2014年11月12日��,江蘇連云港檢察院披露����,一位多地公安車管系統(tǒng)軟件供應(yīng)商竟變身“黑客”,勾結(jié)“黃?��!?���,在車管所軟件系統(tǒng)植入程序��,專門代人刪除交通違章記錄達(dá)1.4萬(wàn)余條�。
李某利用為連云港、宿遷�����、南京等市車管所軟件系統(tǒng)提供運(yùn)維技術(shù)支持的便利條件,躲避現(xiàn)場(chǎng)監(jiān)管����,將事先編好的刪除程序輸入,通過(guò)修改公安內(nèi)網(wǎng)服務(wù)器的網(wǎng)絡(luò)配置����,避開(kāi)公安內(nèi)網(wǎng)報(bào)警體系�����,從互聯(lián)網(wǎng)遠(yuǎn)程侵入公安網(wǎng)絡(luò)系統(tǒng)�����,非法刪除車輛違章記錄上萬(wàn)條獲利����。
截止到案發(fā),公安機(jī)關(guān)查明李某共計(jì)非法刪除14000余條交通違章記錄����,涉案金額1800余萬(wàn)元。三年時(shí)間�����,李某非法斂財(cái)650余萬(wàn)元,王某�、張某非法獲利300余萬(wàn)元。
網(wǎng)民關(guān)注:數(shù)據(jù)庫(kù)的信息因何被篡改�?數(shù)據(jù)是通過(guò)何種渠道泄漏出去的?
本案例中車管所的數(shù)據(jù)庫(kù)中的數(shù)據(jù)被遠(yuǎn)程修改���,其中一個(gè)重要的原因就是數(shù)據(jù)庫(kù)未進(jìn)行防護(hù)�。根據(jù)本案例分析����,該數(shù)據(jù)庫(kù)的部署位置有兩種可能,一種是部署在外網(wǎng)���,則開(kāi)發(fā)方對(duì)數(shù)據(jù)庫(kù)進(jìn)行了直接訪問(wèn)�;另一種更大的可能性是�,數(shù)據(jù)庫(kù)部署在內(nèi)網(wǎng),在內(nèi)外網(wǎng)之間部署了網(wǎng)閘�,但這些網(wǎng)閘為了外網(wǎng)的應(yīng)用服務(wù)期能訪問(wèn)到數(shù)據(jù)庫(kù),讓數(shù)據(jù)庫(kù)訪問(wèn)的通訊協(xié)議直接進(jìn)行了穿透���,而未對(duì)訪問(wèn)協(xié)議中的攻擊行為進(jìn)行控制�。
數(shù)據(jù)庫(kù)安全領(lǐng)域的專家安華金和指出:
車管所信息系統(tǒng)的數(shù)據(jù)庫(kù)中存儲(chǔ)著大量駕駛員、機(jī)動(dòng)車��、違章記錄等敏感信息�����,這些重要信息存在非法被篡改和盜取的風(fēng)險(xiǎn)�����;
車管所網(wǎng)上機(jī)動(dòng)車自編自選系統(tǒng)存在漏洞�����,經(jīng)過(guò)安裝互聯(lián)網(wǎng)選號(hào)客戶端�����,進(jìn)行抓取通信數(shù)據(jù)包獲得注入地址�,有“拖庫(kù)”風(fēng)險(xiǎn)�����;
外網(wǎng)用戶可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)車管所網(wǎng)站���,利用黑客攻擊手段以web應(yīng)用服務(wù)器為跳板從數(shù)據(jù)庫(kù)獲取批量敏感信息����;
在內(nèi)部網(wǎng)絡(luò)環(huán)境下,運(yùn)維人員對(duì)數(shù)據(jù)庫(kù)的違規(guī)操作和數(shù)據(jù)惡意篡改����,未能進(jìn)行安全審計(jì)。
還有其他安全隱患���,包括數(shù)據(jù)庫(kù)自身漏洞和應(yīng)用程序開(kāi)發(fā)漏洞��,數(shù)據(jù)庫(kù)自身漏洞主要是“PL-SQL注入”和“緩沖區(qū)溢出”兩種漏洞有攻擊性�,需要重點(diǎn)防范��;應(yīng)用程序開(kāi)發(fā)時(shí)由于安全驗(yàn)證不到位��,可以執(zhí)行任意SQL語(yǔ)句��,導(dǎo)致批量駕駛?cè)撕蛙囕v信息泄漏����。
安華金和數(shù)據(jù)庫(kù)安全專家支招如何做好數(shù)據(jù)庫(kù)安全保護(hù):
措施一:對(duì)從數(shù)據(jù)庫(kù)批量導(dǎo)出數(shù)據(jù)的行為、整表刪除�����、不帶條件的更新等惡意行為及時(shí)中斷數(shù)據(jù)庫(kù)操作,防止數(shù)據(jù)庫(kù)非法操作行為的發(fā)生�;
措施二:定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全風(fēng)險(xiǎn)檢查,發(fā)現(xiàn)數(shù)據(jù)庫(kù)使用中的安全隱患�����,如弱口令��、寬泛權(quán)限等及時(shí)進(jìn)行修復(fù)���;
措施三:數(shù)據(jù)庫(kù)漏洞的攻擊特征進(jìn)行識(shí)別,通過(guò)虛擬補(bǔ)丁技術(shù)對(duì)來(lái)自外網(wǎng)的黑客數(shù)據(jù)庫(kù)攻擊及時(shí)攔截����;
措施四:運(yùn)維人員對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)修改,一定要記入審計(jì)記錄�����,如果出現(xiàn)非法篡改行為可以進(jìn)行事后追責(zé)定責(zé)���;
措施五:在應(yīng)用系統(tǒng)上線前�����,要對(duì)應(yīng)用和數(shù)據(jù)庫(kù)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估測(cè)試����,及時(shí)發(fā)現(xiàn)并修復(fù)存在的安全隱患,如:SQL注入點(diǎn)��、后門程序���、緩沖區(qū)溢出漏洞等�。
措施六:對(duì)數(shù)據(jù)庫(kù)中的敏感字段如違章記錄�����、身份證號(hào)��、車牌號(hào)進(jìn)行加密存儲(chǔ)����,即使整庫(kù)丟失也不會(huì)泄密。
關(guān)聯(lián)事件:
信息安全形勢(shì)嚴(yán)峻�,近兩年國(guó)內(nèi)頻頻出現(xiàn)黑客入侵大型網(wǎng)站和數(shù)據(jù)庫(kù),盜取用戶資料的情況�。
軟件工程師入侵公安車管信息系統(tǒng) 給126輛走私車辦牌照
【案件描述】2008年�����,武漢一名軟件工程師侵入公安機(jī)關(guān)車輛駕管信息系統(tǒng)���,辦起一個(gè)“地下車管所”。他通過(guò)篡改信息�����,先后給126輛高檔轎車辦理假證號(hào)牌���,非法牟利1500余萬(wàn)元���。
【作案手段】武漢人付強(qiáng)此前系深圳某信息技術(shù)有限公司武漢辦事處軟件工程師��,曾為省交警總隊(duì)開(kāi)發(fā)車管信息程序���,擁有該信息庫(kù)的“超級(jí)管理員”身份。付強(qiáng)利用自己超級(jí)管理員的用戶和密碼登錄數(shù)據(jù)庫(kù)�,添加黑車牌照數(shù)據(jù)。同時(shí)���,付強(qiáng)還向網(wǎng)上黑客購(gòu)買了破解用戶密碼的計(jì)算程序�,在車管系統(tǒng)中錄入非法數(shù)據(jù)。
江蘇宿遷一交通協(xié)管員幫人消除違章1156條獲刑
【案件描述】2011年�,江蘇泗洪縣交通協(xié)管員孫小虎盜用民警用戶名和密碼,多次登錄公安交通管理綜合應(yīng)用平臺(tái)���,非法刪除1156條違章記錄����,獲利2.4萬(wàn)元�。
【作案手段】2011年4月,由于關(guān)鍵部位環(huán)節(jié)的計(jì)算機(jī)密碼數(shù)年得不到修改����,孫小虎采取盜用民警用戶名和密碼的方式,多次登錄公安交通管理綜合應(yīng)用平臺(tái)作案���。
產(chǎn)品咨詢:4000 258 365 
