雖然基于安全性的考慮，電子政務(wù)系統(tǒng)實(shí)行政務(wù)外網(wǎng)、政務(wù)專網(wǎng)、政務(wù)內(nèi)網(wǎng)的三網(wǎng)并立模式，但通過(guò)對(duì)系統(tǒng)安全性能的研究，安華金和發(fā)現(xiàn)：當(dāng)前電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)中的涉密數(shù)據(jù)集中存儲(chǔ)在數(shù)據(jù)庫(kù)中，即使是與互聯(lián)網(wǎng)物理隔離的政務(wù)內(nèi)網(wǎng)，一系列來(lái)自數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)部的安全風(fēng)險(xiǎn)成為政府機(jī)構(gòu)難以言說(shuō)的痛。

風(fēng)險(xiǎn)一、數(shù)據(jù)庫(kù)管理員越權(quán)操作：

數(shù)據(jù)庫(kù)管理員操作權(quán)限雖低，但在數(shù)據(jù)庫(kù)維護(hù)中可以看到全部數(shù)據(jù)，這造成安全權(quán)限與實(shí)際數(shù)據(jù)訪問(wèn)能力的脫軌，數(shù)據(jù)庫(kù)運(yùn)維過(guò)程中批量查詢敏感信息，高危操作、誤操作等行為均無(wú)法控制，內(nèi)部泄露風(fēng)險(xiǎn)加劇。

風(fēng)險(xiǎn)二、數(shù)據(jù)庫(kù)漏洞攻擊：

由于性能和穩(wěn)定性的要求，政務(wù)內(nèi)網(wǎng)多數(shù)使用國(guó)際主流數(shù)據(jù)庫(kù)，但其本身存在的后門程序使數(shù)據(jù)存儲(chǔ)環(huán)境危機(jī)四伏，而使用國(guó)產(chǎn)數(shù)據(jù)庫(kù)同樣需要擔(dān)心黑客利用數(shù)據(jù)庫(kù)漏洞發(fā)起攻擊。

風(fēng)險(xiǎn)三、來(lái)自SQL注入的威脅：

SQL注入始終是網(wǎng)站安全的頑疾，烏云、補(bǔ)天、安華等平臺(tái)爆出的數(shù)據(jù)漏洞絕大多數(shù)與SQL注入攻擊有關(guān)，內(nèi)外網(wǎng)技術(shù)架構(gòu)相同，隨著政務(wù)內(nèi)網(wǎng)的互聯(lián)互通，SQL注入攻擊構(gòu)成政務(wù)內(nèi)網(wǎng)的嚴(yán)重威脅。

風(fēng)險(xiǎn)四、弱口令：

由于賬戶口令在數(shù)據(jù)庫(kù)中加密存儲(chǔ)，DBA也無(wú)法確定哪些是弱口令，某國(guó)產(chǎn)數(shù)據(jù)庫(kù)8位及以下就可以快速破解，口令安全配置低，有行業(yè)內(nèi)部共知的弱口令，導(dǎo)致政務(wù)內(nèi)網(wǎng)安全檢查中發(fā)現(xiàn)大量弱口令和空口令情況，弱口令有被違規(guī)冒用的危害，即使審計(jì)到記錄也失效。

傳統(tǒng)的信息安全解決方案主要是通過(guò)網(wǎng)絡(luò)傳輸通道加密、PKI或增強(qiáng)身份認(rèn)證、防火墻、IPS、堡壘機(jī)等技術(shù)形成應(yīng)對(duì)策略，但對(duì)于核心數(shù)據(jù)庫(kù)的防護(hù)欠缺針對(duì)有效的防護(hù)措施。

電子政務(wù)系統(tǒng)的數(shù)據(jù)安全防護(hù)，在業(yè)務(wù)驅(qū)動(dòng)的同時(shí)，保障政策要求同樣重要，在此前提下，國(guó)家保密局于2007年發(fā)布并實(shí)施分級(jí)保護(hù)保密要求：

特別是對(duì)于系統(tǒng)中數(shù)據(jù)的保密，要求中明確指出：對(duì)于機(jī)密級(jí)以上的系統(tǒng)要從運(yùn)行管理三權(quán)分立、身份鑒別、訪問(wèn)控制、安全審計(jì)等方面進(jìn)行一系列的技術(shù)和測(cè)評(píng)要求，具體涉及以下三方面：

一、 訪問(wèn)審計(jì)：

1、審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)數(shù)據(jù)庫(kù)用戶

2、審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等

3、應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表

4、應(yīng)保護(hù)審計(jì)進(jìn)程避免受到未預(yù)期的中斷

5、應(yīng)保護(hù)審計(jì)記錄避免受到未預(yù)期的刪除、修改或覆蓋等

6、審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件

二、主動(dòng)預(yù)防

1、通過(guò)三權(quán)分立，獨(dú)立權(quán)控限制管理員對(duì)敏感數(shù)據(jù)訪問(wèn)。

2、應(yīng)針對(duì)SQL注入攻擊特征有效防護(hù)

3、應(yīng)檢測(cè)對(duì)數(shù)據(jù)庫(kù)進(jìn)行漏洞攻擊的行為，能夠記錄入侵的源IP、攻擊的類型，并在發(fā)生嚴(yán)重入侵事件時(shí)主動(dòng)防御

4、 定期通過(guò)數(shù)據(jù)庫(kù)漏洞掃描按行業(yè)特點(diǎn)檢查弱口令，修改口令嘗試配置

三、敏感數(shù)據(jù)管理

1、生產(chǎn)數(shù)據(jù)不離生產(chǎn)系統(tǒng)，管控敏感數(shù)據(jù)至開(kāi)放環(huán)境的發(fā)布渠道，防止生產(chǎn)數(shù)據(jù)中敏感信息的泄漏，保障數(shù)據(jù)安全，規(guī)避數(shù)據(jù)風(fēng)險(xiǎn)；

2、對(duì)數(shù)據(jù)庫(kù)中的涉密敏感字段進(jìn)行數(shù)據(jù)防護(hù)，并采取強(qiáng)制訪問(wèn)控制措施。

電子政務(wù)內(nèi)網(wǎng)作為涉密信息系統(tǒng)，一旦遭到數(shù)據(jù)泄露，將可能對(duì)公眾隱私甚至國(guó)家安全構(gòu)成威脅。4月28日，第三屆首都網(wǎng)絡(luò)安全日活動(dòng)中，特設(shè)“電子政務(wù)安全應(yīng)用論壇”，屆時(shí)，安華金和作為唯一的數(shù)據(jù)庫(kù)安全企業(yè)受邀演講，針對(duì)電子政府內(nèi)網(wǎng)系統(tǒng)安全問(wèn)題及政策要求進(jìn)行分析，并提出電子政務(wù)內(nèi)網(wǎng)數(shù)據(jù)庫(kù)安全解決方案，在電子政府系統(tǒng)數(shù)據(jù)庫(kù)中已有的安全配置基礎(chǔ)上，引入可信的訪問(wèn)控制機(jī)制，同時(shí)可確保不影響系統(tǒng)正常使用，顯著提升內(nèi)網(wǎng)數(shù)據(jù)保密性。