社保行业信息大量泄露 安华金和提出应对解决方案（一）

针对今日全网大规模报道的全国30省市社保用户信息泄露事件，安华金和对乌云历史报道的社保行业相关漏洞进行集中分析，得出的结论为：大量的信息泄露主要由软件中存在的SQL注入漏洞引起，而且由外部黑客入侵引起。

实际上根据安华金和对社保行业的掌握情况，不仅仅是外部黑客，同时社保内部的运维人员、第三方的开发人员、甚至社保系统的业务人员都可以通过直连到数据库，查看或修改相关信息，从而引起社保数据的批量泄露或篡改。

这些问题的解决需要一个系统化的方法，包括管理制度上的改善、安全意识的增强、更严谨的应用代码、更为安全的网络体系结构；但从专业的数据库安全厂商角度来看，社保的数据库安全本身就存在极大的漏洞，特别是社保信息在提供外网访问时，更是容易被拖库。

数据泄露类的安全问题的分析如下：

• 外部黑客攻击者进行社保信息窃取

黑客攻击者一般有两种手段进行数据的窃取：

一是入侵到网络后，能够直接访问数据库服务器，进行刷库直接拷贝数据文件，再进行异地的数据还原。

二是利用应用系统的漏洞，通过sql注入，完成对社保人员信息的批量下载，这种方式是当前暴漏出来的案例中的主要方式。

• 系统维护或第三方开发人员权限过高

负责数据库的维护管理，直接掌握数据库DBA用户的口令。DBA 既负责各项系统维护管理工作，又可以随时查询数据库中的一切敏感信息；这些人员被他人利用，完全可以随时登陆数据库，任意进行社保信息的访问。

而社保系统的第三方开发人员，由于对系统的熟悉度更高，往往可以通过程序中的后门程序或直接访问数据库的机会获得数据。

陕西移动1300万的数据泄露，就是开发方人员联创的人员种植的后门程序，引起的信息泄露。