一、数据库安全背景
2020年以来,全球经济传统经济增长放缓,数字经济成为了经济增长的切入点与发动机,国家也将发展数字经济提升到战略高度。相较于传统产业,数字经济的发展更依赖数据,因此数据安全成为了一项重要议题。2021年9月1日起,《中华人民共和国数据安全法》正式实施生效,是我国第一部有关数据安全的专门法律。《数据安全法》是针对我国数字经济发展现状与未来出台的一部数据领域的基础法律,明确定义了“数据”等相关概念,确立了数据分级分类管理的原则,风险评估、检测预警与应急处置等各项基本制度,对开展数据处理活动时应履行的各项义务做出了规范。数据库是组织、存储和管理数据的计算机基础软件,保护数据库安全是数据安全最为重要的一环。《数据安全法》的实施在法律层面为数据库安全提供了保障,也对保护数据库安全提出了更高规格的要求,同时明确了在数据处理过程中组织、个人应尽的义务与责任。
图1:《数据安全法》总结构
现在越来越多开发者、数据库管理员、企业领导者意识到,确保数据库的安全应该是他们最重要的目标之一。一方面,数据库中存储的数据对企业在市场中保持竞争优势至关重要,一旦发生数据泄露将造成难以挽回的损失;另一方面,当今黑客们正在构建更隐蔽更复杂的工具,发展地下市场,目的是窃取数据以谋取非法利益,而存储着大量数据的数据库通常是黑客们的“最佳”入侵对象。近年来,已有多起数据泄露事件发生,这些事件的起因或是运维疏忽导致的风险,或为数据库存在漏洞,但都给企业的经营、声誉、信用造成巨大打击。2019年2月12日,美国邮件服务商VFEmail受到黑客攻击,公司积累了二十多年的数据和备份全部被删除;2019年1月22日,美国一家网上赌场集团泄露了超过1.08亿笔投注信息,泄露源头在于Elasticsearch服务器没有密码保护,不需要身份验证,从而被黑客入侵。这些事件警示我们,数据始终处于泄露的风险之中,只有时刻注意、重视数据库安全,采取多种措施保护数据库,才能防患于未然,杜绝数据泄露。据不完全统计,2022年中国共发生14起重大数据安全事件,具体事件及详情见下表。
时间 | 2022年国内重大数据安全事件简介 |
4月初 | 大亚圣象邮箱系统遭黑客入侵,肇事者入侵该公司租用的微软公司邮箱系统,伪造假电子邮件冒充该公司管理层成员,伪造供应商文件及邮件路径,实施诈骗,涉案金额约356.9万美元(约人民币2275.49万元)。 |
4月 | 国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。上海某信息科技公司销售总监王某等人在利益驱动下,非法收集、向境外公司提供涉及铁路GSM-R敏感信号等高铁数据。 |
6月21日 | 媒体报道大学生学习软件“超星学习通”的数据库信息被公开售卖,超1.7亿条信息疑遭泄露。当日下午,学习通回应经十余个小时排查,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,已经向公安机关报案,公安机关已经介入调查。 |
7月 | 国家互联网信息办公室依法对滴滴全球股份有限公司开出人民币80.26亿元的巨额罚款。经查实,滴滴公司共存在16项违法事实,包括违法收集用户手机相册中的截图信息1196.39万条、过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条等。此外,滴滴公司被发现存在严重影响国家安全的数据处理活动,给国家关键信息基础设施和数据安全带来严重风险隐患。 |
8月 | 上海随申码数据库或泄露,4850万用户的数据,包括用户姓名、手机号码、身份证号、随申码的颜色、UUID(通用唯一识别码),在暗网以4000美元价格拍卖。 |
8月底 | 据北京市朝阳区人民检察院裁定,2020年至2021年,刘某、姜某某、吴某某在多家国内医院内,多次通过技术手段秘密接入医院内网数据库,获取大量药品编码、数量、金额、单位等药品数据后出售,违法所得人民币200余万元。 |
9月 | 国内一“黑客”利用木马病毒非法控制逾2000台计算机,入侵40多家国内金融机构的内网交易数据库,非法获取交易指令和多条内幕信息,进行相关股票交易牟利,非法所得人民币183.57万元。 |
9月 | 据官方通报,西工大邮件系统遭境外组织入侵,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据,系美国国家安全局所为。美国安局其下属的特定入侵行动办公室(TAO)在4月之前,已经对中国国内网络目标实施了上万次攻击,控制了数以万计的网络设备,并成功窃取超过140GB的高价值数据。 |
10月初 | 据香港媒体报道,香格里拉酒店集团的网络系统受到黑客攻击,其中3家位于中国香港,造成香港酒店29万个人资料泄露。香港安全专家表示:通过技术分析,黑客可能通过传送电邮,在超链接中加入“钓鱼程式”,窃取酒店系统内的资料。 |
10月 | 经国内网警侦破,麻某利用自身黑客技术,在2022年4月侵入国内某医疗机构微信公众号系统窃取数据,半年多时间非法获取该计算机系统数据10万余条,而后在境外黑客论坛兜售,非法获利1500美元。 |
11月初 | 据台媒报道,台湾地区政府系统遭黑客入侵,黑客在国外论坛公开出售2300万中国台湾民众数据,打包价5000万美元。 |
12月11日 | 蔚来汽车确认,因服务器配置错误导致百万条用户信息泄露,并遭受225万美元等额比特币的勒索。声明显示,遭窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。 |
二、数据库安全技术
在数据库发展过程中,一系列工具、控制和措施被设计完善用以保护数据库的机密性、完整性和可用性,及其安全性。中国信通院关系型数据库安全专项评测设置了五大项安全基础能力,包括用户标识与身份鉴别、访问控制、数据存储安全、数据通信安全和安全审计,共计29个测试项,为各行业组织评估关系型数据库产品的安全能力提供参考。
图2:关系型数据库安全能力标准框-信通院
此外,随着国家对数据监管要求的提高和企业安全意识的不断增强,数据库安全技术在逐步完善的同时也推出了更高的要求。
- 用户标识与身份鉴别:身份鉴别是数据库安全的基础,通过验证用户身份判断其能否连接至数据库。数据库应支持口令验证、操作系统验证等多种鉴别方式,并提供完备的口令管理体系。
- 访问控制:数据库访问控制要求用户在对数据库进行操作前必须先得到对应授权,是保护数据的前沿屏障。常见的访问控制模型有自主访问控制、强制访问控制等。
- 数据存储安全:攻击者可能绕过数据库应用,直接窃取存储在硬盘中的数据,因此保护数据存储安全是重中之重,其中数据加密(包括数据文件、备份、日志等)是保护数据安全的最佳实践。
- 数据通信安全:保护数据的通信安全要求数据在传输过程中加密,能够发现传输数据是否被篡改。
- 安全审计:数据库安全审计确保管理者能够监控用户对数据库的操作,并快速检测数据库中的漏洞。
以星环科技分布式交易数据库KunDB为例,为应对各方面安全性挑战,KunDB构建了完备的安全体系,并通过了信通院关系型数据库安全专项评测。通过口令管理、多种身份认证方式保障数据库认证安全,并提供了DAC、MAC的访问控制模型,使权限控制更为灵活;此外,为防止黑客窃取明文数据,KunDB提供了全面的数据加密功能,包括数据文件存储加密、通信加密、备份加密、日志加密等;而KunDBA平台提供了数据审计功能,协助管理者精准定位操作,管理数据库中可能存在的漏洞。
