一時間，業(yè)界一片嘩然，發(fā)生泄密的網(wǎng)站均為中國的領軍網(wǎng)站或門戶網(wǎng)站，竟然會發(fā)生如此嚴重的敏感信息泄露事件，其他網(wǎng)站的安全狀況更是不可想象�；ヂ�(lián)網(wǎng)和電子商務業(yè)界普遍存在的安全狀況低下和網(wǎng)站管理者的安全意識淡薄令人震驚。

　　大量密碼泄露，網(wǎng)絡安全岌岌可危

　　此次密碼危機事件中最早發(fā)生泄露的csdn網(wǎng)為中國最大的軟件開發(fā)社區(qū)，但出乎大家意料的是其用戶數(shù)據(jù)庫的密碼全部為明文保存，同時，數(shù)據(jù)庫中還記錄了用戶名和郵箱的信息。根據(jù)調查，大量的用戶使用相同的密碼訪問網(wǎng)絡上的不同服務，這些服務可能不僅僅是論壇和郵箱，更可能是商城甚至網(wǎng)銀。畢竟，隨著互聯(lián)網(wǎng)的發(fā)展，人們使用的互聯(lián)網(wǎng)服務越來越多，如果每個網(wǎng)站的密碼都不同，會帶來很大的記憶難題。但使用相同的密碼就相當于手持萬能鑰匙，這又帶來了嚴重的安全問題，一旦一個網(wǎng)站的密碼失竊，其他網(wǎng)站的服務也都會面臨威脅。有人曾經(jīng)做過實驗，使用一個泄露的密碼，成功的登錄該用戶的郵箱，發(fā)現(xiàn)郵箱中有大量的其他網(wǎng)站注冊信息和個人消費記錄(信用卡賬單、網(wǎng)上購物確認郵件等)，經(jīng)測試，發(fā)現(xiàn)在這些注冊網(wǎng)站中，大部分也使用這個密碼。

　　同時，根據(jù)郵箱地址或其他信息推斷出其qq號碼和社交網(wǎng)絡的賬號，從而進一步獲取了其真實身份信息。甚至有一次曾經(jīng)通過數(shù)據(jù)庫中的最后登錄ip直接登錄到了計算機系統(tǒng)中，并且使用的是管理員賬號，也就是說，可以隨意瀏覽其硬盤上的所有文件并且可以下載到本地。如果網(wǎng)上銀行或者支付寶等涉及個人財產(chǎn)的賬號也使用相同的密碼，那很可能會發(fā)生資金被盜用的嚴重事件。自己的賬號信息還可能被黑客賣給垃圾郵件商，從而使自己今后飽受垃圾郵件之苦，更有不法分子可能利用獲取的賬號到處張貼不良言論，對個人聲譽和社會都造成惡劣的影響。

　　可見，密碼泄露不僅僅會危害到個人隱私，更可能導致個人經(jīng)濟損失甚至危害到社會公共安全，可想而知，如果數(shù)據(jù)庫落入不法分子之手，會造成多大么的社會危害。

　　加強網(wǎng)絡安全建設刻不容緩

　　此次事件的討論焦點集中在csdn網(wǎng)站使用明文保存密碼這件事情上。因多數(shù)人都使用相同的密碼訪問不同的網(wǎng)絡服務，數(shù)據(jù)庫泄露之后，黑客可以輕易的使用數(shù)據(jù)庫文件中的密碼登錄對應賬號的其他網(wǎng)絡服務，這導致了一系列的嚴重安全問題。明文保存密碼確實是一個嚴重的由于安全意識缺乏導致的設計缺陷，但實際上，如果合理的部署一些網(wǎng)絡安全審計產(chǎn)品，即使使用明文密碼，也可以防范此類泄露事件的發(fā)生。

　　網(wǎng)絡安全審計產(chǎn)品是針對業(yè)務環(huán)境下的網(wǎng)絡操作行為進行審計的合規(guī)性管理系統(tǒng)。它通過對網(wǎng)絡行為進行解析、分析、記錄、匯報，以幫助用戶事前規(guī)劃預防、事中實時監(jiān)視、違規(guī)行為響應、事后合規(guī)報告、事故追蹤溯源，加強內外部網(wǎng)絡行為監(jiān)管、促進核心資產(chǎn)(數(shù)據(jù)庫、服務器、網(wǎng)絡設備等)的正常運營。

　　分析此次密碼泄露事件，黑客獲取數(shù)據(jù)無非兩種途徑：入侵系統(tǒng)，非法獲取數(shù)據(jù)庫內容;內部員工備份數(shù)據(jù)庫的時候無意泄露。

　　如果黑客來自網(wǎng)絡外部，入侵系統(tǒng)后，需要訪問數(shù)據(jù)庫系統(tǒng)，通過sql語句查詢并獲取用戶數(shù)據(jù)信息。這個時候，網(wǎng)絡安全審計產(chǎn)品就會發(fā)現(xiàn)有人在對核心數(shù)據(jù)庫進行敏感操作從而進行報警甚至阻斷。以啟明星辰公司的天玥審計系統(tǒng)為例，系統(tǒng)能夠根據(jù)訪問數(shù)據(jù)庫的源程序名、登錄數(shù)據(jù)庫的賬號、數(shù)據(jù)庫命令、數(shù)據(jù)庫名、數(shù)據(jù)庫表名、數(shù)據(jù)庫字段名、數(shù)據(jù)庫字段值、數(shù)據(jù)庫返回碼等作為條件，對用戶關心的違規(guī)行為進行響應，特別是針對重要表、重要字段的各種操作，能夠通過簡單的規(guī)則定義，實現(xiàn)精確審計。不管黑客是直接連接的數(shù)據(jù)庫，還是使用第三方程序通過jdbc或者odbc方式連接數(shù)據(jù)庫，天玥審計系統(tǒng)都可以發(fā)現(xiàn)對核心數(shù)據(jù)庫的敏感操作并報警。舉例來說，從此次泄露的數(shù)據(jù)量來看，黑客很可能是對數(shù)據(jù)庫執(zhí)行了類似“select user,passwd,email from 用戶表”的方式獲取了用戶數(shù)據(jù)，天玥審計系統(tǒng)可以隨時監(jiān)控對核心用戶表的所有select操作并報警，并且還可以根據(jù)需要配合使用select返回結果集數(shù)量的策略發(fā)現(xiàn)或阻斷黑客分多次分段下載用戶數(shù)據(jù)的行為。同時，由于審計過程對黑客是隱形的，所以如果部署了天玥審計系統(tǒng)，很可能黑客還在得意洋洋的分段下載用戶數(shù)據(jù)的時候，警察已經(jīng)在敲自己家的門了(分段下載600萬數(shù)據(jù)是個耗時的工作，從天玥審計到的ip地址進行回溯追查便可獲取用戶的真實地址)

　　根據(jù)csdn的官方聲明推測，黑客還可能是通過終端直接下載了以文件方式保存的備份的數(shù)據(jù)庫文件。天玥審計系統(tǒng)的運維審計功能提供了常見的終端如telnet、ssh、windows遠程桌面的審計能力，還提供ftp、sftp、scp等文件傳輸協(xié)議的審計能力。黑客通過此種方式接觸數(shù)據(jù)庫文件的時候，天玥審計系統(tǒng)不但可以及時報警，甚至可以立刻阻斷黑客的行為，讓黑客無法得逞，保障了核心數(shù)據(jù)的安全。

　　除了這兩種情況，也不排除是企業(yè)內部員工違規(guī)操作導致泄露的可能性。有權限的員工很可能出于個人的興趣等原因，非法備份核心用戶數(shù)據(jù)并最終導致了泄露。天玥審計系統(tǒng)提供完善的用戶認證功能，可以實現(xiàn)自然人和數(shù)據(jù)庫賬號的綁定，實現(xiàn)只有授權的用戶才可以對核心數(shù)據(jù)庫進行操作，并對操作過程全程審計，同時提供事后回放和取證功能，為事后追查提供了電子證據(jù)和手段。

　　可以看出，天玥覆蓋了所有黑客可能訪問數(shù)據(jù)庫的途徑，不管用什么方式竊取數(shù)據(jù)庫資料，都可以被天玥審計系統(tǒng)發(fā)現(xiàn)并報警，讓黑客的行為無處遁形。

        csdn創(chuàng)始人蔣濤在新浪微博上稱，“非常慘痛的安全教訓，向所有用戶深深致歉”。從csdn官方的公告來看，截止本文發(fā)稿，csdn也一直沒有查出來數(shù)據(jù)庫到底是通過什么途徑泄露的。這都是由于csdn內部缺少網(wǎng)絡安全審計系統(tǒng)造成的，如果部署了審計系統(tǒng)，黑客或者企業(yè)內部員工對核心數(shù)據(jù)庫的所有敏感操作都會被記錄和審計，管理員可以通過審計系統(tǒng)的會話回放和事后取證功能，重現(xiàn)事發(fā)現(xiàn)場，提取關鍵證據(jù)，通過天玥的深層監(jiān)測能力實現(xiàn)精確溯源，追查導致安全問題的賬號和相關人員，最終為企業(yè)避免經(jīng)濟損失和社會聲譽損失。(彭昱瑋)

   啟明星辰信息技術有限公司簡介