從一則案例說起

  小冷在一個單位部門里擔任網絡安全主管,維護著單位重要的信息系統(tǒng)。近,小冷十分郁悶,因為有人發(fā)現(xiàn)他們單位的上萬筆重要數(shù)據(jù)在網上被人叫賣。小冷的領導很重視這個事情,讓小冷查清原委。小冷仔細查對了存放重要數(shù)據(jù)的數(shù)據(jù)庫,沒有發(fā)現(xiàn)異常,而保護數(shù)據(jù)庫的IPS和防火墻也沒有什么重要的攻擊警告。小冷又與部門中所有可能接觸到數(shù)據(jù)庫的管理員談話,也一無所獲。小冷又找到使用這些重要數(shù)據(jù)的相關業(yè)務部門,可以業(yè)務部門主管把皮球踢了回來,說信息部門應該首先提供相關證據(jù),才能在業(yè)務部門進行自查。

  小冷的調查工作陷入困境,而領導那邊給他壓力也很大。如何才能杜絕以后發(fā)生類似事件呢?

  數(shù)據(jù)安全日趨重要

  隨著信息化、網絡化水平的不斷提升,重要的數(shù)據(jù)信息越來越受到安全威脅,而大量的重要數(shù)據(jù)往往都存放在數(shù)據(jù)庫系統(tǒng)中,如何保護數(shù)據(jù)庫,有效防范信息泄漏和篡改成為一個重要的安全保障目標。

  近幾年,信息泄露、信息篡改等信息安全問題屢見不鮮,所有存在數(shù)據(jù)的地方,只要數(shù)據(jù)是有價值的,存在風險,有人會去想法子竊取、篡改、販賣,從中牟利:北京市教育考試院信息篡改事件、教育學籍信息泄漏事件、深圳孕婦信息的“泄密光盤”、車主股民信息泄露、福彩中獎信息篡改、“力拓門”事件,從個人隱私,到企業(yè)的商業(yè)秘密,甚至到政府的核心機密,都出現(xiàn)了不同程度的信息安全問題。

  這些案例都告訴我們,數(shù)據(jù)安全保護十分重要。由于目前大部分重要數(shù)據(jù)都是通過數(shù)據(jù)庫系統(tǒng)來存儲的,因此,數(shù)據(jù)庫安全保護尤其重要。

  為了防范信息泄漏和篡改,我國去年頒布實施的《刑法》(七)修正案修訂了第253條和285條,明確了信息泄漏及篡改將面臨的刑事指控和量刑依據(jù)。其中,第253條指出“機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,違反規(guī)定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金!

  在前不久,《南方都市報》報道了珠海的一起在《刑法修正案(七)》頒布后的首例侵犯個人信息安全刑事宣判。

  有了法律依據(jù)后,企事業(yè)單位更應該抓緊加固數(shù)據(jù)庫系統(tǒng),保護其安全,這既是對于防范攻擊和違法犯罪的需要,也是盡責盡職的體現(xiàn),是對法律的捍衛(wèi)。

  此外,根據(jù)等級保護相關要求,《信息系統(tǒng)等級保護基本要求》中對于信息系統(tǒng)在主機和數(shù)據(jù)庫安全方面明確要求進行安全審計,其中,第三級要求“審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件;審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等!

  防范措施

  那么,如何才能更加有效地保護數(shù)據(jù)庫安全,防范信息泄漏和篡改呢?

  首先,需要加強對數(shù)據(jù)庫的訪問控制,明確數(shù)據(jù)庫管理和使用職責分工,小化數(shù)據(jù)庫帳號使用權限,防止權利濫用。同時,要加強口令管理,使用高強度口令,刪除系統(tǒng)默認帳號口令等。

  其次,要對數(shù)據(jù)庫及其核心業(yè)務系統(tǒng)進行安全加固,保護在系統(tǒng)邊界部署防火墻、IDS/IPS、防病毒系統(tǒng)等,并及時地進行系統(tǒng)補丁檢測、安全加固。