基于敏感数据的公共信息安全防御体系构建

侯文雷，陈 旭

（1.广西警察学院，广西 南宁 530029；2.中国电子科技集团公司第三十四研究所，广西 桂林 541004）

近年来，随着大数据、云计算的广泛应用，以及5G技术快速发展，我国智慧城市建设突飞猛进，政府各类公共资源服务平台整合了内外部信息以亿级为单位的数据量，庞大的规模、迅猛的增速以及多样的结构，为公共信息的管理和应用带来了巨大的挑战。同时，随着数据价值的持续升温，信息安全也面临前所未有的挑战，传统的基于业务安全构建的由外而内的层层防御策略逐渐失效，原先处于网络深处的数据库和数据直接裸露在公众面前，数据泄露和数据破坏时有发生[1]。

一、公共信息安全概述

信息化背景下，公共信息是政府机构必须掌握的重要战略资源，新形势下加强管理和服务，信息系统和信息通信是必要的手段，特别是与民生相关的公共信息，如户籍、电力、燃气、电信、交通等，给人民带来便利服务的同时，也带来一定的安全隐患，特别是敏感信息，一旦被不法分子窃取和利用，对人民的财产和生命安全，甚至对国家安全构成严重威胁。

（一）新形势下公共信息安全的特点

1.全方位、立体式的公民信息存储

政府公共机构掌握着公民最为完备的综合性信息，随着信息共享工作的推进，大数据技术的应用，公民信息已经形成全方位立体式的存储，如何来保证这些信息安全已经成为政府公共机构亟需考虑的问题。

2.信息共享联网形成的管理风险

从信息共享和方便管理的角度出发，政府机构建设推进了一系列跨地区、跨行业甚至全国性的大型网络。例如，公安系统建设了全国性的公安信息网，民政系统的婚姻登记系统全国联网，在带来便利的同时，也带来了信息安全的风险，只要可以访问这些大型网络中的一个节点，就可以访问公共网络中的任意节点[2]。

3.关乎社会稳定群体的信息更新

政法机构存储大量有关罪犯、吸毒者及在逃犯等受监视群体的信息，一旦被意外删除或者更改，这些受监视群体将从监控列表中消失，亦或正常人被更改为受监视群体而导致生活受到严重的影响。因此，确保重大敏感信息的变更合法性是政法机构信息安全的首要保证。

4.公共信息系统的建设运维外包模式

因为公共信息业务规模和数据规模过于庞大，以及制度和用人机制方面的原因，自身没有足够的信息技术人员和能力对信息系统进行建设运维，所以普遍采用外包运维公司来实现公共信息管理，即使制定了一系列的保密制度，但是外包公司仍然能够可接触所有数据，包括关乎国家社会稳定的在逃犯和罪犯数据以及全方位、立体式的公民个人信息等敏感信息。

（二）公共信息安全存在的问题

随着公共服务管理信息化水平不断提高，信息量的迅速扩充，广大人民群众对网络信息的依赖性不断增强，公共信息安全问题日益凸显。相较于西方发达国家，我国的信息化建设事业起步晚，但是发展迅速，前期建设存在重视技术忽视安全的问题。

一是在系统规划上，中间件与数据库同一网段，有可能利用中间件获取冲突域数据，或者利用中间件服务器作为跳板开展攻击。

二是数据库漏洞安全评估及补丁修复不够规范和及时，可能存在比较危险或容易利用的漏洞，不法分子可能利用业务系统和数据库漏洞，入侵数据库。

三是随着数据共享工作的推进，外区域的用户直接访问数据库，数据信息也定期往外区域输送，敏感信息的数据库授权访问管理亟需加强。

四是有些数据库的账户密码等信息没有及时更改，运维人员依旧保留，存在一定的安全隐患，外包公司离职员工账户密码没有及时注销，离职后仍可浏览敏感数据。此外，外包公司未经批准允许，存在擅自将数据共享给其他单位开展相关业务的风险。

五是政府公网信息安全问题应当引起重视，需要进一步加强公网范围内网络违规与异常行为的有效监测、精准定位、有效取证和快速处理。

二、公共信息安全防御体系构建原则

近年来，国家先后发布多次通知要求加强网络信息安全，深刻把握信息化发展大势，积极应对网络安全挑战，强化关键信息基础设施安全保护和数据安全管理，创新网络安全技术。为此，基于敏感信息保护的公共信息安全防御体系，主要有以下构建原则。

（一）构建主动式的防御体系

传统上，安全防御的主体为业务安全，保证业务连续性不被破坏和中断。由于业务的千变万化和复杂性，信息安全的防御机制必然是基于广谱防御和漏洞修复的被动式防御，由外而内建立层层防御的信息安全体系，强调边界防御和控制、敏感数据安全不同于业务安全，具有明确的防御主体和访问特征，基于这个特征，数据安全的防御机制必然是要求主动式防御，强调敏感数据保护和防御。

（二）构建由内而外的防御体系

在信息共享的新形势下，需要重新审视信息安全策略，围绕敏感数据安全，构建以敏感数据访问控制和核心机密保护为基础的信息安全保护防御体系。由内而外的逐层边界防御是传统信息安全防御的主要手段，而在数据安全时代由于保护目标的明确性，采用由内而外的敏感数据保护成为其必然的选择。

三、公共信息安全防御体系的构建

针对重要的数据库系统及信息网进行一系列的安全建设，保护其中重要的数据，需要考虑长期有效的运维。因此，需要根据数据库系统的特点，以敏感数据保护为核心，构建敏感数据主动性防御系统，由内而外层层防御（如图1所示）。

图1 敏感数据主动性防御系统体系

（一）完成基于敏感数据的数据库防水坝

从公共信息安全的实践以及政府机关实际情况出发，应当完成基于敏感数据的数据库安全管理，以敏感数据保护为基础平台，集成数据库准入系统，从数据库安全审计与数据安全防御全方位地完成数据库安全管理，包括管理任务和主要目标。

1.管理任务

敏感数据保护安全管理主要完成以下任务。

（1）数据库运维防水坝要有效地完成敏感数据的分级分类、危险性操作的定义、三权分立机制的实现和强制访问控制的实现。

（2）敏感数据和危险性操作都要在运维防水坝中加以管理，隔离运维人员和运维类应用对敏感数据的访问，降低危险性误操作事件的发生，并且快速恢复可能发生的误操作事件。

（3）运维开发类应用如何进入数据库以及如何访问敏感资产将完全受到控制，使运维操作的安全性大幅度增强，特别是隔离运维开发类应用接触敏感数据和危险性操作，使其一开始就具有强大的安全性保障。

（4）管好运维开发人员和入侵者的最后一道防线，运维开发人员不仅可以依附于运维开发类应用，而且可以通过USB Key，安全客户端等客户端信息来完整定义运维开发人员，使其运维安全性管理大幅度加强，特别是入侵者和黑客同样要遵循数据库准入和运维防水坝的约束，这是防止黑客入侵的最后一道防线。

2.主要目标

数据库敏感数据安全管理系统其主要目标是实现使用人员和开发人员的管理，包括运维人员和开发人员的正确识别，避免非运维人员利用运维工具访问，阻断入侵者和黑客通过运维路径进入数据库和访问敏感数据，主要完成以下目标。

（1）进行多因素身份管理，降低数据库账户密码泄露风险。多因素的身份管理，使密码仅仅成为身份的一个要素，即使泄露了也无法伪造身份，简单的数据库账户密码泄露不会造成数据库的安全风险。

（2）敏感数据分类分级和三权分立机制目标的实现。敏感数据安全管理需要建立敏感数据分类分级和三权分立的机制来实现，数据库运维防水坝不仅实现了敏感数据分类，而且实现了危险性操作集合的定义。

（3）隔离敏感数据，就是避免运维人员接触敏感数据。运维和开发人员从本质上不应该接触敏感数据，隔离敏感数据被运维人员接触，极大程度地降低运维安全风险的产生，保护运维人员。

（4）危险性操作防御和误操作快速恢复。运维操作往往在高度疲乏的环境中进行，很容易产生误操作。数据库运维安全就是通过防御危险性操作来降低甚至避免误操作的发生，并且可以在误操作发生之后执行快速的恢复。

（5）社交网络和互联网的发达使黑客较以前更容易进入到内部网络，而数据库运维安全管理则成为黑客入侵的最后一道防线，使其无法进入数据库或者无法接触敏感数据和危险性操作。

（二）数据库准入系统

数据库账户密码管理始终是数据库运维安全的最大风险之一，数据库账户密码的传播是大概率事件，而传统的复杂密码以及定期变更密码策略在实践中总是难以推行。数据库准入系统通过引入多因素身份验证，全面加强数据库准入安全。

1.多因素身份验证，充分保障数据库安全

实践已经证明了简单依赖账户和密码的数据库准入机制具有很大的安全风险，采用双因素或者多因素验证，仅允许合法的、可信任的用户或设备接入数据库是数据库准入控制的有效方式。

（1）多因素身份验证。通过对数据库账户、应用程序、主机名、IP地址、登陆时间、操作行为等相关信息等丰富的认证方式限定对数据库的准入，使数据库准入不再仅仅依赖于账户和密码，构建双因素或多因素数据库准入认证体系。

（2）U盾和证书精确识别到人。利用U盾和证书实现基于人员的数据库准入机制控制，并可以和其他多因素身份因子相互结合，构成复杂的身份验证，U盾和证书可以集成客户现有的CA证书，简化数据库准入管理。

（3）应用指纹防止应用假冒和应用注入。应用程序是访问数据库的必要媒介，也是恶意软件的主要目标。应用指纹确保应用程序的正确性，防止应用程序被假冒和应用程序被注入。

2.实时检测密码猜测和密码泄露，全面防御密码攻击

数据库密码策略使密码猜测和暴力破解成为数据库安全的主要风险之一，数据库准入系统实时检测密码猜测和密码破解，并及时告警。

（1）实时检测密码错误和锁定。对每次数据库登陆的密码错误行为进行检测，记录和警告，在超过密码错误尝试之后执行终端锁定。

（2）多因素身份验证阻断泄露密码登陆。缺省密码、彩虹表和暴力破解等技术手段以及数据库密码的先天保密不易总是使数据库账户密码广为传播。多因素身份验证可以阻止绝大部分利用泄露密码进入数据库的行为并进行实时告警。

（3）智能化的未知风险告警。对于首次或者长时间未进入数据库的相关身份特征进行风险告警，第一时间发现可能的数据库入侵行为。

3.基于风险的数据库准入分析报告

通过沉淀的海量数据库准入信息分析，发现潜在的数据库准入风险，配置更加适当的数据库准入策略。

（三）敏感数据访问审计监视

敏感数据访问的行为监视应当充分考虑，数据库行为审计系统是需要首先部署的系统，在部署数据库敏感数据管理系统和数据库准入系统之后再部署数据库行为审计系统，数据库行为审计系统的作用就会显得比较单一，其主要作用在于对来自于业务系统的数据库访问进行审计，并且对可能的来自于业务系统访问的攻击进行检测和告警[3]。从数据库行为审计的角度考虑，需要重点在以下领域进行关注。

1.精确审计

精确审计在于真正识别数据库访问的终端和人员信息，比如B/S三层结构下浏览器终端信息，通过Database link访问发起人信息等，甚至可以精确地识别到具体的内部人员或者运维外包人员，如通过USB Key或者CA证书来识别人员[4]。

2.全面审计

海量审计信息的管理对数据库行为审计来说是一个巨大的挑战，一个日常可用的数据库行为审计系统需要全面支持实时的告警。高效的搜索以及大量定制的报表等来保障安全应用。全面审计主要是需要审计入侵者或者其他人员可能发起的任何访问，如来自于数据库本地主机，来自于加密网络通道，甚至是来自于数据库内部的访问等。假如存在着一定的访问通道无法被审计，行为审计系统的价值将会受到严重威胁。

3.敏感数据审计系统说明

数据库安全审计是信息安全的基础防御手段，数据库安全审计不仅需要遵循各类制度法规（如SOX、PCI、等级保护等），还是公共机构自身降低运营风险的必要手段。通过数据库安全和数据安全实践认知，致力于数据库安全审计的日常化运营，以事件为中心，以精确审计和全面审计为基础，通过贯穿于安全事件处理生命周期的全面管理为手段构建数据库行为安全审计系统，全面降低安全风险。

4.全面管理

数据库安全审计产生海量的审计信息，如果缺乏有效管理，最终会成为一个日志记录设备而无法起到降低安全风险的作用。数据库安全审计系统通过对审计事件的全面分析，以强大的搜索引擎为技术保障，须提供贯穿安全审计事件的生命周期的全面管理手段，从安全事件生成到安全事件归档和销毁，全面管理主要包含以下内容。

（1）敏感数据分级分类和危险操作定义，可以帮助客户把敏感数据和危险操作从海量事件审计数据中分离出来，帮助客户聚焦在真正需要关注的安全事件之上。

（2）实时监视和个性化告警，及时发现可疑的高风险事件是数据库安全审计的第一步，系统主动的安全告警发布是其中不可缺少的环节。数据库安全告警聚焦在四个不同方面:告警的实时性、杜绝告警泛滥、订制需要的事件告警以及告警的个性化。特别是告警事件过多以及严重事件的漏报是当前大部分数据库审计系统存在的普遍性问题。

（3）安全事件（告警事件）分析。当收到告警事件之后，就需要对安全告警事件进行分析，须提供丰富的事件分析手段以帮助用户在采取行动之前进一步评估和确认该安全事件。

（4）事后安全事件搜索，告警不可能解决所有安全事件，有些安全事件在事后才会被发现，数据库安全审计系统须以强大的Solr搜索引擎为基础，提供简单搜索、扩展搜索和高级搜索等不同的搜索手段，在海量审计数据之上提供高效率的搜索。

（5）所见即所得的安全事件管理，安全事件不仅是基于历史，数据库安全审计系统虽然须提供智能化的未知威胁智能告警机制，但也不可能穷尽未来可能发生的安全事件，基于此考虑，系统须提供简单的基于安全事件的事件管理机制，通过简单的鼠标点击就可以纠正可能错误的安全配置。

（6）日常工作报表。这是数据库安全审计常规化的关键功能支持，数据库安全审计系统提供极为丰富的手段以支持用户日常性的安全工作任务。

（7）法规遵循和特定主题报表。各种不同类型的法规遵循是数据库安全审计系统的主要目标之一，数据库安全审计系统定制了各种法规遵循向导和报表，以方便用户完成法规遵循，系统内置的法规遵循主要包含：等级保护（二级和三级）、SOX、PCI、HIPAA、GLBA以及数据库安全最佳实践[5]。

（8）安全事件阅读性增强。在很多时候，安全审计记录的阅读者并不具备IT背景，技术视角的安全审计事件难以被理解，尤其是SQL语句是不具备IT背景的人员所能够理解的，为了方便阅读和理解，数据库安全审计系统须提供安全审计信息翻译引擎，转化成可以理解的业务术语，方便阅读。

（四）敏感数据安全管理中心

敏感数据安全管理中心是一个敏感数据保护的集成管理平台，集成可管理敏感数据保护的所有系统，通过安全管理中心，可集中统一管理配置和监视，响应各地数据库安全运行管理情况，全面掌控业务系统数据库的运行情况。

一是构建完整的敏感数据保护安全中心。敏感数据安全管理中心可集成管理数据库准入、数据库防水坝、数据库防火墙、数据库行为审计、数据脱敏和数据加密等组件，构建完整的敏感数据保护解决方案。

二是构建集成的敏感数据配置管理中心。提供敏感数据保护所有组件的统一配置和统一管理功能，集中管理不同的敏感数据保护系统和不同的保护对象。

三是构建统一的敏感数据安全事件监视和响应中心。所有的敏感数据保护安全事件集成存储，执行安全事件统一监视和响应。

四是开放性接入，融合其他安全平台。提供标准事件接口，其他安全平台可以通过标准事件接口融合到敏感数据安全管理中心统一管理。

四、结语

通过总结新形势下公共信息安全的特点，明确构建原则，以安全策略为指导，构建以敏感信息为核心的公共信息安全防御体系，覆盖物理、网络、系统直至数据和应用平台各个层面，以及保护、检测、响应、恢复等各个环节，可有效提升公共信息系统的防御能力，从而提高公共信息数据库及信息网络的整体安全等级，确保敏感数据信息的绝对安全，实现公共信息系统的安全管理和运行[6]。