近年來,伴隨政府信息化程度不斷加深,電子政務系統的建立和使用惠及各國家、地市政府機構,政府部門的工作效率大大提高。另一方面,政府承擔社會公共職能,信息化建設的普及和深入意味著電子政務系統承載越來越巨量的公民信息。
責任與挑戰并存,這些年信息技術高速發展的負面效應開始顯現,越發嚴重的數據泄露問題、愈加猖狂的黑產行業……種種安全威脅直指核心敏感數據。政府信息系統中存儲的社保數據、經濟數據等大量敏感信息正在面臨哪些挑戰?日前,安華金和受邀參加山東信息協會2016年工作會議,面向山東省各政府部門信息工作負責人,高級安全顧問譚峻楠對于政府行業目前面臨的數據安全威脅進行總結并給出應對方案。
據權威調研機構Verizon公司2015年發布的《數據泄露調查報告》顯示,2015年數據泄露事件背后的成因中,“數據庫遭受威脅”占到90%的比例。WEB應用,FTP、郵件等其他各類通道所占比例僅為10%,如此懸殊的數字暗示兩個跡象:數據庫系統受到的攻擊力度正在大幅度增加,另一方面,數據庫本身的安全防護相對薄弱,成為了攻擊聚焦點。面對這種情況,加固自身安全防線最為首要。
通過與各政府行業用戶的調研及多年的技術研究,我們目前政府行業面臨的主要安全問題總結為三點,這幾大問題是導致數據庫系統安全防護薄弱的主要成因:
數據庫自身存在大量安全漏洞
中文漏洞信息庫(CVE)中公布的數據庫漏洞達到2000多個,并且正在呈現逐年增長的趨勢,我們發現,中國市場占有率最高的Oracle數據庫系統,安全漏洞數量達到1000余個,占比近乎一半。如此數量的安全漏洞,要求所有政府信息系統保時保量的進行補丁升級工作,這對于承載巨量社會信息的各類電子政務系統來書,幾乎不可能。
內部泄露風險逐漸加劇
當我們的世界變得逐漸數字化,人們發現數據變得越來越珍貴,伴隨數據價值的大幅提升,傳統可信的人正在成為風險源。電子政務工程的建設涉及多方資源,第三方開發人員、IT外包人員、運維人員直接訪問數據庫,讓核心數據面臨的安全威脅來源從單純的外部黑客逐漸轉移至更受信任的內部人員,在巨大的商業利益面前,越來越多的人步入了黑色產業鏈。
傳統網絡安全架構存在巨大隱患
在國家政策驅動下,政府行業信息化工作啟動較早,對于網絡安全的意識早已具備,但通過與用戶的接觸,我們發現,大多數用戶的網絡安全架構比較傳統,雖已部署了成熟的網絡防火墻、IPS、IDS等安全設備,但對于核心數據庫本身的安全防護卻恰恰疏忽了,事實上,網絡防火墻不對數據庫通訊協議進行控制,IPS/IDS無法準確防御針對數據庫的攻擊,外部黑客已經可以輕松繞過WAF攻擊數據庫,加之種植在應用系統中的后門程序脫離了所有程序的監管,這一個又一個的問題讓看似裝備精良的網絡安全架構變得力不從心。
針對數據庫潛在安全風險,安華金和提出構建數據庫安全縱深防御體系:
巡檢梳理:數據庫漏洞掃描
對數據庫中的業務系統、IP地址、管理人員、安全策略等進行梳理,找到數據庫安全弱點,對漏洞、弱口令,低策略,權限寬泛等內容提出加固建議,增強數據庫自身免疫力。
主動防御:數據庫防火墻
利用虛擬補丁技術,防止外部漏洞攻擊;通過內部人員訪問權限的控制,防止誤操作和非授權行為;通過閾值控制,防止數據批量大面積泄密。
底線防守:數據庫加密、數據庫脫敏
通過對數據庫核心數據加密,防止敏感數據明文泄露;通過靜態、動態脫敏技術,對核心數據進行脫敏處理,使敏感數據自由應用于開發、測試、培訓、數據分析等各類場景需求。
事后追查:數據庫審計
實時記錄數據庫操作,進行細粒度審計,對數據庫遭受到的風險行為進行告警。通過對用戶訪問行為的記錄、分析,幫助用戶生成合規報告、事故追根溯源,提高數據資產安全性。
近年來,為方便公眾各類業務辦理,各行業政府部門的業務系統不斷融合、并軌,力求為我們營造快捷、便利的服務體驗,但日益頻發的數據泄露事件,讓公眾追求便利的腳步變得遲疑。政府部門的工作,關乎民生,在掌握公民巨量敏感信息的同時,保護公眾免受信息泄露風險,是所有民生工作的前提,也是政府公信力的重要體現。
產品咨詢:4000 258 365 
