电子政务时代,核心数据安全如何保证

近年来,伴随政府信息化程度不断加深,电子政务系统的建立和使用惠及各国家、地市政府机构,政府部门的工作效率大大提高。另一方面,政府承担社会公共职能,信息化建设的普及和深入意味着电子政务系统承载越来越巨量的公民信息。

责任与挑战并存,这些年信息技术高速发展的负面效应开始显现,越发严重的数据泄露问题、愈加猖狂的黑产行业……种种安全威胁直指核心敏感数据。政府信息系统中存储的社保数据、经济数据等大量敏感信息正在面临哪些挑战?日前,安华金和受邀参加山东信息协会2016年工作会议,面向山东省各政府部门信息工作负责人,高级安全顾问谭峻楠对于政府行业目前面临的数据安全威胁进行总结并给出应对方案。

数据泄露事件频发,数据库遭受威胁是主因

据权威调研机构Verizon公司2015年发布的《数据泄露调查报告》显示,2015年数据泄露事件背后的成因中,“数据库遭受威胁”占到90%的比例。WEB应用,FTP、邮件等其他各类通道所占比例仅为10%,如此悬殊的数字暗示两个迹象:数据库系统受到的攻击力度正在大幅度增加,另一方面,数据库本身的安全防护相对薄弱,成为了攻击聚焦点。面对这种情况,加固自身安全防线最为首要。

数据库泄漏事件暴露三大安全问题

通过与各政府行业用户的调研及多年的技术研究,我们目前政府行业面临的主要安全问题总结为三点,这几大问题是导致数据库系统安全防护薄弱的主要成因:

数据库自身存在大量安全漏洞

中文漏洞信息库(CVE)中公布的数据库漏洞达到2000多个,并且正在呈现逐年增长的趋势,我们发现,中国市场占有率最高的Oracle数据库系统,安全漏洞数量达到1000余个,占比近乎一半。如此数量的安全漏洞,要求所有政府信息系统保时保量的进行补丁升级工作,这对于承载巨量社会信息的各类电子政务系统来书,几乎不可能。

内部泄露风险逐渐加剧

当我们的世界变得逐渐数字化,人们发现数据变得越来越珍贵,伴随数据价值的大幅提升,传统可信的人正在成为风险源。电子政务工程的建设涉及多方资源,第三方开发人员、IT外包人员、运维人员直接访问数据库,让核心数据面临的安全威胁来源从单纯的外部黑客逐渐转移至更受信任的内部人员,在巨大的商业利益面前,越来越多的人步入了黑色产业链。

传统网络安全架构存在巨大隐患

在国家政策驱动下,政府行业信息化工作启动较早,对于网络安全的意识早已具备,但通过与用户的接触,我们发现,大多数用户的网络安全架构比较传统,虽已部署了成熟的网络防火墙、IPS、IDS等安全设备,但对于核心数据库本身的安全防护却恰恰疏忽了,事实上,网络防火墙不对数据库通讯协议进行控制,IPS/IDS无法准确防御针对数据库的攻击,外部黑客已经可以轻松绕过WAF攻击数据库,加之种植在应用系统中的后门程序脱离了所有程序的监管,这一个又一个的问题让看似装备精良的网络安全架构变得力不从心。

只有纵深至核心数据库的安全防护,才真正有效

针对数据库潜在安全风险,安华金和提出构建数据库安全纵深防御体系:

巡检梳理:数据库漏洞扫描

对数据库中的业务系统、IP地址、管理人员、安全策略等进行梳理,找到数据库安全弱点,对漏洞、弱口令,低策略,权限宽泛等内容提出加固建议,增强数据库自身免疫力。

主动防御:数据库防火墙

利用虚拟补丁技术,防止外部漏洞攻击;通过内部人员访问权限的控制,防止误操作和非授权行为;通过阈值控制,防止数据批量大面积泄密。

底线防守:数据库加密数据库脱敏

通过对数据库核心数据加密,防止敏感数据明文泄露;通过静态、动态脱敏技术,对核心数据进行脱敏处理,使敏感数据自由应用于开发、测试、培训、数据分析等各类场景需求。

事后追查:数据库审计

实时记录数据库操作,进行细粒度审计,对数据库遭受到的风险行为进行告警。通过对用户访问行为的记录、分析,帮助用户生成合规报告、事故追根溯源,提高数据资产安全性。

近年来,为方便公众各类业务办理,各行业政府部门的业务系统不断融合、并轨,力求为我们营造快捷、便利的服务体验,但日益频发的数据泄露事件,让公众追求便利的脚步变得迟疑。政府部门的工作,关乎民生,在掌握公民巨量敏感信息的同时,保护公众免受信息泄露风险,是所有民生工作的前提,也是政府公信力的重要体现。

最后编辑于:2016/7/13作者: 安华金和

安华金和

安华金和专注于数据库安全领域,由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造,是国内领先的,提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。