上世紀(jì)80年代末�,我國首次提出發(fā)展電子政務(wù)�����,打造高效、精簡的政府運作模式���。
近年來�����,隨著政府機構(gòu)的職能逐步偏向社會公共服務(wù)�����,電子政務(wù)系統(tǒng)的高效運作得到民眾的肯定,但同時��,各類業(yè)務(wù)通道的整合并軌也讓電子政務(wù)系統(tǒng)數(shù)據(jù)安全問題“開了口子“:
“國家旅游局漏洞致6套系統(tǒng)淪陷����,涉及全國6000萬客戶信息”
“4.22事件,多省社保信息遭泄露�,數(shù)千萬個人隱私泄密”
“國家外國專家局被曝高危漏洞,分站幾乎全部淪陷”
……
雖然基于安全性的考慮�,電子政務(wù)系統(tǒng)實行政務(wù)外網(wǎng)、政務(wù)專網(wǎng)�����、政務(wù)內(nèi)網(wǎng)的三網(wǎng)并立模式,但通過對系統(tǒng)安全性能的研究�,安華金和發(fā)現(xiàn):當(dāng)前電子政務(wù)內(nèi)
網(wǎng)信息系統(tǒng)中的涉密數(shù)據(jù)集中存儲在數(shù)據(jù)庫中,即使是與互聯(lián)網(wǎng)物理隔離的政務(wù)內(nèi)網(wǎng)��,一系列來自數(shù)據(jù)庫系統(tǒng)內(nèi)部的安全風(fēng)險成為政府機構(gòu)難以言說的痛���。
風(fēng)險一����、數(shù)據(jù)庫管理員越權(quán)操作:
數(shù)據(jù)庫管理員操作權(quán)限雖低�����,但在數(shù)據(jù)庫維護中可以看到全部數(shù)據(jù)��,這造成安全權(quán)限與實際數(shù)據(jù)訪問能力的脫軌��,數(shù)據(jù)庫運維過程中批量查詢敏感信息����,高危操作、誤操作等行為均無法控制����,內(nèi)部泄露風(fēng)險加劇�����。
風(fēng)險二��、數(shù)據(jù)庫漏洞攻擊:
由于性能和穩(wěn)定性的要求�,政務(wù)內(nèi)網(wǎng)多數(shù)使用國際主流數(shù)據(jù)庫����,但其本身存在的后門程序使數(shù)據(jù)存儲環(huán)境危機四伏,而使用國產(chǎn)數(shù)據(jù)庫同樣需要擔(dān)心黑客利用數(shù)據(jù)庫漏洞發(fā)起攻擊���。
風(fēng)險三����、來自SQL注入的威脅:
SQL注入始終是網(wǎng)站安全的頑疾�,烏云�����、補天����、安華等平臺爆出的數(shù)據(jù)漏洞絕大多數(shù)與SQL注入攻擊有關(guān)���,內(nèi)外網(wǎng)技術(shù)架構(gòu)相同,隨著政務(wù)內(nèi)網(wǎng)的互聯(lián)互通���,SQL注入攻擊構(gòu)成政務(wù)內(nèi)網(wǎng)的嚴重威脅�。
風(fēng)險四��、弱口令:
由于賬戶口令在數(shù)據(jù)庫中加密存儲�����,DBA也無法確定哪些是弱口令���,某國產(chǎn)數(shù)據(jù)庫8位及以下就可以快速破解�,口令安全配置低����,有行業(yè)內(nèi)部共知的弱口令,導(dǎo)致政務(wù)內(nèi)網(wǎng)安全檢查中發(fā)現(xiàn)大量弱口令和空口令情況��,弱口令有被違規(guī)冒用的危害���,即使審計到記錄也失效���。
傳統(tǒng)的信息安全解決方案主要是通過網(wǎng)絡(luò)傳輸通道加密����、PKI或增強身份認證����、防火墻、IPS����、堡壘機等技術(shù)形成應(yīng)對策略,但對于核心數(shù)據(jù)庫的防護欠缺針對有效的防護措施����。
電子政務(wù)系統(tǒng)的數(shù)據(jù)安全防護,在業(yè)務(wù)驅(qū)動的同時��,保障政策要求同樣重要�,在此前提下��,國家保密局于2007年發(fā)布并實施分級保護保密要求:
特別是對于系統(tǒng)中數(shù)據(jù)的保密�,要求中明確指出:對于機密級以上的系統(tǒng)要從運行管理三權(quán)分立���、身份鑒別、訪問控制��、安全審計等方面進行一系列的技術(shù)和測評要求���,具體涉及以下三方面:
一�����、訪問審計
審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個數(shù)據(jù)庫用戶
審計記錄應(yīng)包括事件的日期��、時間����、類型���、主體標(biāo)識����、客體標(biāo)識和結(jié)果等
應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析���,并生成審計報表
應(yīng)保護審計進程避免受到未預(yù)期的中斷
應(yīng)保護審計記錄避免受到未預(yù)期的刪除�����、修改或覆蓋等
審計內(nèi)容應(yīng)包括重要用戶行為��、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件
二��、主動預(yù)防
通過三權(quán)分立�,獨立權(quán)控限制管理員對敏感數(shù)據(jù)訪問。
應(yīng)針對SQL注入攻擊特征有效防護
應(yīng)檢測對數(shù)據(jù)庫進行漏洞攻擊的行為����,能夠記錄入侵的源IP、攻擊的類型�,并在發(fā)生嚴重入侵事件時主動防御
定期通過數(shù)據(jù)庫漏洞掃描按行業(yè)特點檢查弱口令,修改口令嘗試配置
三�、敏感數(shù)據(jù)管理
1、生產(chǎn)數(shù)據(jù)不離生產(chǎn)系統(tǒng)��,管控敏感數(shù)據(jù)至開放環(huán)境的發(fā)布渠道�,防止生產(chǎn)數(shù)據(jù)中敏感信息的泄漏,保障數(shù)據(jù)安全����,規(guī)避數(shù)據(jù)風(fēng)險����;
2��、對數(shù)據(jù)庫中的涉密敏感字段進行數(shù)據(jù)防護����,并采取強制訪問控制措施�����。
電子政務(wù)內(nèi)網(wǎng)作為涉密信息系統(tǒng)��,一旦遭到數(shù)據(jù)泄露����,將可能對公眾隱私甚至國家安全構(gòu)成威脅。4月28日�,第三屆首都網(wǎng)絡(luò)安全日活動中,特設(shè)“電子政
務(wù)安全應(yīng)用論壇”����,屆時,安華金和作為唯一的數(shù)據(jù)庫安全企業(yè)受邀演講��,針對電子政府內(nèi)網(wǎng)系統(tǒng)安全問題及政策要求進行分析,并提出電子政務(wù)內(nèi)網(wǎng)數(shù)據(jù)庫安全解
決方案�����,在電子政府系統(tǒng)數(shù)據(jù)庫中已有的安全配置基礎(chǔ)上��,引入可信的訪問控制機制�,同時可確保不影響系統(tǒng)正常使用,顯著提升內(nèi)網(wǎng)數(shù)據(jù)保密性�。
產(chǎn)品咨詢:4000 258 365 
