客戶個人信息及通訊數據的竊取和倒賣等不法行為一直困擾著運營商行業用戶,因其數據量之龐大,蘊含價值之高,這種現象屢禁不止,其中相當一部分安全事件源于數據庫的安全防護弱點。我們將運營商用戶面臨的數據庫安全隱患分為三類:
(1)正規訪問途徑,竊取敏感數據
目前運營商內部人員普遍存在數據庫管理賬號權限過高的情況,絕大多數賬號的權限超出其工作職責所必須的權限范圍,可以隨時隨地登錄數據庫、輕易獲取敏感信息。一旦被他人利用或者賬號被他人獲取,可能造成批量數據泄露風險。
(2)服務器存儲層拷貝數據庫文件
運維人員對硬件設備擁有高權限,可以從存儲層直接拷貝數據庫文件,如果沒有有效的運維管控手段,可能導致整庫數據泄露。
(3)黑客利用漏洞進行攻擊,竊取敏感數據
數據庫系統和WEB系統普遍存在代碼級以及邏輯設計上的缺陷,即系統漏洞。外部黑客可以利用這些漏洞發起攻擊,入侵數據庫,達到竊取、篡改數據的目的。
(4)行業監管要求
除了安全隱患,中國電信《CTG-MBOSS 安全規范總冊》、《企業內部控制規范----基本規范的內部審計機制》以及《電信網與互聯網安全等級保護實施指南》、《移動通信網安全防護要求》等均對數據庫安全審計提出了明確要求。
|