電子政務時代，核心數(shù)據(jù)安全如何保證

近年來，伴隨政府信息化程度不斷加深，電子政務系統(tǒng)的建立和使用惠及各國家、地市政府機構，政府部門的工作效率大大提高。另一方面，政府承擔社會公共職能，信息化建設的普及和深入意味著電子政務系統(tǒng)承載越來越巨量的公民信息。

責任與挑戰(zhàn)并存，這些年信息技術高速發(fā)展的負面效應開始顯現(xiàn)，越發(fā)嚴重的數(shù)據(jù)泄露問題、愈加猖狂的黑產(chǎn)行業(yè)……種種安全威脅直指核心敏感數(shù)據(jù)。政府信息系統(tǒng)中存儲的社保數(shù)據(jù)、經(jīng)濟數(shù)據(jù)等大量敏感信息正在面臨哪些挑戰(zhàn)？日前，安華金和受邀參加山東信息協(xié)會2016年工作會議，面向山東省各政府部門信息工作負責人，高級安全顧問譚峻楠對于政府行業(yè)目前面臨的數(shù)據(jù)安全威脅進行總結并給出應對方案。

數(shù)據(jù)泄露事件頻發(fā)，數(shù)據(jù)庫遭受威脅是主因

據(jù)權威調(diào)研機構Verizon公司2015年發(fā)布的《數(shù)據(jù)泄露調(diào)查報告》顯示，2015年數(shù)據(jù)泄露事件背后的成因中，“數(shù)據(jù)庫遭受威脅”占到90%的比例。WEB應用，F(xiàn)TP、郵件等其他各類通道所占比例僅為10%，如此懸殊的數(shù)字暗示兩個跡象：數(shù)據(jù)庫系統(tǒng)受到的攻擊力度正在大幅度增加，另一方面，數(shù)據(jù)庫本身的安全防護相對薄弱，成為了攻擊聚焦點。面對這種情況，加固自身安全防線最為首要。

數(shù)據(jù)庫泄漏事件暴露三大安全問題

通過與各政府行業(yè)用戶的調(diào)研及多年的技術研究，我們目前政府行業(yè)面臨的主要安全問題總結為三點，這幾大問題是導致數(shù)據(jù)庫系統(tǒng)安全防護薄弱的主要成因：

數(shù)據(jù)庫自身存在大量安全漏洞

中文漏洞信息庫（CVE）中公布的數(shù)據(jù)庫漏洞達到2000多個，并且正在呈現(xiàn)逐年增長的趨勢，我們發(fā)現(xiàn)，中國市場占有率最高的Oracle數(shù)據(jù)庫系統(tǒng)，安全漏洞數(shù)量達到1000余個，占比近乎一半。如此數(shù)量的安全漏洞，要求所有政府信息系統(tǒng)保時保量的進行補丁升級工作，這對于承載巨量社會信息的各類電子政務系統(tǒng)來書，幾乎不可能。

內(nèi)部泄露風險逐漸加劇

當我們的世界變得逐漸數(shù)字化，人們發(fā)現(xiàn)數(shù)據(jù)變得越來越珍貴，伴隨數(shù)據(jù)價值的大幅提升，傳統(tǒng)可信的人正在成為風險源。電子政務工程的建設涉及多方資源，第三方開發(fā)人員、IT外包人員、運維人員直接訪問數(shù)據(jù)庫，讓核心數(shù)據(jù)面臨的安全威脅來源從單純的外部黑客逐漸轉(zhuǎn)移至更受信任的內(nèi)部人員，在巨大的商業(yè)利益面前，越來越多的人步入了黑色產(chǎn)業(yè)鏈。

傳統(tǒng)網(wǎng)絡安全架構存在巨大隱患

在國家政策驅(qū)動下，政府行業(yè)信息化工作啟動較早，對于網(wǎng)絡安全的意識早已具備，但通過與用戶的接觸，我們發(fā)現(xiàn)，大多數(shù)用戶的網(wǎng)絡安全架構比較傳統(tǒng)，雖已部署了成熟的網(wǎng)絡防火墻、IPS、IDS等安全設備，但對于核心數(shù)據(jù)庫本身的安全防護卻恰恰疏忽了，事實上，網(wǎng)絡防火墻不對數(shù)據(jù)庫通訊協(xié)議進行控制，IPS/IDS無法準確防御針對數(shù)據(jù)庫的攻擊，外部黑客已經(jīng)可以輕松繞過WAF攻擊數(shù)據(jù)庫，加之種植在應用系統(tǒng)中的后門程序脫離了所有程序的監(jiān)管，這一個又一個的問題讓看似裝備精良的網(wǎng)絡安全架構變得力不從心。

只有縱深至核心數(shù)據(jù)庫的安全防護，才真正有效

針對數(shù)據(jù)庫潛在安全風險，安華金和提出構建數(shù)據(jù)庫安全縱深防御體系：

巡檢梳理：數(shù)據(jù)庫漏洞掃描

對數(shù)據(jù)庫中的業(yè)務系統(tǒng)、IP地址、管理人員、安全策略等進行梳理，找到數(shù)據(jù)庫安全弱點，對漏洞、弱口令，低策略，權限寬泛等內(nèi)容提出加固建議，增強數(shù)據(jù)庫自身免疫力。

主動防御：數(shù)據(jù)庫防火墻

利用虛擬補丁技術，防止外部漏洞攻擊；通過內(nèi)部人員訪問權限的控制，防止誤操作和非授權行為；通過閾值控制，防止數(shù)據(jù)批量大面積泄密。

底線防守：數(shù)據(jù)庫加密、數(shù)據(jù)庫脫敏

通過對數(shù)據(jù)庫核心數(shù)據(jù)加密，防止敏感數(shù)據(jù)明文泄露；通過靜態(tài)、動態(tài)脫敏技術，對核心數(shù)據(jù)進行脫敏處理，使敏感數(shù)據(jù)自由應用于開發(fā)、測試、培訓、數(shù)據(jù)分析等各類場景需求。

事后追查：數(shù)據(jù)庫審計

實時記錄數(shù)據(jù)庫操作，進行細粒度審計，對數(shù)據(jù)庫遭受到的風險行為進行告警。通過對用戶訪問行為的記錄、分析，幫助用戶生成合規(guī)報告、事故追根溯源，提高數(shù)據(jù)資產(chǎn)安全性。

近年來，為方便公眾各類業(yè)務辦理，各行業(yè)政府部門的業(yè)務系統(tǒng)不斷融合、并軌，力求為我們營造快捷、便利的服務體驗，但日益頻發(fā)的數(shù)據(jù)泄露事件，讓公眾追求便利的腳步變得遲疑。政府部門的工作，關乎民生，在掌握公民巨量敏感信息的同時，保護公眾免受信息泄露風險，是所有民生工作的前提，也是政府公信力的重要體現(xiàn)。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。