股民信息频遭泄漏 数据库审计助证券
廉价的股民隐私信息
近来,通过互联网上的常用搜索引擎,输入关键字”股民信息”,可以轻松的在首页中查看到这样的信息:

不难看出,网上出售股民信息的广告非常多,而且只要花不到两毛钱,就可得到股民的姓名、电话等相关资料。近期,多方媒体对网络上此种公开叫卖股民资料的事件进行了追踪调查及报道,这其中虽然有一些属于欺诈信息,交易中买家把钱汇出后得不到资料,或以车主资料等其他信息冒充股民资料。但多数暗访得到的信息,还是属实的,这怎么能叫人不担忧?这不仅会对个人造成滋扰、给行骗者创造条件,如果资料中真有股民所持的股票信息,并被他人用来操纵股票交易,还会对社会带来极大危害。

来源在哪里?
这些卖家是从哪里得到这些股民的个人信息的呢?根据部分调查显示,来源主要有以下几方面:
券商、投资公司的客服电话记录。此类资料涵盖信息较低,多数只有电话号码。这些资料的源头在电信部门的数据库中,可能接触到这部分信息的人群主要是电信部门人员,券商、投资公司管理通讯方面的人员。
股票相关的网站、电视媒体、培训机构的会员资料。这些资料的源头在网站或机构的数据库中,此类资料包含个人信息较多,包括姓名、联系方式等。可能接触到这部分信息的人群主要为网站的管理者。
证券公司、投资公司、各类代理机构的客户资料。这些资料的源头在证券公司、投资公司等的数据库中,此类资料包含的股民信息最多,不仅包括股民的姓名、联系方式,还可能包括其资金量、开户信息、买卖信息等。可能接触到这部分信息的人群主要为证券公司、投资公司等的内部人员。
虽然有可能是黑客或外部人员,以入侵窃取等非法手段获取到信息,但这种情况的比率相对较小,尤其是对于券商公司及其相关机构,对网络的要求近乎苛刻:首先应满足安全性要求,并承载较大的业务负荷,同时又必须面对不可预知的业务高峰压力。因此,此类信息多是从内部泄露出来。
加强内控很关键
国家近年来对于金融机构的内部控制尤为重视,陆续推出了《证券投资基金销售业务信息管理平台管理规定》、《证券投资基金销售机构内部控制指导意见》等行业内控规范,证监会等五部委联合发布的《企业内部控制基本规范》也有明确的要求,但此类信息泄露的事件依然在不断的发生,说明虽然具备了法规指引,但实行的仍不是十分彻底。因此,我们是否应该考虑借助一些,先进的网络技术手段,来加强内部控制呢?
由上面的分析可见,这些资料信息的源头都是在数据库中,鉴于此特点,我们推荐采用数据库审计类产品对数据库进行保护。
以网御神州的网神SecFox-NBA(业务审计型)为例,它能够对各种数据库及与数据相关联的主机系统、应用系统进行全方位的数据库审计,保障客户业务信息系统网络中数据安全和操作合规,具体包括:
1)数据访问审计:记录所有对保护数据的访问信息,包括主机访问,文件操作,数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为,防止外部黑客入侵访问和内部人员非法获取敏感信息。
2)数据变更审计:审计和查询所有被保护数据的变更记录,包括核心业务数据库表结构、关键数据文件的修改操作,等等,防止外部和内部人员非法篡改重要的业务数据。
3)用户操作审计:统计和查询所有用户的主机、数据库和应用系统的登录成功记录和登录失败尝试记录,记录所有用户的访问操作和用户配置信息及其权限变更情况,可以用于事故和故障的追踪和诊断。
4)违规访问行为审计:记录和发现用户违规访问。系统可以设定用户黑白名单,以及定义复杂的合规规则(例如定义合法的访问时间段、合法的源IP地址库、合法的用户账号库),可以设置合理的审计策略进行告警和阻断。
5)恶意攻击审计:记录和发现利用主机,数据库的漏洞对资源的攻击行为,例如主机扫描、DoS/DDoS攻击、ARP欺骗和攻击等,并可以对攻击行为进行告警和阻断。
网神SecFox-NBA(业务审计型)产品能够对多种操作系统平台(Windows、Linux、HP-UX、Solaris、AIX)下各个版本的SQL Server、Oracle、DB2、Sybase、MySQL 等数据库进行审计。审计的行为包括DDL、DML、DCL,以及其它操作等行为;审计的内容可以细化到库、表、记录、用户、存储过程、函数、调用参数,等等。

网神SecFox-NBA(业务审计型)能够对各种访问数据库的途径进行监控和审计。
网神SecFox-NBA(业务审计型)具有灵活便捷的旁路的部署方式,不会对原有的系统造成任何影响。它对业务网络中的数据包进行应用层协议分析和审计,就像真实世界的摄像机。借助网御神州独有的基于会话的行为分析技术,审计员可以对当前网络中所有访问者进行基于时间的审查,了解每个访问者任意一段时间内先后进行了什么操作,并支持访问过程回放,尤其能够实现对访问数据库行为的记录和回放。SecFox-NBA(业务审计型)真正实现了对“谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何”的全程审计。
SecFox-NBA(业务审计型)在识别出安全事故后,可以通过电子邮件、SNMP Trap等方式对外发出通告;能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。也可直接或通过与网络设备或安全设备共同协作来实时阻断可疑的网络通讯,关闭威胁通信,以阻止正在进行的攻击。这样通过多种方式形成安全审计的闭环。
总结
信息泄露的事件天天都在发生,所有存在数据的地方,只要数据是有价值的,就存在风险,就有人会去想法子窃取、篡改、贩卖,从中牟利。尤其是一些涉及到公民因私的信息泄漏甚至是涉及到国家机密的信息泄漏,不单单是违反行业内控规定这么简单,而是可能触犯国家的法律。
新颁布的刑罚第七修正案明确指出“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”
据《中国青年报》报道, 6月27日,《保守国家秘密法(修订草案)》向社会公开征集意见,增加了针对涉密信息系统的保密措施,加强对涉密机关、单位和涉密人员的保密管理等5方面的内容。对于涉密单位而言,信息泄漏的危害更大,而责罚也将更重。
通过SecFox-NBA(业务审计型)可以较好地从网络安全审计的技术角度加强对数据库的安全保护,保障数据安全。