【IT168 专稿】深圳妇幼信息泄露事件虽然已经过去一年，但"企业内部控制基本规范"将在7月实施，这再次提醒我们：当前的企业网络信息正面临各种各样的风险，外部攻击、内网泄露、违规上网行为、应用业务压力风险等等，我们如何才能掌控全局？

　　警醒：企业高层内鬼现形记！

　　对于企业来说，时刻在保护企业的关键数据信息。然而，除了防护外部的攻击，内部的威胁同样巨大。某银行企业为了保护数据，专门部署了RSA enVision审计系统，某天，监管部门收到了一条奇怪的警报……

　　enVision报警显示：某高层主管Timak在一小时内创建了一个用户帐号Kpbrady，然后又把它删除了。

　　Timak是该银行某部门的主管，因业务需要具有银行客户系统的管理员权限。从表面上看，这个举动并没有什么异常。

　　然而，当我们进行关联分析时，就可判断其为：超级用户的异常活动。

　　Timak创建了一个帐号，单独的创建动作没有任何的问题，每天会有很多次的创建动作，这是一个正常的操作，他删除了一个帐号也是正常的动作。但是他一小时之内先创建后删除，这就是异常动作。

　　因为这种嫌疑，通过enVision系统进行追查：

　　首先，从众多的用户账号中，过滤出用户帐号Kpbrady，并找出这个账号所做的所有行为，包括数据访问、撰写、修改等各种操作。对它进行单独审查、分析。我们通过回放会发现他过去一个小时所有的活动，从他创建到删除的生命周期里他做了哪些事情。

　　通过审看发现，用户帐号Kpbrady修改了单位Oracle里的数据库。因为Oracle里的数据库是不应该被Kpbrady修改的，也不应该被管理员Timak修改。

　　由此，审计推断出，这种访问行为是非法的。

　　紧接着，通过enVision Task Triage证据调查数据库，并借助另外的安全官，联系相关的Oracle的管理员进行恢复操作，然后把整个事情解决掉。