雖然基于安全性的考慮，電子政務系統實行政務外網、政務專網、政務內網的三網并立模式，但通過對系統安全性能的研究，安華金和發現：當前電子政務內網信息系統中的涉密數據集中存儲在數據庫中，即使是與互聯網物理隔離的政務內網，一系列來自數據庫系統內部的安全風險成為政府機構難以言說的痛。

風險一、數據庫管理員越權操作：

數據庫管理員操作權限雖低，但在數據庫維護中可以看到全部數據，這造成安全權限與實際數據訪問能力的脫軌，數據庫運維過程中批量查詢敏感信息，高危操作、誤操作等行為均無法控制，內部泄露風險加劇。

風險二、數據庫漏洞攻擊：

由于性能和穩定性的要求，政務內網多數使用國際主流數據庫，但其本身存在的后門程序使數據存儲環境危機四伏，而使用國產數據庫同樣需要擔心黑客利用數據庫漏洞發起攻擊。

風險三、來自SQL注入的威脅：

SQL注入始終是網站安全的頑疾，烏云、補天、安華等平臺爆出的數據漏洞絕大多數與SQL注入攻擊有關，內外網技術架構相同，隨著政務內網的互聯互通，SQL注入攻擊構成政務內網的嚴重威脅。

風險四、弱口令：

由于賬戶口令在數據庫中加密存儲，DBA也無法確定哪些是弱口令，某國產數據庫8位及以下就可以快速破解，口令安全配置低，有行業內部共知的弱口令，導致政務內網安全檢查中發現大量弱口令和空口令情況，弱口令有被違規冒用的危害，即使審計到記錄也失效。

傳統的信息安全解決方案主要是通過網絡傳輸通道加密、PKI或增強身份認證、防火墻、IPS、堡壘機等技術形成應對策略，但對于核心數據庫的防護欠缺針對有效的防護措施。

電子政務系統的數據安全防護，在業務驅動的同時，保障政策要求同樣重要，在此前提下，國家保密局于2007年發布并實施分級保護保密要求：

特別是對于系統中數據的保密，要求中明確指出：對于機密級以上的系統要從運行管理三權分立、身份鑒別、訪問控制、安全審計等方面進行一系列的技術和測評要求，具體涉及以下三方面：

一、 訪問審計：

1、審計范圍應覆蓋到服務器和重要客戶端上的每個數據庫用戶

2、審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等

3、應能夠根據記錄數據進行分析，并生成審計報表

4、應保護審計進程避免受到未預期的中斷

5、應保護審計記錄避免受到未預期的刪除、修改或覆蓋等

6、審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件

二、主動預防

1、通過三權分立，獨立權控限制管理員對敏感數據訪問。

2、應針對SQL注入攻擊特征有效防護

3、應檢測對數據庫進行漏洞攻擊的行為，能夠記錄入侵的源IP、攻擊的類型，并在發生嚴重入侵事件時主動防御

4、 定期通過數據庫漏洞掃描按行業特點檢查弱口令，修改口令嘗試配置

三、敏感數據管理

1、生產數據不離生產系統，管控敏感數據至開放環境的發布渠道，防止生產數據中敏感信息的泄漏，保障數據安全，規避數據風險；

2、對數據庫中的涉密敏感字段進行數據防護，并采取強制訪問控制措施。

電子政務內網作為涉密信息系統，一旦遭到數據泄露，將可能對公眾隱私甚至國家安全構成威脅。4月28日，第三屆首都網絡安全日活動中，特設“電子政務安全應用論壇”，屆時，安華金和作為唯一的數據庫安全企業受邀演講，針對電子政府內網系統安全問題及政策要求進行分析，并提出電子政務內網數據庫安全解決方案，在電子政府系統數據庫中已有的安全配置基礎上，引入可信的訪問控制機制，同時可確保不影響系統正常使用，顯著提升內網數據保密性。