那些年，我嘗過的互聯(lián)網(wǎng)的鮮

我是一個(gè)數(shù)據(jù)庫(kù)安全從業(yè)者，盡管每天會(huì)聽到、看到、處理該領(lǐng)域相關(guān)的安全事件，但基于僥幸心理，從概率角度來推斷，從未想過，從未發(fā)生過，這種事情真的會(huì)落到自己的頭上。盡管我每天有數(shù)通電話是來自各種銀行擔(dān)保、投資理財(cái)、外匯交易，但這些，都沒有能夠足夠觸動(dòng)到我那根敏感的神經(jīng)，直到一個(gè)與往常一樣的下午，這件事的發(fā)生……

我同時(shí)是一個(gè)互聯(lián)網(wǎng)模式的擁躉，各種與此相關(guān)的新鮮事務(wù)，最新應(yīng)用，我都會(huì)勇于去嘗試，期間不吝惜提供個(gè)人相關(guān)信息，這些信息包括，姓名、電話、郵箱，甚至與此關(guān)聯(lián)的身份證號(hào)碼(用過手機(jī)銀行的都知道，不提供是無法享受其服務(wù)的)，誰(shuí)知道呢?即使我不說，聚集了一些字段后，按照現(xiàn)在大數(shù)據(jù)身份識(shí)別分析技術(shù)，恐怕早已經(jīng)能夠智能解決“我是誰(shuí)“這個(gè)哲學(xué)領(lǐng)域的復(fù)雜問題，而在現(xiàn)實(shí)身份認(rèn)證中，關(guān)于“我是誰(shuí)”早已迎刃而解。

手機(jī)銀行一出，我被深深吸引。直接手機(jī)下載App，我對(duì)這種方式，贊不絕口，屢試不爽，工資第一時(shí)間查看，理財(cái)線上操作，轉(zhuǎn)賬分分鐘的事情，不用排大隊(duì)，不用看四大行姑娘們養(yǎng)尊處優(yōu)的臉色。緊接著，互聯(lián)網(wǎng)金融來了，別忘了，我是個(gè)互聯(lián)網(wǎng)的擁躉，自然不會(huì)錯(cuò)過嘗鮮的機(jī)會(huì)，于是宜人貸、盈盈理財(cái)?shù)雀髀稟PP被我嘗試了個(gè)遍。這些信息，都是需要身份證信息的，我統(tǒng)統(tǒng)貢獻(xiàn)出來，相信金融行業(yè)各家銀行保險(xiǎn)機(jī)構(gòu)的安全性。直到有一天，一連串的來電詢問，我整個(gè)人都毛了。

自作孽，不可活，終于攤上事兒了

就在近期，7月的一個(gè)下午，準(zhǔn)確時(shí)間16點(diǎn)10分，我收到一封郵件，以我個(gè)人名義的注冊(cè)的一個(gè)外匯金融交易賬號(hào)注冊(cè)成功，且姓名、電話、郵箱地址完全吻合。本故事毫無虛構(gòu)，完全真實(shí)，有圖有真相。接下來，在每一個(gè)時(shí)間點(diǎn)，奇妙的事情均在發(fā)生，而我的小心臟，也逐步加速跳動(dòng)。

接著，第二封郵件來襲，這次是獲取到金融賬戶登陸名密碼信息。

緊接著4分鐘后，接到金融外匯公司的客服來電，但前兩次均因不明電話而未接聽。

2分鐘過后，郵件繼續(xù)追剿，金融外匯機(jī)構(gòu)請(qǐng)求我與其聯(lián)系。

當(dāng)日下午18點(diǎn)31分，因?yàn)閷?duì)方多次來電，我便接聽了電話?？头儐栁沂欠駷槲冶救耍謾C(jī)號(hào)是本人么，是不是在今天的幾點(diǎn)幾分用什么郵箱賬號(hào)進(jìn)行過怎樣的操作。這通電話中的一系列問題完成后，嚇了自己一身冷汗。對(duì)方的專業(yè)，直覺告訴我她不是個(gè)騙子，而且經(jīng)我的核實(shí)確認(rèn)后，發(fā)現(xiàn)不是本人操作，直接消除了此賬號(hào)，未能有更進(jìn)一步實(shí)際操作。這個(gè)詢問過程結(jié)束了，我的聯(lián)想并未結(jié)束，關(guān)聯(lián)此前在銀行留下的諸多信息，開通過的諸多互聯(lián)網(wǎng)賬號(hào)，哪一個(gè)都綁著我的錢袋子，怎能不擔(dān)憂?

整個(gè)事件，我的個(gè)人信息暴露無遺，在我毫不知情的情況下，被動(dòng)完成了外匯交易平臺(tái)注冊(cè)全過程，如果沒有人工核實(shí)校驗(yàn)環(huán)節(jié)，以我名義被注冊(cè)的賬號(hào)，將開展系列交易動(dòng)作，很可能還會(huì)和我現(xiàn)有的銀行賬戶掛鉤，那么這個(gè)平臺(tái)下所產(chǎn)生的交易盈虧，均將和我的賬戶做對(duì)應(yīng)。或者我馬虎一些，直接對(duì)該賬戶進(jìn)行存款操作，對(duì)方直接可獲漁翁之利。

站在數(shù)據(jù)庫(kù)安全行業(yè)的肩頭眺望

上文提到了，我是一個(gè)數(shù)據(jù)庫(kù)安全從業(yè)者，我們每天會(huì)面對(duì)銀行、保險(xiǎn)、基金、互聯(lián)網(wǎng)金融各類企業(yè)用戶，在金融領(lǐng)域整體信息化建設(shè)的過程中，信息安全建設(shè)緊隨其后，但是黑客的能力也是在不斷進(jìn)步的，而且系統(tǒng)越復(fù)雜，自身的漏洞也會(huì)越多，漏洞越多伴隨著的是黑客的攻擊手段也會(huì)越來越多。傳統(tǒng)的安全防護(hù)思維已經(jīng)無法適應(yīng)現(xiàn)在安全態(tài)勢(shì)的發(fā)展，原有部署的防病毒、網(wǎng)關(guān)類基礎(chǔ)安全產(chǎn)品，已經(jīng)不足以抵御愈變愈復(fù)雜的攻擊行為。這就好比我們把財(cái)富放在家里，就覺得相對(duì)安全了，然后你把家里的防盜門裝好，便認(rèn)為家里的東西本身就不需要再做什么安全措施了。這就好比數(shù)據(jù)庫(kù)都是放到企業(yè)內(nèi)部或者內(nèi)網(wǎng)當(dāng)中，在外圍加上防火墻，再加一些控制就變得很安全了。實(shí)際上這個(gè)是遠(yuǎn)遠(yuǎn)不足夠的，就拿銀行的內(nèi)部系統(tǒng)來看，第一個(gè)就是內(nèi)部很多第三方開發(fā)人員，他們可以直接訪問數(shù)據(jù)庫(kù)，有一些好一點(diǎn)，弄一個(gè)測(cè)試庫(kù)，但是測(cè)試庫(kù)又與真實(shí)數(shù)據(jù)庫(kù)中的數(shù)據(jù)相同，實(shí)際上在這種情況下數(shù)據(jù)庫(kù)中的數(shù)據(jù)是可以直接被開發(fā)人員拿走的;第二種情況就是運(yùn)維人員，銀行內(nèi)部大多也沒有足夠的運(yùn)維人員，運(yùn)維也是外包服務(wù)，這就造成外部的運(yùn)維人員可以直接接觸到系統(tǒng)的生產(chǎn)庫(kù)，所以這些外部的運(yùn)維人員是可以直接把數(shù)據(jù)庫(kù)中的數(shù)據(jù)拿走的。另外還有一些更可笑的，有一年，香港花旗銀行做裝修，裝修過程中由于安全防護(hù)沒做好，數(shù)據(jù)庫(kù)服務(wù)器丟了。數(shù)據(jù)庫(kù)服務(wù)器丟失以后，實(shí)際上后端的那些數(shù)據(jù)存儲(chǔ)是完全有手段還原成明文的。那個(gè)時(shí)候數(shù)據(jù)自身的一些防護(hù)措施已經(jīng)不起作用了，花旗銀行的所有客戶資料都泄露了。

新興的互聯(lián)網(wǎng)金融業(yè)，多金，多用戶，更是在忙著業(yè)務(wù)，忙著系統(tǒng)如何快速支撐和運(yùn)轉(zhuǎn)，對(duì)安全問題的重視程度并不是第一位考慮的因素，但站在個(gè)人用戶的角度，風(fēng)險(xiǎn)低、安全才是第一前提，然后才是如何在安全基礎(chǔ)上財(cái)務(wù)增值。從數(shù)據(jù)存儲(chǔ)的介質(zhì)來看，核心數(shù)據(jù)最終都會(huì)落到數(shù)據(jù)庫(kù)里，如果數(shù)據(jù)庫(kù)被顛覆了，一切歸零，對(duì)于互聯(lián)網(wǎng)金融企業(yè)來講，損失不可預(yù)估。因此說，安全是一個(gè)水桶原理，往往是從最短板的地方流出，那么現(xiàn)在發(fā)生的信息泄露事件90%以上都和數(shù)據(jù)庫(kù)有關(guān)，數(shù)據(jù)庫(kù)安全這塊最短的木桶短板，在互聯(lián)網(wǎng)金融這個(gè)新興領(lǐng)域仍不可忽視。

數(shù)據(jù)庫(kù)安全這個(gè)領(lǐng)域，因?yàn)樾拢驗(yàn)樯形葱纬删W(wǎng)絡(luò)安全同等的市場(chǎng)規(guī)模，業(yè)內(nèi)基本的認(rèn)知還停留在數(shù)據(jù)庫(kù)安全審計(jì)與防護(hù)，目前市面上被認(rèn)知較多、用戶接受度較高較多的也是數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，該類事后追蹤審計(jì)產(chǎn)品確實(shí)在金融行業(yè)應(yīng)用較多，但從安全防護(hù)的過程來看，數(shù)據(jù)庫(kù)安全同樣包含事前的數(shù)據(jù)庫(kù)安全體檢、事中的數(shù)據(jù)庫(kù)安全訪問控制防御、庫(kù)內(nèi)數(shù)據(jù)的加密和事后的行為監(jiān)測(cè)與審計(jì)。而事后的追溯反映，快也要3到6個(gè)月，企業(yè)才會(huì)知道，而散落在外面的數(shù)據(jù)，在這個(gè)時(shí)間里，不知道已經(jīng)被傳閱和販賣了多少次了。因此，事前的防御和事中的過程控制不可或缺。通常數(shù)據(jù)庫(kù)防火墻和數(shù)據(jù)路加密產(chǎn)品，可以解決此類問題。

現(xiàn)在訪問數(shù)據(jù)的途徑變多了，那么在系統(tǒng)中留下的后門和竊取數(shù)據(jù)的途徑也變多了，用戶數(shù)據(jù)的價(jià)值增大了，所以現(xiàn)在數(shù)據(jù)泄露事件頻發(fā)也是一個(gè)必然的現(xiàn)象，數(shù)據(jù)庫(kù)安全也在逐漸被企業(yè)提高維護(hù)意識(shí)。企業(yè)的安全意識(shí)在提高，涉及到個(gè)人的隱私信息，更是需要嚴(yán)格保密。真正讓用戶在享受互聯(lián)網(wǎng)金融便捷服務(wù)的同時(shí)，感到安心。