蓝派网(www.lan27.com)-精选网络资源,分享和交流! 文章首页站内搜索在线手册广告代码酷站欣赏万年历
您现在的位置: 蓝派网 >> 文章中心 >> 数据库 >> 数据库概论 >> 正文

数据泄密内鬼现形记!揭示信息审计如此重要?

作者:佚名    文章来源:IT168.com    更新时间:2009-3-17 0:14:54

    深圳妇幼信息泄露事件虽然已经过去一年,但"企业内部控制基本规范"将在7月实施,这再次提醒我们:当前的企业网络信息正面临各种各样的风险,外部攻击、内网泄露、违规上网行为、应用业务压力风险等等,我们如何才能掌控全局?

    警醒:企业高层内鬼现形记!

    对于企业来说,时刻在保护企业的关键数据信息。然而,除了防护外部的攻击,内部的威胁同样巨大。某银行企业为了保护数据,专门部署了RSA enVision审计系统,某天,监管部门收到了一条奇怪的警报……

    enVision报警显示:某高层主管Timak在一小时内创建了一个用户帐号Kpbrady,然后又把它删除了。

    Timak是该银行某部门的主管,因业务需要具有银行客户系统的管理员权限。从表面上看,这个举动并没有什么异常。

    然而,当我们进行关联分析时,就可判断其为:超级用户的异常活动。

    Timak创建了一个帐号,单独的创建动作没有任何的问题,每天会有很多次的创建动作,这是一个正常的操作,他删除了一个帐号也是正常的动作。但是他一小时之内先创建后删除,这就是异常动作。

    因为这种嫌疑,通过enVision系统进行追查:

    首先,从众多的用户账号中,过滤出用户帐号Kpbrady,并找出这个账号所做的所有行为,包括数据访问、撰写、修改等各种操作。对它进行单独审查、分析。我们通过回放会发现他过去一个小时所有的活动,从他创建到删除的生命周期里他做了哪些事情。

    通过审看发现,用户帐号Kpbrady修改了单位Oracle里的数据库。因为Oracle里的数据库是不应该被Kpbrady修改的,也不应该被管理员Timak修改。

    由此,审计推断出,这种访问行为是非法的。

    紧接着,通过enVision Task Triage证据调查数据库,并借助另外的安全官,联系相关的Oracle的管理员进行恢复操作,然后把整个事情解决掉。

    从以上的记录可见,企业的很多威胁来自于企业内部,特别是特定的人群。让我们再来看一下妇幼信息泄露事件过程:如果这家医院对妇幼资料进行了适当的安全存放,还会走盗走么?如果对之进行了访问控制权限处理,还会发生此事么?如果对妇幼资料的访问进行了访问历史记录,谁还敢把数据拷走?

    妇幼信息泄露事件之所以发生,并非外力所为,而是这家医院自身的网络信息系统的管理体制缺陷问题。企业网络除了受外界攻击外,自身的缺陷也是很严重的问题,甚至可以将自己打侄。

    对于这种现象,RSA,EMC信息安全事业部中国区资深技术顾问华丹表示,企业审计系统一般不是给通常意义上的IT管理员或者工程师用的,而是面向高层管理员、CIO。因为合规,最后打拍子的话,一定是打在经理或者经理以上的级别,所以它面向的对象,或者说使用它的人一般是IT经理或者是安全部门。

[1] [2] [3] 下一页


发表评论】【打印此文】【关闭窗口】【点击数:
★好玩的休闲小游戏★