上世紀(jì)80年代末,我國首次提出發(fā)展電子政務(wù)�,打造高效、精簡的政府運(yùn)作模式�����。
近年來,隨著政府機(jī)構(gòu)的職能逐步偏向社會(huì)公共服務(wù)�,電子政務(wù)系統(tǒng)的高效運(yùn)作得到民眾的肯定,但同時(shí)��,各類業(yè)務(wù)通道的整合并軌也讓電子政務(wù)系統(tǒng)數(shù)據(jù)安全問題“開了口子“:
“國家旅游局漏洞致6套系統(tǒng)淪陷��,涉及全國6000萬客戶信息”
“4.22事件���,多省社保信息遭泄露��,數(shù)千萬個(gè)人隱私泄密”
“國家外國專家局被曝高危漏洞,分站幾乎全部淪陷”
……
雖然基于安全性的考慮�����,電子政務(wù)系統(tǒng)實(shí)行政務(wù)外網(wǎng)�����、政務(wù)專網(wǎng)���、政務(wù)內(nèi)網(wǎng)的三網(wǎng)并立模式����,但通過對系統(tǒng)安全性能的研究,安華金和發(fā)現(xiàn):當(dāng)前電子政務(wù)內(nèi)
網(wǎng)信息系統(tǒng)中的涉密數(shù)據(jù)集中存儲(chǔ)在數(shù)據(jù)庫中���,即使是與互聯(lián)網(wǎng)物理隔離的政務(wù)內(nèi)網(wǎng)����,一系列來自數(shù)據(jù)庫系統(tǒng)內(nèi)部的安全風(fēng)險(xiǎn)成為政府機(jī)構(gòu)難以言說的痛�。
風(fēng)險(xiǎn)一、數(shù)據(jù)庫管理員越權(quán)操作:
數(shù)據(jù)庫管理員操作權(quán)限雖低���,但在數(shù)據(jù)庫維護(hù)中可以看到全部數(shù)據(jù)��,這造成安全權(quán)限與實(shí)際數(shù)據(jù)訪問能力的脫軌����,數(shù)據(jù)庫運(yùn)維過程中批量查詢敏感信息�����,高危操作���、誤操作等行為均無法控制���,內(nèi)部泄露風(fēng)險(xiǎn)加劇�����。
風(fēng)險(xiǎn)二��、數(shù)據(jù)庫漏洞攻擊:
由于性能和穩(wěn)定性的要求���,政務(wù)內(nèi)網(wǎng)多數(shù)使用國際主流數(shù)據(jù)庫,但其本身存在的后門程序使數(shù)據(jù)存儲(chǔ)環(huán)境危機(jī)四伏���,而使用國產(chǎn)數(shù)據(jù)庫同樣需要擔(dān)心黑客利用數(shù)據(jù)庫漏洞發(fā)起攻擊�。
風(fēng)險(xiǎn)三��、來自SQL注入的威脅:
SQL注入始終是網(wǎng)站安全的頑疾���,烏云、補(bǔ)天�、安華等平臺(tái)爆出的數(shù)據(jù)漏洞絕大多數(shù)與SQL注入攻擊有關(guān),內(nèi)外網(wǎng)技術(shù)架構(gòu)相同�,隨著政務(wù)內(nèi)網(wǎng)的互聯(lián)互通,SQL注入攻擊構(gòu)成政務(wù)內(nèi)網(wǎng)的嚴(yán)重威脅��。
風(fēng)險(xiǎn)四����、弱口令:
由于賬戶口令在數(shù)據(jù)庫中加密存儲(chǔ)����,DBA也無法確定哪些是弱口令�,某國產(chǎn)數(shù)據(jù)庫8位及以下就可以快速破解,口令安全配置低����,有行業(yè)內(nèi)部共知的弱口令,導(dǎo)致政務(wù)內(nèi)網(wǎng)安全檢查中發(fā)現(xiàn)大量弱口令和空口令情況���,弱口令有被違規(guī)冒用的危害��,即使審計(jì)到記錄也失效��。
傳統(tǒng)的信息安全解決方案主要是通過網(wǎng)絡(luò)傳輸通道加密��、PKI或增強(qiáng)身份認(rèn)證���、防火墻、IPS���、堡壘機(jī)等技術(shù)形成應(yīng)對策略��,但對于核心數(shù)據(jù)庫的防護(hù)欠缺針對有效的防護(hù)措施�。
電子政務(wù)系統(tǒng)的數(shù)據(jù)安全防護(hù),在業(yè)務(wù)驅(qū)動(dòng)的同時(shí)����,保障政策要求同樣重要,在此前提下�����,國家保密局于2007年發(fā)布并實(shí)施分級(jí)保護(hù)保密要求:
特別是對于系統(tǒng)中數(shù)據(jù)的保密�����,要求中明確指出:對于機(jī)密級(jí)以上的系統(tǒng)要從運(yùn)行管理三權(quán)分立����、身份鑒別、訪問控制�����、安全審計(jì)等方面進(jìn)行一系列的技術(shù)和測評(píng)要求����,具體涉及以下三方面:
一、訪問審計(jì)
審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)數(shù)據(jù)庫用戶
審計(jì)記錄應(yīng)包括事件的日期��、時(shí)間����、類型、主體標(biāo)識(shí)�����、客體標(biāo)識(shí)和結(jié)果等
應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析��,并生成審計(jì)報(bào)表
應(yīng)保護(hù)審計(jì)進(jìn)程避免受到未預(yù)期的中斷
應(yīng)保護(hù)審計(jì)記錄避免受到未預(yù)期的刪除�����、修改或覆蓋等
審計(jì)內(nèi)容應(yīng)包括重要用戶行為�����、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件
二��、主動(dòng)預(yù)防
通過三權(quán)分立����,獨(dú)立權(quán)控限制管理員對敏感數(shù)據(jù)訪問�。
應(yīng)針對SQL注入攻擊特征有效防護(hù)
應(yīng)檢測對數(shù)據(jù)庫進(jìn)行漏洞攻擊的行為���,能夠記錄入侵的源IP����、攻擊的類型��,并在發(fā)生嚴(yán)重入侵事件時(shí)主動(dòng)防御
定期通過數(shù)據(jù)庫漏洞掃描按行業(yè)特點(diǎn)檢查弱口令��,修改口令嘗試配置
三���、敏感數(shù)據(jù)管理
1�、生產(chǎn)數(shù)據(jù)不離生產(chǎn)系統(tǒng)�,管控敏感數(shù)據(jù)至開放環(huán)境的發(fā)布渠道,防止生產(chǎn)數(shù)據(jù)中敏感信息的泄漏����,保障數(shù)據(jù)安全,規(guī)避數(shù)據(jù)風(fēng)險(xiǎn)����;
2��、對數(shù)據(jù)庫中的涉密敏感字段進(jìn)行數(shù)據(jù)防護(hù),并采取強(qiáng)制訪問控制措施�。
電子政務(wù)內(nèi)網(wǎng)作為涉密信息系統(tǒng),一旦遭到數(shù)據(jù)泄露����,將可能對公眾隱私甚至國家安全構(gòu)成威脅。4月28日��,第三屆首都網(wǎng)絡(luò)安全日活動(dòng)中����,特設(shè)“電子政
務(wù)安全應(yīng)用論壇”,屆時(shí)�����,安華金和作為唯一的數(shù)據(jù)庫安全企業(yè)受邀演講�,針對電子政府內(nèi)網(wǎng)系統(tǒng)安全問題及政策要求進(jìn)行分析,并提出電子政務(wù)內(nèi)網(wǎng)數(shù)據(jù)庫安全解
決方案�����,在電子政府系統(tǒng)數(shù)據(jù)庫中已有的安全配置基礎(chǔ)上�,引入可信的訪問控制機(jī)制,同時(shí)可確保不影響系統(tǒng)正常使用�����,顯著提升內(nèi)網(wǎng)數(shù)據(jù)保密性。
產(chǎn)品咨詢:4000 258 365 
