2022年夏季,某南方地级市的大数据中心负责人王主任接到了一个令他震惊的电话——省公安厅网安部门通报,该市政务数据共享平台上有一批居民社保缴费记录、房产登记信息和车辆登记数据,出现在了一个境外数据交易网站上,标价每个字段1.2元。王主任的第一反应是不相信——政务数据共享平台经过了等保三级认证,所有操作都有日志审计,数据导出需要双人审批,怎么可能被窃取?然而网安部门发来的证据让他不得不面对现实:被售卖的数据样本中确实包含该市居民的真实信息,部分数据甚至就是他上周才审批入库的新数据。
政务数据共享平台是该市推进"数字政府"建设的关键基础设施。平台连接了全市30多个委办局的数据接口,汇集了超过800万条居民信息,涵盖社保、医保、公积金、不动产、车辆、户籍等核心数据。平台在设计之初就采用了严格的访问控制机制——任何单位需要通过政务外网提交数据申请,经数据提供方审核和中心审批后,才能在限定的时间窗口内查看限定字段的数据,且每次查看都有日志记录。
然而,这次数据泄露的源头并不在政务系统内部,而出在平台的合作运营公司身上。该市将政务数据共享平台的技术运维工作外包给了一家名为"智联数据"的信息技术公司。智联数据负责平台的日常运维、系统升级和故障处理,根据合同约定,其运维人员有权在紧急情况下对数据库进行直接操作。问题就出在这个"紧急情况"上。
智联数据的一名运维工程师刘某,入职后不久就发现了平台数据库的一个管理漏洞——虽然前端界面对数据导出有严格限制,但后台数据库的管理员账户可以直接执行SQL查询并导出全量数据。刘某利用工作之便,通过远程桌面连接到运维服务器,然后使用管理员账户编写了一个定时脚本,每周自动将平台上的新数据导出到他在公司内网的一台办公电脑上。随后他用加密的移动硬盘将数据带出公司,在家中整理后通过虚拟货币交易平台联系境外买家进行售卖。
刘某的作案手法从2022年3月持续到了8月,长达六个月的时间内没有被发现。而智联数据作为运维方,对运维人员的后台操作缺乏有效监管——运维团队只有5个人,每个人都拥有数据库的管理员权限,公司从未对管理员账户的操作进行过独立的审计复核。更关键的是,政务数据平台虽然对所有操作都有日志记录,但这些日志只保存在平台服务器本地,智联数据的运维人员有权随时清理和修改日志。换句话说,做日志的人同时也有权删日志。
案件暴露后,公安机关迅速介入。刘某在试图再次导出数据时被当场抓获。经查,刘某累计导出居民个人信息超过120万条,非法获利超过40万元。2023年初,刘某因侵犯公民个人信息罪被判处有期徒刑四年六个月,并处罚金。智联数据公司因管理失职被市大数据中心解除了运维合同,并被列入政府采购黑名单。
这起案件的教训极其深刻。政务数据共享平台承载的是最敏感的公民个人信息,但其安全防线却被一个运维人员的"特权账户"轻易击穿。问题的本质不在于技术防护不够强,而在于"谁运维谁审计"的机制失效。当运维方同时拥有最高权限和日志管理权限时,内部人员可以毫无痕迹地窃取数据。
从制度层面看,政务数据平台的安全管理存在三个明显的断层。第一,权限没有真正分离。管理员账户的创建、使用和审计应由不同的角色承担,但智联数据公司内部没有建立有效的权限分离机制,运维人员既管系统又管日志,等于自己给自己写考勤。第二,数据导出缺乏刚性约束。虽然前端有双人审批,但后台数据库层面的全量导出没有任何阻拦机制。第三,外包合同中的安全条款过于笼统。该市与智联数据的合同虽然提到了数据安全要求,但没有明确约定审计职责、违规取证权和违约赔偿责任的具体标准。
近年来,政务数据外包泄密事件呈现上升趋势。据中国信通院2023年发布的《政务数据安全白皮书》统计,参与调查的省级政务平台中,超过70%存在不同程度的外包运维安全风险,其中''特权账号滥用''被列为最高风险项。这意味着,数以亿计的居民个人信息,正暴露在运维人员的手中。
解决这个问题的关键在于建立"零信任"的外包运维安全机制。政务数据平台应对运维账户实施最小权限原则——运维人员只能访问运维所需的系统日志、配置文件和基础监控数据,不能直接接触业务数据库。数据导出必须经过独立的审批网关,且每次导出都自动发送告警通知给数据中心的负责人。日志系统应与运维系统分离,由不同的部门或第三方独立审计机构管理,确保运维人员无法篡改日志。此外,政务数据平台应部署数据防泄露系统,对数据库层面的异常查询行为进行实时监控,比如在深夜批量查询、高频次查询、全字段导出等异常行为发生时自动阻断并触发告警。
北京企密安信息安全技术有限公司
/ 010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
