一上午��,被各種媒體平臺(tái)曝出的社保行業(yè)泄密新聞充斥著大腦�����,波及范圍已達(dá)全國(guó)三十余省�,數(shù)千萬社保用戶信息或被泄露》����。這在社保行業(yè)絕對(duì)是驚天大事。果不其然�����,據(jù)知情人士透露�����,社保行業(yè)用戶已經(jīng)開始聯(lián)系安全廠商希望可以盡快獲取問題成因和相應(yīng)的解決方案。
成都創(chuàng)新互聯(lián)長(zhǎng)期為成百上千客戶提供的網(wǎng)站建設(shè)服務(wù)���,團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年����,關(guān)注不同地域�、不同群體,并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)���;打造開放共贏平臺(tái)����,與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境���。為同仁企業(yè)提供專業(yè)的成都網(wǎng)站設(shè)計(jì)��、做網(wǎng)站�����,同仁網(wǎng)站改版等技術(shù)服務(wù)���。擁有十載豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。
本次泄密事件發(fā)生�����,多圍繞社保系統(tǒng)�����、戶籍查詢系統(tǒng)���、疾控中心���、醫(yī)院等高危漏洞引起,安華金和作為數(shù)據(jù)庫(kù)安全防護(hù)的領(lǐng)先廠商在社保行業(yè)已積累成熟的客戶經(jīng)驗(yàn)�,發(fā)現(xiàn)國(guó)內(nèi)如補(bǔ)天漏洞庫(kù)只是寥寥幾字帶過,烏云上檢索了一下����,還算比較豐富,有70余條漏洞記載����?���;谶@次事件集中爆發(fā)���,影響范圍廣�����,涉及用戶多��,安華金和安全專家為大家分析一下到底由哪些因素導(dǎo)致社保行業(yè)泄密��。
安華金和技術(shù)專家集中搜集了烏云2015年社保行業(yè)泄密安全事件�����,并對(duì)案例進(jìn)行了簡(jiǎn)單的分析�,情況分類如下:
根據(jù)以上統(tǒng)計(jì)分析�����,80%以上的問題都是由于SQL注入引起的�����。以湖北多市發(fā)生SQL注入案例,安華金和重點(diǎn)分析如下:
該省的漏洞在2月份被連續(xù)兩次曝出���,相關(guān)的攻擊方法都是使用的是sqlmap,采用的是簡(jiǎn)單的SQL注入攻擊方法�,如:
我們可以看到其中采用了9313=9313這樣簡(jiǎn)單的手段,說明了該省對(duì)外的社保系統(tǒng)缺乏基本的防護(hù)�。通過sqlmap的結(jié)果可以看到后臺(tái)數(shù)據(jù)庫(kù)為oracle,涉及的數(shù)據(jù)庫(kù)有:
這些庫(kù)當(dāng)中:HBWZ應(yīng)該是業(yè)務(wù)表����,XDB、SCOTT��、SYS����、SYSMAN等都是系統(tǒng)庫(kù),實(shí)際上從安全的角度�,類似于XDB、SCOTT等缺省安裝時(shí)的庫(kù)��,若沒有用可以卸載掉��,否則都是安全風(fēng)險(xiǎn)點(diǎn)�。
通過已經(jīng)發(fā)生數(shù)據(jù)泄露的湖北各市數(shù)據(jù)庫(kù)結(jié)構(gòu)來看�����,判斷應(yīng)該是出自同一個(gè)開發(fā)商提供的系統(tǒng)��;作為系統(tǒng)開發(fā)商���,發(fā)生如此嚴(yán)重的泄密事件,需要反思��,在軟件系統(tǒng)的編程��,以及系統(tǒng)的整體安全防護(hù)是否為用戶盡到了安全責(zé)任�?
同時(shí)作為公民信息擁有者的社保信息化相關(guān)機(jī)構(gòu)更需要反思,在提供信息服務(wù)時(shí)���,是否進(jìn)行了一些基本的數(shù)據(jù)安全措施�����?是否對(duì)網(wǎng)絡(luò)狀況和數(shù)據(jù)庫(kù)的狀況�,提前經(jīng)過安全評(píng)估�?正如微博大V段郎說事大膽點(diǎn)評(píng):既然公民交付了全部個(gè)人信息,那么有關(guān)部門必須同時(shí)具備保護(hù)公民這些核心信息不被泄密的能力。
當(dāng)前文章:安華金和:社保行業(yè)信息泄密原因分析
文章出自:
http://uogjgqi.cn/article/codjcpo.html
