安华金和数据库安电子政务外网解决方案中国软件测评中心(中国国家工业和信息化部下属单位)2014年12月3日发布《2014年中国政府网站绩效评估总报告》显示，今年评估的900余家政府网站当中，超过93%的网站存在着本级的安全漏洞，其中97%的区县网站被监测到有安全隐患，接受评估的网站包括部委网站、省级政府网站、副省级政府网站、地市政府网站及区县政府网站。这个也给政府的形象带来了很不利的影响，甚至给政府工作的正常运行带来了严重的威胁。由于人们对互联网的依赖性日益增强，互联网数据资产所蕴含的经济价值更加巨大。以CSDN600万用户信息泄露开始，中国互联网接连爆发的信息泄露为“互联网之殇”再添一笔。近年来，因为互联网技术漏洞导致用户信息泄露的事件时有发生，2014年5月小米论坛疑似被“拖库”，该漏洞影响约有800万左右小米论坛用户，2014年3月，携程网也曾连续爆发安全漏洞，导致部分携程用户的银行卡信息被泄露并被利用，未来针对隐私信息的破解和攻击会愈演愈烈。如何确保信息安全，加强信息保障工作，将是政务外网建设关注的重中之重。一、政务外网敏感数据泄漏问题分析真正有效的解决网络信息的安全问题，首先就需要分析批量个人隐私信息数据泄密、篡改途径，包括来自于外部攻击者，第三方运维人员、开发人员等内部人员的各种可能性。从系统安全体系的角度来分析，然后找出可行的技术手段，才能真正从全方位保证网络信息安全。核心数据安全是针对核心敏感数据的保护，处于整个安全体系的核心位置！经过对诸多网络信息安全事件的分析，发现信息泄密及篡改的最大威胁来自于外部黑客、内部运维人员及数据库管理员DBA、以及第三方服务外包人员。外部：黑客攻击者黑客攻击者一般有两种手段进行数据的窃取：一是入侵到网络后，能够直接访问数据库服务器，进行刷库直接拷贝数据文件，利用主流数据库明文存储的缺陷，直接进行异地的数据还原，即可获得所有数据。二是利用数据库自身的一系列缺省端口号、缺省用户密码、权限提升等漏洞，轻松获取DBA身份的高权限用户，直接导出数据。内部运维人员及DBA内部运维人员：内部运维人员因工作便利很容易接触到数据库服务器，同样可以拷贝数据文件后，直接从文件层窃取数据。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---DBA：主流数据库设计上的一大缺陷，便是DBA权限是至高无上、没有其他人可以监管。DBA既负责各项系统维护管理工作，又可以随时查询数据库中的一切敏感网络信息；这些人员被他人利用，完全可以随时登陆数据库，任意进行网络敏感信息的窃取或篡改。第三方外部服务人员负责业务系统的开发、运维。他们本身掌握或轻松可以得知网站系统后台使用的数据库账户及口令。由于人为因素或管理不善，用户名及口令很容易泄露，则可以使用该账户绕开正常的网站系统，通过自己写的程序或命令直接访问数据库，批量窃取网络信息。二、公安车管所数据库安全防护方案1、安全事件及风险分析近年和数据库安全相关的数据泄漏事件层出不穷，无论是数据泄漏的规模还是频率都创下新高，主要由于数据库安全防护手段缺失导致，造成巨大经济损失的同时，也直接影响了车管所的声誉，甚至影响了社会上的公信度。软件商“侵”车管所系统“删违”上万条【案件描述】2014年11月12日，江苏连云港检察院披露，一位多地公安车管系统软件供应商竟变身“黑客”，勾结“黄牛”，在车管所软件系统植入程序，专门代人删除交通违章记录达1.4万余条。【作案手段】李某利用为连云港、宿迁、南京等市车管所软件系统提供运维技术支持的便利条件，躲避现场监管，将事先编好的删除程序输入，非法删除一条张某请托的车辆违章记录之后，利用系统内的一处漏洞，通过在公安内网服务器上安装网络配置，利用互联网能远程侵入公安网络系统，避开了公安内网报警体系。交管部门有很多便民业务，如违章查询，选车牌等等，所以很多车管所为了方便，把存有大量业务数据的数据库放在外网。交管部门有很多便民业务，如违章查询，选车牌等等，所以很多车管所为了方便，把存有大量业务数据的数据库放在外网。---本文来源于网络，仅供参...