一上午，被各種媒體平臺曝出的社保行業(yè)泄密新聞充斥著大腦，波及范圍已達(dá)全國三十余省，數(shù)千萬社保用戶信息或被泄露》。這在社保行業(yè)絕對是驚天大事。果不其然，據(jù)知情人士透露，社保行業(yè)用戶已經(jīng)開始聯(lián)系安全廠商希望可以盡快獲取問題成因和相應(yīng)的解決方案。

本次泄密事件發(fā)生，多圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等高危漏洞引起，安華金和作為數(shù)據(jù)庫安全防護(hù)的領(lǐng)先廠商在社保行業(yè)已積累成熟的客戶經(jīng)驗(yàn)，發(fā)現(xiàn)國內(nèi)如補(bǔ)天漏洞庫只是寥寥幾字帶過，烏云上檢索了一下，還算比較豐富，有70余條漏洞記載。基于這次事件集中爆發(fā)，影響范圍廣，涉及用戶多，安華金和安全專家為大家分析一下到底由哪些因素導(dǎo)致社保行業(yè)泄密。

安華金和技術(shù)專家集中搜集了烏云2015年社保行業(yè)泄密安全事件，并對案例進(jìn)行了簡單的分析，情況分類如下：

根據(jù)以上統(tǒng)計分析，80%以上的問題都是由于SQL注入引起的。以湖北多市發(fā)生SQL注入案例，安華金和重點(diǎn)分析如下：

該省的漏洞在2月份被連續(xù)兩次曝出，相關(guān)的攻擊方法都是使用的是sqlmap，采用的是簡單的SQL注入攻擊方法，如：

我們可以看到其中采用了9313=9313這樣簡單的手段，說明了該省對外的社保系統(tǒng)缺乏基本的防護(hù)。通過sqlmap的結(jié)果可以看到后臺數(shù)據(jù)庫為oracle，涉及的數(shù)據(jù)庫有：

這些庫當(dāng)中：HBWZ應(yīng)該是業(yè)務(wù)表，XDB、SCOTT、SYS、SYSMAN等都是系統(tǒng)庫，實(shí)際上從安全的角度，類似于XDB、SCOTT等缺省安裝時的庫，若沒有用可以卸載掉，否則都是安全風(fēng)險點(diǎn)。

通過已經(jīng)發(fā)生數(shù)據(jù)泄露的湖北各市數(shù)據(jù)庫結(jié)構(gòu)來看，判斷應(yīng)該是出自同一個開發(fā)商提供的系統(tǒng)；作為系統(tǒng)開發(fā)商，發(fā)生如此嚴(yán)重的泄密事件，需要反思，在軟件系統(tǒng)的編程，以及系統(tǒng)的整體安全防護(hù)是否為用戶盡到了安全責(zé)任？

同時作為公民信息擁有者的社保信息化相關(guān)機(jī)構(gòu)更需要反思，在提供信息服務(wù)時，是否進(jìn)行了一些基本的數(shù)據(jù)安全措施？是否對網(wǎng)絡(luò)狀況和數(shù)據(jù)庫的狀況，提前經(jīng)過安全評估？正如微博大V段郎說事大膽點(diǎn)評：既然公民交付了全部個人信息，那么有關(guān)部門必須同時具備保護(hù)公民這些核心信息不被泄密的能力。