信息化建设的普及和深入意味着互联网政务系统承载越来越巨量的公民信息，但日益频发的数据泄露事件，种种安全威胁让公众追求便利的脚步变得迟疑。据权威调研机构Verizon公司2015年发布的《数据泄露调查报告》显示，2015年数据泄露事件背后的成因中，“数据库遭受威胁”占到90%的比例。WEB应用，FTP、邮件等其他各类通道所占比例仅为10%，如此悬殊的数字暗示两个迹象：数据库系统受到的攻击力度正在大幅度增加，另一方面，数据库本身的安全防护相对薄弱，成为了攻击聚焦点。面对这种情况，加固自身安全防线最为首要。

政府部门的工作关乎民生，在掌握公民巨量敏感信息的同时，保护公众免受信息泄露风险是所有民生工作的前提，也是政府公信力的重要体现。基于此，来自上海一门式政务的专家对于政府行业目前面临的数据安全威胁进行总结并给出应对方案。

通过与各政府行业用户的调研及多年的技术研究，一门式将目前政府行业面临的主要安全问题总结为三点，这几大问题是导致数据库系统安全防护薄弱的主要成因：

1、数据库自身存在大量安全漏洞

中文漏洞信息库（CVE）中公布的数据库漏洞达到2000多个，并且正在呈现逐年增长的趋势，我们发现，中国市场占有率最高的Oracle数据库系统，安全漏洞数量达到1000余个，占比近乎一半。如此数量的安全漏洞，要求所有政府信息系统保时保量的进行补丁升级工作，这对于承载巨量社会信息的各类电子政务系统来书，几乎不可能。

2、内部核心数据泄露风险日趋严重

数据变得越来越珍贵，伴随数据价值的大幅提升，传统可信的人正在成为风险源。电子政务工程的建设涉及多方资源，第三方开发人员、IT外包人员、运维人员直接访问数据库，让核心数据面临的安全威胁来源从单纯的外部黑客逐渐转移至更受信任的内部人员，在巨大的商业利益面前，越来越多的人步入了黑色产业链。

3、传统网络安全架构存在隐患

在国家政策驱动下，政府行业信息化工作启动较早，对于网络安全的意识早已具备，但通过与用户的接触，我们发现，大多数用户的网络安全架构比较传统，虽已部署了成熟的网络防火墙、IPS、IDS等安全设备，但对于核心数据库本身的安全防护却恰恰疏忽了，事实上，网络防火墙不对数据库通讯协议进行控制，IPS/IDS无法准确防御针对数据库的攻击，外部黑客已经可以轻松绕过WAF攻击数据库，加之种植在应用系统中的后门程序脱离了所有程序的监管，这一个又一个的问题让看似装备精良的网络安全架构变得力不从心。

文始征信认为，只有纵深至核心数据库的安全防护，才能称之为真正有效，并提出防御体系建议如下：

巡检梳理：数据库漏洞扫描

对数据库中的业务系统、IP地址、管理人员、安全策略等进行梳理，找到数据库安全弱点，对漏洞、弱口令，低策略，权限宽泛等内容提出加固建议，增强数据库自身免疫力。

主动防御：数据库防火墙

利用虚拟补丁技术，防止外部漏洞攻击；通过内部人员访问权限的控制，防止误操作和非授权行为；通过阈值控制，防止数据批量大面积泄密。

底线防守：数据库加密、数据库脱敏

通过对数据库核心数据加密，防止敏感数据明文泄露；通过静态、动态脱敏技术，对核心数据进行脱敏处理，使敏感数据自由应用于开发、测试、培训、数据分析等各类场景需求。

事后追查：数据库审计

实时记录数据库操作，进行细粒度审计，对数据库遭受到的风险行为进行告警。大唐天下认为通过对用户访问行为的记录、分析，帮助用户生成合规报告、事故追根溯源，提高数据资产安全性。