陆彬彬

（江苏省统计局，江苏南京210008）



统计核心数据“安全加固”的实现

陆彬彬

（江苏省统计局，江苏南京210008）

摘要：江苏省统计联网直报系统是统计核心业务系统，系统所产生的数据是统计核心数据，如何保证核心数据的安全成为我们面对的重要问题。根据国家统计局和有关信息安全主管部门的要求，结合全省实际，运用技术和管理手段，建立了一套事前预防、事中控制和事后分析的数据安全保障体系，解决了数据库账号权限设置不当、数据库访问控制颗粒度较粗、责任认定和事件追溯困难等风险，有效地提高全省统计核心数据的安全性。

关键词：核心数据；安全风险；安全加固；

随着统计信息化建设的不断发展和深入，统计业务也已高度依赖信息化。江苏省统计联网直报平台自2012年建成运行至今，全省10万多家规模以上企业在联网直报平台上完成数据填报、审核和报送，全省各级统计机构业务人员也在联网直报平台上完成对数据的审核、查询、处理、汇总等各项工作，江苏省统计联网直报平台已然成为全省统计核心业务系统，平台所产生的数据成为统计核心数据。数据的集中意味着风险的集中，因此如何有效地保证统计核心业务数据的安全，保证数据的完整性、可用性和机密性，已成为我们必须面对的重要问题。为此，根据《全国统计联网直报系统建设技术方案》、《信息系统等级保护安全设计技术要求》以及国家统计局关于联网直报系统数据库安全建设和安全加固方面的要求，建立一套事前预防、事中控制、事后分析的安全保障体系实现对统计核心数据的安全加固，为全省统计事业发展保驾护航。

一、统计核心数据风险分析

江苏省统计系统已经完成省、市、县、乡镇四级联网，统计专网与互联网实现逻辑隔离，各级统计机构均有互联网接口，相当一部分统计机构还与当地电子政务网相连，网络结构复杂且管理分散，加之网络、主机、数据库以及业务系统自身存在着各种漏洞，因此依托统计专网运行、面向互联网提供服务的以联网直报系统为代表的重要业务系统以及重要业务数据面临着严峻的安全风险。

（一）数据库管理账号权限设置不当

数据库管理未建立三权分立管理手段，未实现管理用户权限的最小化，系统管理员权限过大，统计工作人员可以通过前端应用程序访问数据库，软件开发工程师可以直接绕过应用程序，直接对后台数据库进行操作，这些对核心数据库的操作往往直接使用最高权限账号，极有可能由于误操作、恶意操作造成数据被删除或篡改。同时，数据库管理账号权限设置不当也导致了管理用户身份标识易被冒用的风险，存在较大的风险。

（二）数据库访问控制颗粒度较粗

在日常工作中，为了系统部署和操作维护的便利性，数据库访问控制策略未细化到具体IP地址和端口，数据库管理颗粒度较粗，信任和非信任区域的设备都可以直接或使用数据库开发工具连接至后台数据库进行操作。非法用户使用网络嗅探、密码爆破等方式取得口令或权限后，很容易对数据库进行非法操作。同时，数据库也存在针对用户访问资源的策略也不够细化、存在默认账户、多余账户、共享账户等风险，这些风险一旦被恶意利用，造成的损失不可估量。

（三）责任认定和事件追溯困难

随着统计联网直报平台业务量的不断增加，单位内部专业人员、软件开发维护人员均需要频繁访问操作数据库，甚至从国家统计局通过统计内网或从互联网通过VPN远程对后台数据库进行操作，倘若发生未预期的删除、修改、覆盖甚至恶意操作造成数据的损失，由于缺乏行之有效的行为审计和追溯机制，难以对事件进行责任认定和事件追溯。

二、统计核心数据加固实现

根据《信息系统等级保护安全设计技术要求》中数据库安全方面的要求，以保障统计核心数据为根本任务，综合利用多种安全技术和措施，建立一套事前预防、事中控制、事后分析的安全防护体系，从而有效保障江苏省统计核心业务系统和数据的安全。

（一）事前预防

基于角色的访问控制RBAC（Role-Based Access control）作为一种安全模型，从角色分配、角色权限分配和角色继承分配三方面约束数据库管理员的权限，赋予数据库用户完成任务所需的最小权限，该模型采用角色分配方法，简化用户管理，减少授权复杂性，降低了管理的难度。因此，江苏省根据这一安全模型将数据库管理员角色分解为DBA、安全管理员和安全审计员，DBA负责数据库的日常操作维护，安全管理员负责用户权限的分配，安全审计员根据数据库日志和安全审计设备负责事后的安全审计，满足了最小权限原则，DBA、安全管理员和安全审计员三员分权而又互相制约。同时全省还专门制定了数据库安全岗位设置办法及工作职责，从管理制度上对数据库三员分权分立管理加以保障；二是通过应用和数据库漏洞扫描软件定期对重要信息系统进行扫描，通过扫描软件检查系统是否存在SQL注入、跨站脚本、信息泄露以及数据库不安全配置等问题，发现安全漏洞并及时整改，持续监控数据库安全状况；三是通过数据备份守好数据的最后一道防线，为了更高的恢复点目标（RPO）和更短的恢复时间目标（RTO），综合考虑备份方案的可行性和经济性，江苏使用赛门铁克NBU备份软件配合磁带库搭建了持续数据保护的平台，无论是网络节点、应用服务器还是数据库服务器也均实现了双机运行，通过多种手段保证数据安全。

（二）事中控制

《信息系统安全等级保护基本要求》中根据信息系统的重要程度、业务特点从业务特点和安全需求将信息系统划分为不同的安全域，实现不同强度的安全保护，从而控制和降低系统面临的风险。因此全省根据等级保护中安全域划分原则，将联网直报系统根据功能和安全等级划分为DMZ安全域、业务应用安全区、核心数据库安全区等区域，安全域之间通过网络防火墙相互隔离并配置严格的访问控制策略，只有信任的IP地址才能通过监听器访问数据库，非信任的访问请求将被拒绝，做到“系统进不来，数据拿不走”。其次针对数据运维过程缺乏集中管理、身份管理、访问控制等问题，在网络环境中部署运维堡垒主机，通过对访问资源的严格控制，确保操作者在其账号有效权限和期限内合法访问操作资源，降低操作风险；通过对操作进行集中统一管理，解决了数据库运维管理分散、无序的问题；通过账号和权限的精细化设置解决了操作者身份唯一的问题。实现单位内部人员和软件开发人员的操作过程全面跟踪、控制、记录、回放，做到细粒度访问控制，有效控制并降低数据库操作风险。

（三）事后分析

数据库安全审计系统能够实时监控并记录对数据库服务器的各种操作，通过对网络数据的分析，实时地、智能地解析对数据库服务器的操作，记录审计数据库以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作监控和审计。因此全省结合实际情况，在不影响统计核心业务系统的正常运行，不改变网络架构的前提下，通过在核心交换机上设置镜像端口旁路监听的方式部署数据库安全审计系统，对所有对数据库的操作进行记录、还原和分析，可以发现“是谁改变了数据”和“这些数据是什么时候被改变的”等问题，在不改变数据库系统现有设置的情况下实现对数据库的在线监控。

三、结语

统计核心安全加固通过建立事前预防、事中控制、事后分析的安全防护体系，有效地减少了统计核心数据资产破坏和泄露的风险，形成追溯溯源机制便于事后分析和界定责任，同时通过安全加固也满足了国家统计局和有关安全主管部门的合规性要求。“三分技术七分管理”是信息安全领域的一句至理名言，虽然可以从技术上对数据进行安全加固，安全管理机制的完善、信息安全意识的提高对于数据安全也同样至关重要，统计核心数据安全保障之路任重而道远。

（责任编辑：高萍萍）