社保行业信息大量泄露 安华金和提出应对解决方案（二）

• 数据库文件采用明文存储，拷贝到数据文件后引起整体泄露

当前的主流数据库中，数据文件都是以明文形式进行存储的。内部人员或外部黑客入侵者很容易利用这一漏洞，拿到社保数据库的数据文件或备份文件，进行异地还原或使用专门的数据解析工具，获得全部社保信息。

近年，有诸多典型的泄密事件，都是通过直接利用文件层的存储漏洞窃取数据；例如小米论坛800万用户信息泄密是由于黑客进行刷库拿到数据文件、CSDN1000多万客户信息泄密，是由于备份磁盘被人拿到后利用。

数据篡改类的安全问题的分析如下：

（1） 非法高权限维护人员的违规篡改

在社保数据库系统维护过程中，有大量的维护人员账户，以及第三方人员使用的账户。为了使用方便，DBA在给这些账户分配权限时，往往简化处理，直接给予DBA角色的权限，或者能随时访问敏感社保信息的高权限角色。

掌握这些账户口令的人员，一旦出于经济利益或其他原因被人利用，便随时可以进行参保人员的工资、账户余额等经济数据信息的篡改。

（2） 利用合法维护人员的身份进行违规篡改

合法的维护人员由于工作需要，本来就应该具备修改工资、账户余额的权限。一旦这些人员被人利用，或者其他人掌握了合法维护人员的口令后，仍然可以任意进行敏感社保数据的篡改。

且现有的机制无法准确追踪到操作者具体是谁，只能知道使用哪个数据库账户进行了数据修改操作。

（3） 合法维护人员的误操作

合法维护人员由于种种原因，也有可能产生社保数据修改的误操作，导致修改结果不正确。

现有机制也无法准确审计到合法维护人员每次修改行为的详细过程，比如修改前的值，修改后的值等，一旦发生误操作可能无法还原及修正。

安华金和作为一家专业的数据库安全厂商，；在社保行业问题频频暴露的过程中，已经就其中问题与社保行业的用户和厂商进行过多次沟通，根据双方的共同讨论，形成了一些具体的解决方案，并在一些省市开始应用；如下是一个典型的地市的解决方案：