【连载】2016年中国网络空间安全年报（九）

2016年中国网络空间安全年报

2016年数据泄露愈演愈烈，全球相继曝光了大量的数据泄露事件，数据泄露事件频率呈现爆发式增长，而曝光的数据泄露事件仅是冰山一角，黑产交易中各种信息系统的后台数据库被频繁交易。纵观全球这些数据泄露事件，主要原因是数据极具价值，且数据安全防护或信息安全管理存在不足，这些数据泄露的曝光严重影响企业的声誉、品牌、经营及公司正常的发展，同时大量数据泄露事件也严重影响着用户对自身隐私数据安全的担忧，也间接影响着用户在互联网上提交真实个人隐私数据的信心，数据安全防护已经是信息化发展绕不过的问题，数据的安全已经严重制约着信息化的发展，影响着数据的高速流动。

6.1. 2016年出现大量数据泄露事件造成恶劣影响

数据泄露事件由于非常影响公司的品牌、经营，甚至造成用户的恐慌，很多数据泄露事件都是相关企业单位以遮掩的方式低调处理，并不为公众所知。以下事件是2016年全球爆发的数据泄露事件摘录的部分案例，由于内部人员导致的大量数据泄露事件一般都被内部处理掉，并未公开。

国外数据泄露典型事件如下：

• 中国高等教育学生信息网遭到黑客攻击大量数据被泄露
• 菲律宾5500万选民个人信息遭泄露
• 未受保护的数据库导致9340万墨西哥选民信息泄露
• 匿名者黑客泄露1TB肯尼亚外交部数据
• 阿联酋投资银行10GB数据泄露 包含信用卡信息和护照数据
• 1.17亿LinkedIn(领英)用户数据在暗网出售
• 南非银行数据泄露 导致日本1400台ATM遭盗提14.4亿日元
• 4.27亿条MySpace数据泄露 以6比特币价格出售
• 美国路易斯安那州290万选民个人信息遭泄露
• 数据泄露：黑客窃取MBS公司5800万条用户记录
• GitHub 800万用户信息遭泄露 ………………

国内部分数据泄露事件：

• 中国高等教育学生信息网遭到黑客攻击大量数据被泄露
• 山东济南20 万儿童信息被打包出售
• 多省市车管所数千万数据在黑产交易圈交易
• 某商业保险广东分公司10万份保单数据泄露
• 某商业银行257万个人征信、账户明细余额数据泄露
• 山东教育厅数据泄露致徐玉玉诈骗致死
• 雅虎10亿个人用户数据泄露
• 某网络贷款平台10G裸条数据泄露
• 某电商平台10G个人账号及隐私数据泄露
• 南都记者调查700元买个人全套隐私据
• 国内众多三甲医院统方数据定期外泄

………………

以上事件源自E安全整理搜集。

6.2. 数据泄露过程隐蔽且攻击复杂度提升影响

通过对2016年全球大量的数据泄露事件分析发现，数据泄露过程具有隐蔽性、复杂性、高级性三个特点，大部分黑客为了防止在窃取数据的过程中被监测到，漏洞探测过程和数据导出往往分阶段进行，往往其间隔的周期较长，而且数据在出口层经过多层伪装处理，通过传统出口层网关很难发现，相比之前的攻击过程复杂度及攻击难度提升不少，遇到防护级别高的可能会通过各种钓鱼、APT一起协同攻击，同时也极大地增加了监测防护的困难程度。

6.3. 数据泄露的六条典型途径

深入分析大量的数据泄露事件我们会发现，数据泄露覆盖了数据流通的各个环节，数据流通的环节都存在泄露的可能，综合分析无外乎这么几个环节：

应用程序访问接口、应用程序的API接口、业务系统维护的各种人员、维护过程、数据共享给的第三方组织是最为可能的几个环节，具体泄露途径我们分析主要有以下几类：

1. 从互联网入口通过漏洞导致的数据泄露

2. 应用程序各种API接口导致的数据泄露

3. 业务后台管理系统的使用人员导致的数据泄露

4. 后台的系统管理员、网络管理员、DBA、开发测试人员、第三方单位的驻场维护人员、信息化管理人员导致的数据泄露

5. 备份文件或者冗余服务器导致的数据泄露

6.共享给政府监管单位、合作伙伴导致的数据泄露

而其中的第1、3、4四类是数据泄露的重灾区，90%的数据泄露都是通过这三个途径泄露出去，而第一类主要是黑客攻击的主要途径，第3、4类主要是内鬼泄露的主要途径。第5、6类一般属于次生间接数据泄露，不是直接数据泄露源，但是也属于数据泄露的一种途径，尤其以第6类第三方监管单位和合作伙伴导致的数据泄露由于已经脱离数据安全防护域，因此只能靠一些约束条款限制数据的使用及分发保护数据不被泄露。

6.4. 数据泄露的三类典型人员

通过以上大量数据泄露的途径分析，并以人员角度分析数据泄露事件，我们可以发现数据泄露基本上是由黑客和内鬼共同导致，据有关调查统计，数据泄露途径大致比例如下：

图 6‑1 数据泄露攻击方式分析

内鬼导致的数据泄露占比高达55%,而外部黑客窃取数据仅占到40%，第三方共享数据占到5%。

黑客主要是从外部发起攻击，通过利用web业务系统漏洞、数据库服务器漏洞、终端系统的漏洞成功渗透到内网，最终窃取数据。而内鬼往往是利用合法的工作权限，如网络权限、系统运维权限、数据库运维权限、业务系统维护权限、开发测试权限等顺带窃取数据。第三方共享数据主要是数据共享给监管单位、合作伙伴,由于第三方数据管理防护不严导致的数据泄露等导致的数据仅占到5%，目前这三类是数据泄露主要途径。以下着重从黑客和内鬼两个方面着重分析数据泄露的途径及方法。

6.4.1. 黑客途径数据泄露分析

经过对大量黑客导致的数据泄露事件的分析发现，黑客窃取核心敏感数据主要通过外部业务系统的互联网出口，利用web系统漏洞、公共基础组件漏洞、数据库漏洞、管理人员终端系统漏洞集中方式进行入侵，而其中又以web系统漏洞和数据库漏洞为主要数据泄露的入侵方式，各种攻击方式导致的数据泄露如下图统计所示：

图 6‑2 黑客入侵方式

Web系统漏洞目前还是通过常见的SQL注入漏洞、跨站漏洞、上传漏洞获得web服务器权限间接获取数据库服务器的权限，最终窃取数据。

数据库漏洞主要是通过互联网出口某些跳板机渗透到内网通过扫描探测发现数据库服务器，然后通过常见的CVE漏洞、存储过程注入漏洞、java提权过程漏洞、协议栈溢出、弱口令间接获取数据库权限。

基础公共组件漏洞主要是通过web服务器基础组件、通信协议等的0day、Nday漏洞实现攻击获取web服务器权限最终窃取数据。

管理人员终端电脑主要是通过木马、病毒等的一些钓鱼攻击，获取终端管理人员电脑上的一些敏感数据文件或者数据库访问权限间接窃取数据。

6.4.2. 内鬼途径数据泄露分析

内鬼往往是信息系统的相关维护人员，具有业务系统和数据库的合法访问权限，访问操作往往不具有攻击特征，利用日常的维护作为伪装,日复一日地泄露数据。常见的安全防护设备、审计设备的白名单，内鬼泄露数据具有难监控、不易察觉等特点，往往是因为有外部媒体的报道和相关人员的举报才能被发现，从内鬼泄露数据细分，分别有信息化直接负责人、业务系统后台管理使用人员、系统运维人员、网络管理人员、数据库管理人员、第三方厂商开发测试人员、第三方厂商维护人员、合法的安全渗透人员、内部普通人员，尤其以第三方厂商开发测试、维护人员泄露数据占比最大，占到53%，各种“内鬼”泄露数据占比具体如下图所示：

图 6‑3 数据泄露攻击方式分析

第三方开发测试、维护人员之所以成为数据泄露的重灾区主要有三个方面原因：数据极具交易价值具有非常大的诱惑、非常熟悉后台数据的获取通道、很难受用户方监控，这些人员默认都是可信人员，也属于数据泄露防护应重点防范的对象。

用户方的业务系统管理使用人员、系统运维人员、网络管理人员、数据库管理人员泄露数据占比也高达35%，这些人员泄露数据往往是因为被高额利益诱惑而间接成为不法分子的傀儡，定期泄露数据，也属于数据泄露防护应重点防护的对象。

信息化管理人员泄露数据占比仅3%，往往是商业竞争对手和合作伙伴高额利益诱惑，利用内部的DBA、业务系统管理人员获取对应的数据从而进行泄露。

最后一个对象是安全渗透人员，由于安全渗透服务市场人员水平参差不齐，部分渗透人员在渗透过程中通过内网窃取数据进行泄露。

6.5. 数据泄露应对技术

数据泄露是信息安全防护的最终目的，大部分信息安全产品都是间接地通过提高网络攻击的门槛来保护数据的安全。经过上述的分析，数据泄露不仅仅是有黑客在攻击泄露，更有甚者是内部的合法人员在进行利益交换而进行数据泄露，因此数据安全整体防护设计不仅要外防黑客，更要杜绝“内鬼”泄露数据，从技术上、管理上分别加强数据安全的保护，杜绝防护的短板。

6.5.1. 数据泄露防护原则

数据安全建设是个系统工程，任何一处防护的短板都制约着整个业务系统的数据安全，在互联网数据共享的时代，数据安全防护不能仅仅只通过采购安全设备或者只加强管理制度来解决，从整体防护思路角度来看，数据安全防护更应该遵循以下几点原则：

• 技术与管理相平衡原则：数据安全防护技术并不是万能的，不能过于迷信技术能解决一切安全问题，再好的安全设备也必须有良好的制度作为支撑，在整体安全防护层面一定要把握好技术与管理的平衡，技术的短板一定要通过加强管理制度，管理的短板要尽可能通过技术去制约或者监督，通过技术管理相平衡的原则，实现最有效的数据防护体系，保证数据的安全，达到信息系统的安全。
• 整体规划原则：要具有全局规划意识，从数据流向、应用系统涉及的人员、数据的安全边界整体考虑各个环节可能存在的风险，要从全局的基础组件、数据的存储、数据的传输、数据的加工、处理各个环节进行有效的防护处理。
• 木桶原则：避免数据安全防护建设存在短板，任何一个环节防护的加强都不能刻意弱化其他环节，安全最为薄弱的环节的安全级别将是整个系统的安全级别。
• 分块防护原则：信息系统是由很多组件组成，安全防护从每个组成部分出发，确定安全防护的每个组成部分，确定整体安全的防护纵深，严格从信息系统组成的每个模块严格防护。
• 控边界与控人相结合原则：数据安全边界与人是信息安全防护的两大基本防护思路，建立有效的数据安全边界对数据的安全起着至关重要的作用，对人进行有效的管控避免非授权和合法的数据泄露。
• 整体安全监控原则：监控是安全防护的一个重要方面，整体监控应该web业务系统、数据库、安全防护设备三个方面进行监控，对应用系统的异常日志、访问日志、系统的流量、并发会话进行全局监控，对整个信息系统的可用性、完整性、机密性方面进行监测。

6.5.2. 数据泄露防护方案设计

经过以上数据泄露事件的综合分析，严格的防护体系和防护纵深必须从基础的数据存储、数据传输、业务及数据库的事前风险评估、事中防护、事后审计进行整个生命周期的安全防护，整体思路上结合数据的安全边界、人员管控、数据流的思路综合进行管控。

• 数据的加密：避免数据存储和传输环节的的机密性破坏；
• 应用层的防护应该事前做到风险评估，评估整体及各个组件的脆弱性，
• 事中对数据的访问做到实时访问控制和安全监测，对内部维护人员操作进行审批监控相结合，避免直接的数据库操作，降低数据库的风险，
• 事后通过安全审计做到事后可追溯可取证，起到威慑作用，并通过web访问、数据库访问日志的大数据异常分析及时发现数据库层面的异常访问日志，同web防火墙、数据库防火墙及时联动，对攻击日志实时阻断。

图 6‑4 数据安全总体态势感知可视化

整个防护方案应重点识别黑客的数据泄露行为，其次是对合法人员访问行为有重点的访问控制和审计，对合法人员获取到的数据必须有一定的边界控制，最后对整个防护链的所有日志进行大数据监控，进行实时分析、监控，便于信息安全管理人员及时发现各种数据泄露风险。

图 6‑5 数据库态势可视化

未完待续