保障入口与访问者的数据安全

2018年高考前夕，铺天盖地的是考生和考生家长的紧张，在这看得见的紧张的背后，看不见的是相关教育部门开展的完善的安全督查，各地自查、督查组抽查，力求为全国考生营造公平公正的安全考试环境。其中网络信息安全的检查是之中重要环节之一。考生和考生家长随着考试结束而解放，考生信息安全保护却还在继续，甚至检查更为严格。网络信息安全检查的重点是：计算机系统和数据安全防护以及其他相关安全保障措施落实情况，目的是严防考生信息泄露。

距离网络安全法发布已经一年了，网络安全法第四十条、四十二条第二款明确规定了网络运营者对个人信息或者说用户信息有保密、保证信息不被泄露、毁损与丢失的责任。但近一年来，虽然用户信息保护制度一直在健全完善中，但数据泄露事件依然不时地发生。

高考已经过去，但是对考生信息的保护却丝毫不能放松，个人信息安全保护容不得半点松懈。对目前个人信息泄露的案例进行分析，数据库中的信息泄露大多是外部人员或内部人员窃取所致。

针对这两种情况，其实等级保护安全设计已经给出了考虑，我们需要做的是严格按照等级保护安全设计要求运行与维护。

观察网络安全法实施一年来的变化，可以发现，各单位都主动或被动的进行了等级保护测评，并去公安部门进行了备案，但被公安机关、单位、管理人员和大众普遍忽略的一点是：备案仅仅是开始，还远远没有结束，也永远不会结束。在此基础上的持续整改、安全运行与维护才是根本。

跟踪等级保护测评过程，各单位普遍存在这样的情况：等级保护中一些重要的、有意义的安全设计，网络管理人员为了自身维护管理方便直接弃之不用。

本文就从最典型的入口与访问者角度，谈一下现存较为普遍的、保障数据安全必须要更改完善的几个问题，并针对对应问题给出修正建议与解决方案。

访问者管理

1.用户身份与权限管理

以最明显也是最普遍的是对交换机的访问为例来说明，特别是对核心交换机的访问。

一般而言，管理交换机的用户有几类：正式的网络运维人员、厂商的驻场或远程技术支持人员、临时的操作人员。按等级保护制度的要求，不同的用户（而不是不同类）登录关键设备，应该是不同账号对应不同权限、访问者只拥有必要的权限。

但在实际的管理中，所有人员都使用admin账号的现象非常普遍，权限毫无疑问是最高的管理员权限，可以进行任何操作，这种对账号、权限不进行任何区分的方式对数据的保护无疑是非常不利的。

针对这个问题，大连理工大学的方案还是值得借鉴的，比如厂商的所有操作都只能在确定的某一台机器上进行操作修改，对该机器进行完全监控：录屏、操作记录存档、操作者出入进行视频录像等，不仅可以保证关键设备的操作有据可查、无法抵赖，而且在一定程度上可以威慑意图窃取信息的访问者。

但上面的方法只对外部窃取人员有用。内部人员都是在单位内部计算机上直接远程登录并进行操作，执行类似上述录屏、视频录像等安全措施明显是不合适也做不到的。

因此，对内部人员的防范还是要针对每个运维人员区分账号、密码和权限，这才是根本。

2.密码管理

依然用对交换机访问的例子，以一个普通院校为例，交换机台数动辄几十上百甚至上千。为每一个交换机配置不同的用户名、密码的管理难度可想而知；对于网络运维人员，每日登录交换机的次数多、操作频繁，每次都要过几次认证才能进行操作，无疑是一种工作负担。于是无密码登录、弱口令登录、单因素认证等的普遍存在也就不难理解了。

实际上根据等保要求，不仅要求是强口令，而且对密码的更改期限也有一定限制，比如根据设备重要性程度不同，强制要求一个月更改一次密码，三个月或者半年密码不允许重复等。

最近频繁出现邮箱平台用户密码泄露事件，广大管理人员应从安全事件中汲取教训：关键设备复用密码、密码组合规律性太强或者更换频率较低等都是极其危险的，必须养成定期修改密码、坚决不复用密码的安全习惯。

同理，面对庞大的服务器群、海量的软件系统，远程登录服务器的方式包括用户名、密码、无操作时限等各方面也存在同样问题。

访问途径管理

对于结构化数据与部分非结构化数据，数据库是他们最终的存放地，因此数据库的重要性不言而喻。要获取数据只有两个途径：直接访问数据库，经由软件系统访问数据库。不论哪种方式，终点都是对数据库的访问。

经由软件系统访问数据库的方式，除了对系统用户名密码的分配外，还需要特别关注权限。曾经某地政府部门网站发生越权漏洞，任何访问者登录该网站注册任意账号后可以给任意角色分配权限，成为“管理员”，并可以对系统的个人信息数据进行查看与篡改，该漏洞被攻击者利用，造成了非常恶劣的影响。

实际上这种问题只要通过进行一般的测试就可以避免，软件系统上线前对访问者的权限测试是必须的也是基本的。

直接访问数据库是指直接登录到服务器上打开DBMS，这是极其危险的操作，而这部分恰恰是管理人员经常忽略的危险区。

一般而言一个软件诞生与成长的流程是这样的：单位购买软件系统与服务器，提供软件系统所需的原始数据，然后全权委托厂商或代理商去安装部署，最后交付给单位的是系统登录用户名与密码，软件操作与功能说明文档。而很少告知关于数据库、日志等部署或维护细节。根本原因当然是单位并不关心这些“关键的”细节，甚至都不清楚数据库与日志的存在。对单位而言，他更关心的是软件的使用说明文档与项目验收与通过与否；对部署工程师而言，数据库是属于“后台”，用户只需要知道如何使用系统即可，不用关心“后台”的部署。

这种现状产生的另一个重要原因是购买的软件系统一般是有维保期的，在维保期内系统发生任何问题都是由厂商或代理商的工程师去处理，比如当初部署软件的工程师。在这种情况下，为了后期维护方便，部署工程师不为数据库设置密码或者使用通用用户名与密码也就不难理解了。

然而，从系统安全角度来讲，数据库作为数据的仓库，是最后一道防线，应该引起足够的重视，对它进行任何程度的保护都不为过。正确的做法应该是根据不同的用户级，访问权限与操作权限包括创建、读、写、修改、删除等，细化到表级，甚至细化到记录或者字段级。

设立数据保护官

随着东航任命公司总法律顾问为公司“数据保护官”的“创举”，个人信息安全的保护措施被提到新的高度。实际上“数据保护官”并不是一个新的概念，网络安全法第二十一条、第三十四条明确规定要设置专门安全管理机构和安全管理负责人。在等保测评管理部分的安全管理机构中“人员配备”明确要求应配备专职安全管理员，不可兼任。

不管是访问者管理还是访问途径管理，要保证入口与访问者这一关的绝对安全，“数据保护官”的设立是必须的。因为这是一个持久而弥新的过程，需要专人专责，持续的不间断的运行维护，否则就是一句空话。

不论是大量的网络交换设备、服务设备、软件系统，或者是同等甚至翻倍数量级的数据库，即使单单从入口与访问者这冰山一角考量，需要涉及的人员类别与细化、权限等级与分配、密码更新与保存等工作量就不是简单轻松的管理二字可以概括的。

结语

网络安全法的亮点之一是将数据安全写入法律，关于个人信息保护，很多公司与单位都从技术角度进行检测、防御，这样在很大程度上让管理员误认为保障数据安全只是技术公司的事情。

鲜有文献从管理者角度剖析，如何对入口与访问者把关。诚然，目前有非常多的技术手段可以帮助我们提高数据的安全行与系统的健壮性，有越来越完善的法律法规监督单位完善安全设施。但“三分技术、七分管理”，再先进的技术没有管理人员的有效使用与也是枉然。

本文正是从这个角度出发，探讨如何通过加强入口与访问者管理为数据安全增加一道屏障。