客户个人信息及通讯数据的窃取和倒卖等不法行为一直困扰着运营商行业用户,因其数据量之庞大,蕴含价值之高,这种现象屡禁不止,其中相当一部分安全事件源于数据库的安全防护弱点。我们将运营商用户面临的数据库安全隐患分为三类:
(1)正规访问途径,窃取敏感数据
目前运营商内部人员普遍存在数据库管理账号权限过高的情况,绝大多数账号的权限超出其工作职责所必须的权限范围,可以随时随地登录数据库、轻易获取敏感信息。一旦被他人利用或者账号被他人获取,可能造成批量数据泄露风险。
(2)服务器存储层拷贝数据库文件
运维人员对硬件设备拥有高权限,可以从存储层直接拷贝数据库文件,如果没有有效的运维管控手段,可能导致整库数据泄露。
(3)黑客利用漏洞进行攻击,窃取敏感数据
数据库系统和WEB系统普遍存在代码级以及逻辑设计上的缺陷,即系统漏洞。外部黑客可以利用这些漏洞发起攻击,入侵数据库,达到窃取、篡改数据的目的。
(4)行业监管要求
除了安全隐患,中国电信《CTG-MBOSS 安全规范总册》、《企业内部控制规范----基本规范的内部审计机制》以及《电信网与互联网安全等级保护实施指南》、《移动通信网安全防护要求》等均对数据库安全审计提出了明确要求。
|