案例一 特权用户风险

　　国家“金卫工程”的实施，使医院管理信息化的进程大大加快，很多医院实施了HIS系统，给医院管理带来了许多的便利，但是由此也带来了一些管理上的漏洞。特别是部分医院内部工作人员与医药营销人员内外勾结，私自进行“统方”行为，将医院用药信息泄漏给医药营销人员以此来获取利益，

　　小A和小B的故事正是这样的，他们是大学同学， 毕业后小B被分配到某医院的信息中心负责数据库系统的管理，小A进入了一家医药公司任医药代表。有一次吃饭的时候，小B发现小A心事重重的样子，细问之下原来是销售业绩的压力，虽然小B也是在医院工作，但是他不在业务口，对医院用药情况并不清楚，为了哥们义气,他告诉小A可以登录到数据库将医院各科室用药情况进行查询。小A如获释宝,几个月过去后,在这些情报的指导下,小A有的放矢,销售业绩大涨...

　　案例启示

　　此案例暴露了某些医药销售代表为了达成自己的业绩，不惜走歪门邪道，损坏公众利益。从技术过程来分析,这是典型的DBA违规访问业务数据，对于一个特权用户，除非很特殊的情况，否则是不应该看到实际的业务数据(例如数据表的内容)，这种滥用是很明显的。而要对该行为进行预防性控制是很困难的，但是采用数据库安全审计可以对特权用户进行有效的告警和审计跟踪。

　　案例二 业务人员风险

　　董某、李某、王某是某运营商客户服务中心投诉处理部的员工，由于工作上需要处理客户投诉等问题，董某拥有积分调整的权限。运营商定期都推广积分换礼活动，以奖励长期在网用户和大客户用户，发展新用户。某次工作中，由于有事脱不开身，董某将积分调整的账号/口令告知了王某，后来也未对口令进行更改;一天吃饭的时候，李某说“咱公司换的礼品这么好，啥时候我们也能换就好了”，王某听了小姐妹的言语，突然临机一动，打算利用积分调整权限让自己满足一下愿望。王某私下购买了1个号码，通过积分调整权限，增加了该号码的积分，兑换了3个礼品。顺利的过程让王、李二人心花怒放，她们商量着换取更多的礼物谋取更大的利益。短短10个月的时间过去了，2人在不断往相关手机账户内虚增积分的同时，大量更换礼品价值达几十万元。后来，在运营商内部进行内部审计的时候，才发现了问题，通过手机号和录像圈定了王某…

　　案例启示

　　随着各种准货币的产生，企业内部在管理上尚未上升到货币层面进行监管，造成了部分不法分子利用制度上的漏洞进行牟利，对于一个业务人员，其熟悉整个业务过程，这样就很容易被心怀叵测的员工滥用，一方面要限制滥用，另一方面要授予更多的权限满足业务发展的需求，这往往是一个矛盾。在这种情况下，可以选择对关键表的关键字段值设置阀值触发、对关键表的查询次数的统计等数据库安全审计功能，定期检查正常业务范围外可能出现的滥用操作。

　　案例三 开发人员风险

　　A公司是一家大型国有企业的业务系统开发商，为了适应用户业务系统不断发展的需要，该公司专门派驻了现场开发团队，负责业务系统的维护、定制、技术支持等工作， 并制定了具体的工作流程以保证开发和运行安全。正常情况下，业务系统的更新应在测试环境中经过充分测试，为确保业务顺利上线，在上线过程和上线后保证系统的稳定运行，需要制定周密的割接及回退计划。

　　某天中午，该公司总经理突然接到了客户信息中心主任的电话，要他马上到现场处理问题，总经理一脸茫然的赶到了客户处，现场已经乱作一团，研发项目经理郁闷的告诉老总，手下一个新进工程师，在系统运行过程中升级了程序，出错处理不及时，最终导致数据库死锁，现在整个业务系统正在抢修恢复中…

　　案例启示

　　而随着业务的不断发展，越来越多的IT系统承担了传统业务系统的工作，核心系统的突发故障风险时刻都在威胁着业务系统的安全运行能力，业务的停顿，将会给企业带来严重的损失，该案例中，由于开发人员常常具备特权和较高的技术水平，他们可能由于工作不严谨或误操作对正在运行的系统进行配置或修改，甚至是未经充分测试的程序更新，这些很容易导致业务系统运行不稳定，进而出现崩溃的故障，采用数据库安全审计系统能够对数据库返回的重要错误进行及时的响应告警，帮助用户及时发现问题，规避风险。

　　案例四 IT运维人员风险

　　31岁的程某是名牌大学毕业，经过多年打拼已是X公司资深软件研发工程师，聪明的头脑让他获得领导的赏识，可谓年轻有为，前途无量。程某对工作很是勤奋，工作上电信业务是他的强项，经过长时间业务接触，他对电信公司网络了如指掌。在一次偶然的机会里，程某无意间访问到了充值卡的信息。程某看到这些充值卡后开始动起了歪脑筋。

　　程某告诉朋友赵某，这正是发财的一个机会。他们梦想自己过上优越的生活，坐好车、住好房、数钱……为了让自己的计划顺利实施，赵某、程某做了分工，程某负责盗窃、赵某负责销售。程某偷偷潜入了运营商网络，进入电信充值中心数据库，充值中心数据库有很多过期的充值卡，程某破解出密钥，修改充值卡的时间和金额，把“已充值”状态改为“未充值”。在4个月的作案过程中，程某共计牟利400多万，后来由于在修改过程中出现了未置位时间，被买到充值卡的用户举报到客服中心，经过内部层层追查才发现了程某…

　　案例启示

　　第三方运维是IT管理专业化分工协作的产物，这种工作模式在大中型企业及单位得到了广泛的使用，然而由于人员良莠不齐，难免有害群之马以系统账号的方式进入业务系统数据库对业务数据进行修改以牟取私利。这就要求我们采用安全审计手段，来管理和规范第三方运维人员，定期审查，提升管理水平，降低引入第三方运维带来的风险。