上世紀(jì)80年代末,我國(guó)首次提出發(fā)展電子政務(wù)�,打造高效、精簡(jiǎn)的政府運(yùn)作模式���。
近年來(lái)��,隨著政府機(jī)構(gòu)的職能逐步偏向社會(huì)公共服務(wù)�����,電子政務(wù)系統(tǒng)的高效運(yùn)作得到民眾的肯定��,但同時(shí)�����,各類(lèi)業(yè)務(wù)通道的整合并軌也讓電子政務(wù)系統(tǒng)數(shù)據(jù)安全問(wèn)題“開(kāi)了口子“:
“國(guó)家旅游局漏洞致6套系統(tǒng)淪陷�����,涉及全國(guó)6000萬(wàn)客戶(hù)信息”
“4.22事件��,多省社保信息遭泄露��,數(shù)千萬(wàn)個(gè)人隱私泄密”
“國(guó)家外國(guó)專(zhuān)家局被曝高危漏洞����,分站幾乎全部淪陷”
……
雖然基于安全性的考慮,電子政務(wù)系統(tǒng)實(shí)行政務(wù)外網(wǎng)����、政務(wù)專(zhuān)網(wǎng)、政務(wù)內(nèi)網(wǎng)的三網(wǎng)并立模式��,但通過(guò)對(duì)系統(tǒng)安全性能的研究�����,安華金和發(fā)現(xiàn):當(dāng)前電子政務(wù)內(nèi)
網(wǎng)信息系統(tǒng)中的涉密數(shù)據(jù)集中存儲(chǔ)在數(shù)據(jù)庫(kù)中��,即使是與互聯(lián)網(wǎng)物理隔離的政務(wù)內(nèi)網(wǎng)�����,一系列來(lái)自數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)部的安全風(fēng)險(xiǎn)成為政府機(jī)構(gòu)難以言說(shuō)的痛�。
風(fēng)險(xiǎn)一、數(shù)據(jù)庫(kù)管理員越權(quán)操作:
數(shù)據(jù)庫(kù)管理員操作權(quán)限雖低�����,但在數(shù)據(jù)庫(kù)維護(hù)中可以看到全部數(shù)據(jù)���,這造成安全權(quán)限與實(shí)際數(shù)據(jù)訪(fǎng)問(wèn)能力的脫軌���,數(shù)據(jù)庫(kù)運(yùn)維過(guò)程中批量查詢(xún)敏感信息,高危操作��、誤操作等行為均無(wú)法控制�,內(nèi)部泄露風(fēng)險(xiǎn)加劇。
風(fēng)險(xiǎn)二��、數(shù)據(jù)庫(kù)漏洞攻擊:
由于性能和穩(wěn)定性的要求�,政務(wù)內(nèi)網(wǎng)多數(shù)使用國(guó)際主流數(shù)據(jù)庫(kù),但其本身存在的后門(mén)程序使數(shù)據(jù)存儲(chǔ)環(huán)境危機(jī)四伏���,而使用國(guó)產(chǎn)數(shù)據(jù)庫(kù)同樣需要擔(dān)心黑客利用數(shù)據(jù)庫(kù)漏洞發(fā)起攻擊��。
風(fēng)險(xiǎn)三��、來(lái)自SQL注入的威脅:
SQL注入始終是網(wǎng)站安全的頑疾�����,烏云���、補(bǔ)天�����、安華等平臺(tái)爆出的數(shù)據(jù)漏洞絕大多數(shù)與SQL注入攻擊有關(guān)��,內(nèi)外網(wǎng)技術(shù)架構(gòu)相同�,隨著政務(wù)內(nèi)網(wǎng)的互聯(lián)互通�,SQL注入攻擊構(gòu)成政務(wù)內(nèi)網(wǎng)的嚴(yán)重威脅。
風(fēng)險(xiǎn)四��、弱口令:
由于賬戶(hù)口令在數(shù)據(jù)庫(kù)中加密存儲(chǔ)�����,DBA也無(wú)法確定哪些是弱口令���,某國(guó)產(chǎn)數(shù)據(jù)庫(kù)8位及以下就可以快速破解�����,口令安全配置低����,有行業(yè)內(nèi)部共知的弱口令�,導(dǎo)致政務(wù)內(nèi)網(wǎng)安全檢查中發(fā)現(xiàn)大量弱口令和空口令情況,弱口令有被違規(guī)冒用的危害����,即使審計(jì)到記錄也失效。
傳統(tǒng)的信息安全解決方案主要是通過(guò)網(wǎng)絡(luò)傳輸通道加密����、PKI或增強(qiáng)身份認(rèn)證、防火墻����、IPS、堡壘機(jī)等技術(shù)形成應(yīng)對(duì)策略�����,但對(duì)于核心數(shù)據(jù)庫(kù)的防護(hù)欠缺針對(duì)有效的防護(hù)措施。
電子政務(wù)系統(tǒng)的數(shù)據(jù)安全防護(hù)���,在業(yè)務(wù)驅(qū)動(dòng)的同時(shí)���,保障政策要求同樣重要,在此前提下����,國(guó)家保密局于2007年發(fā)布并實(shí)施分級(jí)保護(hù)保密要求:
特別是對(duì)于系統(tǒng)中數(shù)據(jù)的保密,要求中明確指出:對(duì)于機(jī)密級(jí)以上的系統(tǒng)要從運(yùn)行管理三權(quán)分立���、身份鑒別��、訪(fǎng)問(wèn)控制�、安全審計(jì)等方面進(jìn)行一系列的技術(shù)和測(cè)評(píng)要求����,具體涉及以下三方面:
一、訪(fǎng)問(wèn)審計(jì)
審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶(hù)端上的每個(gè)數(shù)據(jù)庫(kù)用戶(hù)
審計(jì)記錄應(yīng)包括事件的日期�、時(shí)間、類(lèi)型�、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等
應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表
應(yīng)保護(hù)審計(jì)進(jìn)程避免受到未預(yù)期的中斷
應(yīng)保護(hù)審計(jì)記錄避免受到未預(yù)期的刪除���、修改或覆蓋等
審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為����、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件
二����、主動(dòng)預(yù)防
通過(guò)三權(quán)分立�,獨(dú)立權(quán)控限制管理員對(duì)敏感數(shù)據(jù)訪(fǎng)問(wèn)。
應(yīng)針對(duì)SQL注入攻擊特征有效防護(hù)
應(yīng)檢測(cè)對(duì)數(shù)據(jù)庫(kù)進(jìn)行漏洞攻擊的行為����,能夠記錄入侵的源IP、攻擊的類(lèi)型���,并在發(fā)生嚴(yán)重入侵事件時(shí)主動(dòng)防御
定期通過(guò)數(shù)據(jù)庫(kù)漏洞掃描按行業(yè)特點(diǎn)檢查弱口令���,修改口令嘗試配置
三、敏感數(shù)據(jù)管理
1�、生產(chǎn)數(shù)據(jù)不離生產(chǎn)系統(tǒng),管控敏感數(shù)據(jù)至開(kāi)放環(huán)境的發(fā)布渠道����,防止生產(chǎn)數(shù)據(jù)中敏感信息的泄漏��,保障數(shù)據(jù)安全���,規(guī)避數(shù)據(jù)風(fēng)險(xiǎn);
2����、對(duì)數(shù)據(jù)庫(kù)中的涉密敏感字段進(jìn)行數(shù)據(jù)防護(hù),并采取強(qiáng)制訪(fǎng)問(wèn)控制措施����。
電子政務(wù)內(nèi)網(wǎng)作為涉密信息系統(tǒng),一旦遭到數(shù)據(jù)泄露�,將可能對(duì)公眾隱私甚至國(guó)家安全構(gòu)成威脅。4月28日���,第三屆首都網(wǎng)絡(luò)安全日活動(dòng)中��,特設(shè)“電子政
務(wù)安全應(yīng)用論壇”�����,屆時(shí)�,安華金和作為唯一的數(shù)據(jù)庫(kù)安全企業(yè)受邀演講,針對(duì)電子政府內(nèi)網(wǎng)系統(tǒng)安全問(wèn)題及政策要求進(jìn)行分析����,并提出電子政務(wù)內(nèi)網(wǎng)數(shù)據(jù)庫(kù)安全解
決方案,在電子政府系統(tǒng)數(shù)據(jù)庫(kù)中已有的安全配置基礎(chǔ)上��,引入可信的訪(fǎng)問(wèn)控制機(jī)制�����,同時(shí)可確保不影響系統(tǒng)正常使用��,顯著提升內(nèi)網(wǎng)數(shù)據(jù)保密性��。
產(chǎn)品咨詢(xún):4000 258 365 
