社保网社保新闻政策法规社保查询维权案例社保观点社保知识医疗保险生育保险养老保险工伤保险失业保险住房公积金办理指南社保问答社保计算器
当前位置:社保网首页 > 社保观点 >

IT168:社保行业信息数据泄密原因分析

 字体时间:2015-04-24来源:IT168 中国社保网编辑:社保网-蓝星
【导读】:本次泄密事件发生,多围绕社保系统、户籍查询系统、疾控中心、医院等高危漏洞引起,安华金和作为数据库安全防护的领先厂商在社保行业已积累成熟的客户经验,发现国内如补天漏洞库只是寥寥几字带过,乌云上检索了一下,还算比较丰富,有70余条漏洞记载。

一上午,被各种媒体平台曝出的社保行业泄密新闻充斥着大脑,波及范围已达全国三十余省,数千万社保用户信息或被泄露》。这在社保行业绝对是惊天大事。果不其然,据知情人士透露,社保行业用户已经开始联系安全厂商希望可以尽快获取问题成因和相应的解决方案。

本次泄密事件发生,多围绕社保系统、户籍查询系统、疾控中心、医院等高危漏洞引起,安华金和作为数据库安全防护的领先厂商在社保行业已积累成熟的客户经验,发现国内如补天漏洞库只是寥寥几字带过,乌云上检索了一下,还算比较丰富,有70余条漏洞记载。基于这次事件集中爆发,影响范围广,涉及用户多,安华金和安全专家为大家分析一下到底由哪些因素导致社保行业泄密。

安华金和技术专家集中搜集了乌云2015年社保行业泄密安全事件,并对案例进行了简单的分析,情况分类如下:

社保行业信息数据泄密原因分析

社保行业信息数据泄密原因分析

根据以上统计分析,80%以上的问题都是由于SQL注入引起的。以湖北多市发生SQL注入案例,安华金和重点分析如下:

该省的漏洞在2月份被连续两次曝出,相关的攻击方法都是使用的是sqlmap,采用的是简单的SQL注入攻击方法,如:

社保行业信息数据泄密原因分析

我们可以看到其中采用了9313=9313这样简单的手段,说明了该省对外的社保系统缺乏基本的防护。通过sqlmap的结果可以看到后台数据库为oracle,涉及的数据库有:

社保行业信息数据泄密原因分析

这些库当中:HBWZ应该是业务表,XDB、SCOTT、SYS、SYSMAN等都是系统库,实际上从安全的角度,类似于XDB、SCOTT等缺省安装时的库,若没有用可以卸载掉,否则都是安全风险点。

通过已经发生数据泄露的湖北各市数据库结构来看,判断应该是出自同一个开发商提供的系统;作为系统开发商,发生如此严重的泄密事件,需要反思,在软件系统的编程,以及系统的整体安全防护是否为用户尽到了安全责任?

同时作为公民信息拥有者的社保信息化相关机构更需要反思,在提供信息服务时,是否进行了一些基本的数据安全措施?是否对网络状况和数据库的状况,提前经过安全评估?正如微博大V段郎说事大胆点评:既然公民交付了全部个人信息,那么有关部门必须同时具备保护公民这些核心信息不被泄密的能力。

本文地址:http://www.spicezee.com/guandian/106691.html
为了社保知识的普及、信息的传播,中国社保网欢迎您转载分享。但请注明文章出处并保留完整链接。
【免责声明】文章采自网友投稿刊登及网络转载,本文仅代表作者本人观点,与本网站无关。本网站对文中陈述、观点判断保持中立,对文中内容的真实性和完整性不作任何保证或承诺,仅供读者参考交流。中国社保网是一个公益性质网站。文章版权永归原作者所有。如有异议,请联系我们
本文已帮助

最新刊登

1

赞助商链接

猜你喜欢

今日热点

补养老金缺口国资划转社保提速 划转方案

点击排行榜

  • 新闻
  • 观点
  • 政策
  • 案例
  • 知识
  • 办理
  1. 2016事业单位事假、休假、病假的有关政策规定
  2. 2017年上海最新社保缴费基数上下限一览表
  3. 国家医保局:全国跨省异地就医直接结算达93万人次
  4. 社保怎么补交?农村户口的要怎么补交社保费?
  5. 2017年已经到来:社保卡等新规你必须知道
  6. 内蒙古社保卡进度查询
  7. 2016公务员最新级别工资一览表
  8. 2015机关事业单位职业年金单位缴费比例
  9. 个人可以补缴社保吗?个人补缴社保流程
  10. 2016公务员病假最新规定

随机推荐