等經濟數據信息的篡改。
(2) 利用合法維護人員的身份進行違規篡改
合法的維護人員由于工作需要,本來就應該具備修改工資、賬戶余額的權限。一旦這些人員被人利用,或者其他人掌握了合法維護人員的口令后,仍然可以任意進行敏感社保數據的篡改。
且現有的機制無法準確追蹤到操作者具體是誰,只能知道使用哪個數據庫賬戶進行了數據修改操作。
(3) 合法維護人員的誤操作
合法維護人員由于種種原因,也有可能產生社保數據修改的誤操作,導致修改結果不正確。
現有機制也無法準確審計到合法維護人員每次修改行為的詳細過程,比如修改前的值,修改后的值等,一旦發生誤操作可能無法還原及修正。
安華金和作為一家專業的數據庫安全廠商,;在社保行業問題頻頻暴露的過程中,已經就其中問題與社保行業的用戶和廠商進行過多次溝通,根據雙方的共同討論,形成了一些具體的解決方案,并在一些省市開始應用;如下是一個典型的地市的解決方案:
其中外網區域,安華金和提出主要通過部署數據庫防火墻和數據庫加密系統提供防護;通過數據庫防火墻可以防止sql注入、防止批量下載和防止后門程序;通過數據庫加密,使存儲在外網的數據庫中的關鍵信息在存儲層是密文狀態,從而防止文件層的拖庫。
數據庫防火墻,不同于傳統的防火墻,傳統的防火墻無法防止SQL注入等共計手段;數據庫防火墻也不同于web防火墻,web防火墻實際上有很多的應用限制,有很多的sql注入繞開手段,web防火墻也無法做到防止批量下載和后門程序。
而數據庫防火墻可以對數據庫的通訊過程進行精確的解析和控制;對于sql注入本身比web防火墻可以攔截的更為徹底;同時可以對社保應用建立應用特征模型,建立社保正常訪問語句的抽象表達,對每種語句的返回總量進行控制;從而防止批量下載和后門程序。
而數據庫加密產品,不同于磁盤加密和文件加密;后兩種技術,在數據庫啟動后,完全無法防止用戶的拖庫行為。
對于維護域,安華金和提出部署數據庫防火墻和數據庫審計;數據庫防火墻主要對于運維側的人員(包括運維或開發人員)的行為進行管控,通過金庫模式等方法在運維側人員批量訪問敏感表,或進行特殊表的數據變更時,引入審批控制流程。而數據庫審計可以記錄下來所有人員的數據庫訪問行為;可以突破應用層限制,將SQL語句與業務人員身份有效關聯,在發生安全事件后,形成有效追蹤。
