这年头，真是靠什么都能发家致富。。。。。。

　　我一直有个买彩票的爱好，不为以此谋生，只为能享受那激动人心的时刻：）

　　但这两天我没有去买彩票，因为深圳福彩有3300万巨奖被发现是某黑客给自己发的奖，虽然最后破案了，彩民利益并没有受到损害，但是这打击了我买彩票的积极性。空下来的时候，我开始根据已公开的信息和我的一点点专业知识，演绎黑客是如何差点得逞的。当然，我不是要学习他的作案手段，那是犯法的。我只是希望下次我买彩票的时候能确定我的奖金不会被黑客分走。

　　其实真正的黑客会反对把这名罪犯称为黑客，因为这名罪犯并不是从网络上攻破多道防火墙、破译层层加密的口令而进入彩票系统的。事实上，这名罪犯平时很容易就能进入到彩票系统，因为他是深圳福彩中心的技术合作公司的一名员工。所以他的“技术含量”就比黑客低了很多。

　　当然，虽然技术含量低，但是他的智商还是比较高的。他先设置了一个陷阱，导致正常的工作程序由于出错被改变。

　　原有的工作程序考虑到了在摇奖结果公布以后，可能会有人篡改彩票下注的情况，所以在摇奖之前，会将销售数据封存。首先是从销售数据库中导出该轮的彩票数据，分别保存在硬盘和光盘上；然后将销售数据库封库，也就是禁止修改数据。

　　但是罪犯设法让导出的两份数据文件在检索数据时出错，无法使用。我推测他对数据导出程序做了手脚，使得导出数据的文件格式发生了细小的变化，导致检索中奖号码的程序无法处理数据，从而报错。

　　深圳福彩中心在正常程序无法继续的情况下，只好重新从销售数据库中提取数据。这就掉进了罪犯设好的陷阱，因为摇奖结果公布以后罪犯已经在所谓“封库”的销售数据库中把自己的彩票改成获奖的号码。所以重新提取的数据里就产生了中3300万巨奖的彩票。好在最后福彩中心对中奖结果进行核对，发现了问题，才避免了彩民的利益受损。但是福彩的声誉却被严重损害了。

　　那么为什么“封库”以后的数据库还会被修改呢？我的理解是，由于缺乏技术手段，所谓的封库只是把连接数据库的应用程序禁用了。但是只要有数据库账号，就能绕过应用程序，直接进入数据库，对数据进行修改。

　　那么为什么罪犯可以进入数据库呢？由于他是技术合作公司的员工，很可能他在日常工作中获得了数据库的用户帐号。很多单位的一些系统维护工作会交给技术合作公司（或者说外包公司）来完成，所以技术合作公司的技术人员通常有可能掌握数据库的账号。尽管这个帐号不一定就是彩票销售应用对应的数据库账号，但是很可能是一个高权限的用于数据库维护的账号。 拿到这样的一个账号，罪犯就可以随心所欲地更改销售数据库里的彩票数据，制造出中奖的假彩票。

　　深圳福彩中心表示这件事暴露了中心对技术合作公司人员监督不力的问题，给了犯罪分子可乘之机。但是我不认为这只是个监督不力的问题，而是从人员，流程，技术三个方面都有需要提高的地方。

　　从人员的角度来看，对技术合作公司人员的管理一直是让很多政府机构或企业头痛的问题，因为这些人员不是本单位招聘的（不能知根知底），也没有办法直接管理。而且技术合作公司人员的流动性也比较大，尤其经济环境不好的时候人员流动带来的风险更大。如果在人员管理上不加以区分和对这个问题重视的话，很容易形成漏洞。深圳福彩中心说的监督不力，主要是在这块。

　　从流程的角度来看，对敏感数据的查询和修改一定要有所限制，比如绑定操作的机器，限制操作的时间，或者必须有事先的批准；对这些操作还必须有操作痕迹的记录，以便日后追溯；当出现问题的时候，一定要严格按照流程执行。这次深圳福彩中心的一个比较明显的错误就是在两份导出文件检索出错的时候，没有按照流程对错误进行分析，而是直接到销售数据库中重新导出文件，从而掉进了陷阱。

　　从技术的角度来看，目前大部分政府机构或企业都没有采用适当的技术来保护敏感数据。他们采用了防火墙，VPN等各种网络安全解决方案，防止了黑客从外部的入侵。但是我们回顾这次从内部发生的安全事故，其实防火墙这些方案都没有起到作用。所以即使人员和流程的问题都解决了，但是没有适当的技术支持，这些流程也无法落实，人员也无法正确地起作用。

　　我不确定深圳福彩中心的数据库用的是哪个厂家，只能以我比较熟悉的Oracle数据库举例，谈一下我心目中应该采用的技术手段。

　　首先，他们的数据库可以用Database Vault来限制维护用户访问业务数据。这样，即使技术合作公司的人员因为工作需要拿到了维护用户的口令，他也没有机会能修改销售数据库的数据。Database Vault还可以用来限制对业务数据访问的机器的IP地址和时间，这样可以让前面讲到的流程真正落地。Database Vault也可以禁止对指定数据的修改操作，以此实现真正的“封库”，即使是拿到了应用用户的口令，也不能对数据进行修改。

　　其次，他们的数据库登录可以用Advanced Security进行强认证。所有销售数据库的登录都通过指纹或面部识别等认证方式，一方面防止口令泄漏的风险，另一方面这些认证手段具有不可抵赖性，可以作为日后追查责任的证据。这也会加强对人员的管理手段。

　　最后，使用Audit Vault对数据库的关键操作进行审计跟踪，所有对敏感数据的操作都可以被记录下来。当发生安全事故的时候，他们就可以先在Audit Vault的审计数据仓库里查找相关的数据是否被修改过。这样，罪犯的非法操作就能及时被发现了。

　　所以，我认为监督不力只是深圳福彩中心问题的一部分，而罪犯作案的技术含量确实也不高。如果福彩中心在人员、流程和技术各方面都有所改进的话，我想我会继续买他们的彩票的。

　　毕竟人人都喜欢天上掉馅饼的事情啊：）