電子政務(wù)時(shí)代，核心數(shù)據(jù)安全如何保證

近年來，伴隨政府信息化程度不斷加深，電子政務(wù)系統(tǒng)的建立和使用惠及各國家、地市政府機(jī)構(gòu)，政府部門的工作效率大大提高。另一方面，政府承擔(dān)社會(huì)公共職能，信息化建設(shè)的普及和深入意味著電子政務(wù)系統(tǒng)承載越來越巨量的公民信息。

責(zé)任與挑戰(zhàn)并存，這些年信息技術(shù)高速發(fā)展的負(fù)面效應(yīng)開始顯現(xiàn)，越發(fā)嚴(yán)重的數(shù)據(jù)泄露問題、愈加猖狂的黑產(chǎn)行業(yè)……種種安全威脅直指核心敏感數(shù)據(jù)。政府信息系統(tǒng)中存儲(chǔ)的社保數(shù)據(jù)、經(jīng)濟(jì)數(shù)據(jù)等大量敏感信息正在面臨哪些挑戰(zhàn)？日前，安華金和受邀參加山東信息協(xié)會(huì)2016年工作會(huì)議，面向山東省各政府部門信息工作負(fù)責(zé)人，高級(jí)安全顧問譚峻楠對(duì)于政府行業(yè)目前面臨的數(shù)據(jù)安全威脅進(jìn)行總結(jié)并給出應(yīng)對(duì)方案。

數(shù)據(jù)泄露事件頻發(fā)，數(shù)據(jù)庫遭受威脅是主因

據(jù)權(quán)威調(diào)研機(jī)構(gòu)Verizon公司2015年發(fā)布的《數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，2015年數(shù)據(jù)泄露事件背后的成因中，“數(shù)據(jù)庫遭受威脅”占到90%的比例。WEB應(yīng)用，F(xiàn)TP、郵件等其他各類通道所占比例僅為10%，如此懸殊的數(shù)字暗示兩個(gè)跡象：數(shù)據(jù)庫系統(tǒng)受到的攻擊力度正在大幅度增加，另一方面，數(shù)據(jù)庫本身的安全防護(hù)相對(duì)薄弱，成為了攻擊聚焦點(diǎn)。面對(duì)這種情況，加固自身安全防線最為首要。

數(shù)據(jù)庫泄漏事件暴露三大安全問題

通過與各政府行業(yè)用戶的調(diào)研及多年的技術(shù)研究，我們目前政府行業(yè)面臨的主要安全問題總結(jié)為三點(diǎn)，這幾大問題是導(dǎo)致數(shù)據(jù)庫系統(tǒng)安全防護(hù)薄弱的主要成因：

數(shù)據(jù)庫自身存在大量安全漏洞

中文漏洞信息庫（CVE）中公布的數(shù)據(jù)庫漏洞達(dá)到2000多個(gè)，并且正在呈現(xiàn)逐年增長的趨勢(shì)，我們發(fā)現(xiàn)，中國市場(chǎng)占有率最高的Oracle數(shù)據(jù)庫系統(tǒng)，安全漏洞數(shù)量達(dá)到1000余個(gè)，占比近乎一半。如此數(shù)量的安全漏洞，要求所有政府信息系統(tǒng)保時(shí)保量的進(jìn)行補(bǔ)丁升級(jí)工作，這對(duì)于承載巨量社會(huì)信息的各類電子政務(wù)系統(tǒng)來書，幾乎不可能。

內(nèi)部泄露風(fēng)險(xiǎn)逐漸加劇

當(dāng)我們的世界變得逐漸數(shù)字化，人們發(fā)現(xiàn)數(shù)據(jù)變得越來越珍貴，伴隨數(shù)據(jù)價(jià)值的大幅提升，傳統(tǒng)可信的人正在成為風(fēng)險(xiǎn)源。電子政務(wù)工程的建設(shè)涉及多方資源，第三方開發(fā)人員、IT外包人員、運(yùn)維人員直接訪問數(shù)據(jù)庫，讓核心數(shù)據(jù)面臨的安全威脅來源從單純的外部黑客逐漸轉(zhuǎn)移至更受信任的內(nèi)部人員，在巨大的商業(yè)利益面前，越來越多的人步入了黑色產(chǎn)業(yè)鏈。

傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)存在巨大隱患

在國家政策驅(qū)動(dòng)下，政府行業(yè)信息化工作啟動(dòng)較早，對(duì)于網(wǎng)絡(luò)安全的意識(shí)早已具備，但通過與用戶的接觸，我們發(fā)現(xiàn)，大多數(shù)用戶的網(wǎng)絡(luò)安全架構(gòu)比較傳統(tǒng)，雖已部署了成熟的網(wǎng)絡(luò)防火墻、IPS、IDS等安全設(shè)備，但對(duì)于核心數(shù)據(jù)庫本身的安全防護(hù)卻恰恰疏忽了，事實(shí)上，網(wǎng)絡(luò)防火墻不對(duì)數(shù)據(jù)庫通訊協(xié)議進(jìn)行控制，IPS/IDS無法準(zhǔn)確防御針對(duì)數(shù)據(jù)庫的攻擊，外部黑客已經(jīng)可以輕松繞過WAF攻擊數(shù)據(jù)庫，加之種植在應(yīng)用系統(tǒng)中的后門程序脫離了所有程序的監(jiān)管，這一個(gè)又一個(gè)的問題讓看似裝備精良的網(wǎng)絡(luò)安全架構(gòu)變得力不從心。

只有縱深至核心數(shù)據(jù)庫的安全防護(hù)，才真正有效

針對(duì)數(shù)據(jù)庫潛在安全風(fēng)險(xiǎn)，安華金和提出構(gòu)建數(shù)據(jù)庫安全縱深防御體系：

巡檢梳理：數(shù)據(jù)庫漏洞掃描

對(duì)數(shù)據(jù)庫中的業(yè)務(wù)系統(tǒng)、IP地址、管理人員、安全策略等進(jìn)行梳理，找到數(shù)據(jù)庫安全弱點(diǎn)，對(duì)漏洞、弱口令，低策略，權(quán)限寬泛等內(nèi)容提出加固建議，增強(qiáng)數(shù)據(jù)庫自身免疫力。

主動(dòng)防御：數(shù)據(jù)庫防火墻

利用虛擬補(bǔ)丁技術(shù)，防止外部漏洞攻擊；通過內(nèi)部人員訪問權(quán)限的控制，防止誤操作和非授權(quán)行為；通過閾值控制，防止數(shù)據(jù)批量大面積泄密。

底線防守：數(shù)據(jù)庫加密、數(shù)據(jù)庫脫敏

通過對(duì)數(shù)據(jù)庫核心數(shù)據(jù)加密，防止敏感數(shù)據(jù)明文泄露；通過靜態(tài)、動(dòng)態(tài)脫敏技術(shù)，對(duì)核心數(shù)據(jù)進(jìn)行脫敏處理，使敏感數(shù)據(jù)自由應(yīng)用于開發(fā)、測(cè)試、培訓(xùn)、數(shù)據(jù)分析等各類場(chǎng)景需求。

事后追查：數(shù)據(jù)庫審計(jì)

實(shí)時(shí)記錄數(shù)據(jù)庫操作，進(jìn)行細(xì)粒度審計(jì)，對(duì)數(shù)據(jù)庫遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警。通過對(duì)用戶訪問行為的記錄、分析，幫助用戶生成合規(guī)報(bào)告、事故追根溯源，提高數(shù)據(jù)資產(chǎn)安全性。

近年來，為方便公眾各類業(yè)務(wù)辦理，各行業(yè)政府部門的業(yè)務(wù)系統(tǒng)不斷融合、并軌，力求為我們營造快捷、便利的服務(wù)體驗(yàn)，但日益頻發(fā)的數(shù)據(jù)泄露事件，讓公眾追求便利的腳步變得遲疑。政府部門的工作，關(guān)乎民生，在掌握公民巨量敏感信息的同時(shí)，保護(hù)公眾免受信息泄露風(fēng)險(xiǎn)，是所有民生工作的前提，也是政府公信力的重要體現(xiàn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。