从一则案例说起

  小冷在一个单位部门里担任网络安全主管,维护着单位重要的信息系统。近,小冷十分郁闷,因为有人发现他们单位的上万笔重要数据在网上被人叫卖。小冷的领导很重视这个事情,让小冷查清原委。小冷仔细查对了存放重要数据的数据库,没有发现异常,而保护数据库的IPS和防火墙也没有什么重要的攻击警告。小冷又与部门中所有可能接触到数据库的管理员谈话,也一无所获。小冷又找到使用这些重要数据的相关业务部门,可以业务部门主管把皮球踢了回来,说信息部门应该首先提供相关证据,才能在业务部门进行自查。

  小冷的调查工作陷入困境,而领导那边给他压力也很大。如何才能杜绝以后发生类似事件呢?

  数据安全日趋重要

  随着信息化、网络化水平的不断提升,重要的数据信息越来越受到安全威胁,而大量的重要数据往往都存放在数据库系统中,如何保护数据库,有效防范信息泄漏和篡改成为一个重要的安全保障目标。

  近几年,信息泄露、信息篡改等信息安全问题屡见不鲜,所有存在数据的地方,只要数据是有价值的,存在风险,有人会去想法子窃取、篡改、贩卖,从中牟利:北京市教育考试院信息篡改事件、教育学籍信息泄漏事件、深圳孕妇信息的“泄密光盘”、车主股民信息泄露、福彩中奖信息篡改、“力拓门”事件,从个人隐私,到企业的商业秘密,甚至到政府的核心机密,都出现了不同程度的信息安全问题。

  这些案例都告诉我们,数据安全保护十分重要。由于目前大部分重要数据都是通过数据库系统来存储的,因此,数据库安全保护尤其重要。

  为了防范信息泄漏和篡改,我国去年颁布实施的《刑法》(七)修正案修订了第253条和285条,明确了信息泄漏及篡改将面临的刑事指控和量刑依据。其中,第253条指出“机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”

  在前不久,《南方都市报》报道了珠海的一起在《刑法修正案(七)》颁布后的首例侵犯个人信息安全刑事宣判。

  有了法律依据后,企事业单位更应该抓紧加固数据库系统,保护其安全,这既是对于防范攻击和违法犯罪的需要,也是尽责尽职的体现,是对法律的捍卫。

  此外,根据等级保护相关要求,《信息系统等级保护基本要求》中对于信息系统在主机和数据库安全方面明确要求进行安全审计,其中,第三级要求“审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。”

  防范措施

  那么,如何才能更加有效地保护数据库安全,防范信息泄漏和篡改呢?

  首先,需要加强对数据库的访问控制,明确数据库管理和使用职责分工,小化数据库帐号使用权限,防止权利滥用。同时,要加强口令管理,使用高强度口令,删除系统默认帐号口令等。

  其次,要对数据库及其核心业务系统进行安全加固,保护在系统边界部署防火墙、IDS/IPS、防病毒系统等,并及时地进行系统补丁检测、安全加固。