爱与恨，罪与罚，浅谈互联网金融的安全隐患

那些年，我尝过的互联网的鲜

我是一个数据库安全从业者，尽管每天会听到、看到、处理该领域相关的安全事件，但基于侥幸心理，从概率角度来推断，从未想过，从未发生过，这种事情真的会落到自己的头上。尽管我每天有数通电话是来自各种银行担保、投资理财、外汇交易，但这些，都没有能够足够触动到我那根敏感的神经，直到一个与往常一样的下午，这件事的发生……

我同时是一个互联网模式的拥趸，各种与此相关的新鲜事务，最新应用，我都会勇于去尝试，期间不吝惜提供个人相关信息，这些信息包括，姓名、电话、邮箱，甚至与此关联的身份证号码(用过手机银行的都知道，不提供是无法享受其服务的)，谁知道呢?即使我不说，聚集了一些字段后，按照现在大数据身份识别分析技术，恐怕早已经能够智能解决“我是谁“这个哲学领域的复杂问题，而在现实身份认证中，关于“我是谁”早已迎刃而解。

手机银行一出，我被深深吸引。直接手机下载App，我对这种方式，赞不绝口，屡试不爽，工资第一时间查看，理财线上操作，转账分分钟的事情，不用排大队，不用看四大行姑娘们养尊处优的脸色。紧接着，互联网金融来了，别忘了，我是个互联网的拥趸，自然不会错过尝鲜的机会，于是宜人贷、盈盈理财等各路APP被我尝试了个遍。这些信息，都是需要身份证信息的，我统统贡献出来，相信金融行业各家银行保险机构的安全性。直到有一天，一连串的来电询问，我整个人都毛了。

自作孽，不可活，终于摊上事儿了

就在近期，7月的一个下午，准确时间16点10分，我收到一封邮件，以我个人名义的注册的一个外汇金融交易账号注册成功，且姓名、电话、邮箱地址完全吻合。本故事毫无虚构，完全真实，有图有真相。接下来，在每一个时间点，奇妙的事情均在发生，而我的小心脏，也逐步加速跳动。

接着，第二封邮件来袭，这次是获取到金融账户登陆名密码信息。

紧接着4分钟后，接到金融外汇公司的客服来电，但前两次均因不明电话而未接听。

2分钟过后，邮件继续追剿，金融外汇机构请求我与其联系。

当日下午18点31分，因为对方多次来电，我便接听了电话。客服询问我是否为我本人，手机号是本人么，是不是在今天的几点几分用什么邮箱账号进行过怎样的操作。这通电话中的一系列问题完成后，吓了自己一身冷汗。对方的专业，直觉告诉我她不是个骗子，而且经我的核实确认后，发现不是本人操作，直接消除了此账号，未能有更进一步实际操作。这个询问过程结束了，我的联想并未结束，关联此前在银行留下的诸多信息，开通过的诸多互联网账号，哪一个都绑着我的钱袋子，怎能不担忧?

整个事件，我的个人信息暴露无遗，在我毫不知情的情况下，被动完成了外汇交易平台注册全过程，如果没有人工核实校验环节，以我名义被注册的账号，将开展系列交易动作，很可能还会和我现有的银行账户挂钩，那么这个平台下所产生的交易盈亏，均将和我的账户做对应。或者我马虎一些，直接对该账户进行存款操作，对方直接可获渔翁之利。

站在数据库安全行业的肩头眺望

上文提到了，我是一个数据库安全从业者，我们每天会面对银行、保险、基金、互联网金融各类企业用户，在金融领域整体信息化建设的过程中，信息安全建设紧随其后，但是黑客的能力也是在不断进步的，而且系统越复杂，自身的漏洞也会越多，漏洞越多伴随着的是黑客的攻击手段也会越来越多。传统的安全防护思维已经无法适应现在安全态势的发展，原有部署的防病毒、网关类基础安全产品，已经不足以抵御愈变愈复杂的攻击行为。这就好比我们把财富放在家里，就觉得相对安全了，然后你把家里的防盗门装好，便认为家里的东西本身就不需要再做什么安全措施了。这就好比数据库都是放到企业内部或者内网当中，在外围加上防火墙，再加一些控制就变得很安全了。实际上这个是远远不足够的，就拿银行的内部系统来看，第一个就是内部很多第三方开发人员，他们可以直接访问数据库，有一些好一点，弄一个测试库，但是测试库又与真实数据库中的数据相同，实际上在这种情况下数据库中的数据是可以直接被开发人员拿走的;第二种情况就是运维人员，银行内部大多也没有足够的运维人员，运维也是外包服务，这就造成外部的运维人员可以直接接触到系统的生产库，所以这些外部的运维人员是可以直接把数据库中的数据拿走的。另外还有一些更可笑的，有一年，香港花旗银行做装修，装修过程中由于安全防护没做好，数据库服务器丢了。数据库服务器丢失以后，实际上后端的那些数据存储是完全有手段还原成明文的。那个时候数据自身的一些防护措施已经不起作用了，花旗银行的所有客户资料都泄露了。

新兴的互联网金融业，多金，多用户，更是在忙着业务，忙着系统如何快速支撑和运转，对安全问题的重视程度并不是第一位考虑的因素，但站在个人用户的角度，风险低、安全才是第一前提，然后才是如何在安全基础上财务增值。从数据存储的介质来看，核心数据最终都会落到数据库里，如果数据库被颠覆了，一切归零，对于互联网金融企业来讲，损失不可预估。因此说，安全是一个水桶原理，往往是从最短板的地方流出，那么现在发生的信息泄露事件90%以上都和数据库有关，数据库安全这块最短的木桶短板，在互联网金融这个新兴领域仍不可忽视。

数据库安全这个领域，因为新，因为尚未形成网络安全同等的市场规模，业内基本的认知还停留在数据库安全审计与防护，目前市面上被认知较多、用户接受度较高较多的也是数据库审计产品，该类事后追踪审计产品确实在金融行业应用较多，但从安全防护的过程来看，数据库安全同样包含事前的数据库安全体检、事中的数据库安全访问控制防御、库内数据的加密和事后的行为监测与审计。而事后的追溯反映，快也要3到6个月，企业才会知道，而散落在外面的数据，在这个时间里，不知道已经被传阅和贩卖了多少次了。因此，事前的防御和事中的过程控制不可或缺。通常数据库防火墙和数据路加密产品，可以解决此类问题。

现在访问数据的途径变多了，那么在系统中留下的后门和窃取数据的途径也变多了，用户数据的价值增大了，所以现在数据泄露事件频发也是一个必然的现象，数据库安全也在逐渐被企业提高维护意识。企业的安全意识在提高，涉及到个人的隐私信息，更是需要严格保密。真正让用户在享受互联网金融便捷服务的同时，感到安心。