如何從根源保障人社系統(tǒng)敏感數(shù)據(jù)安全防護(hù)

對(duì)于一個(gè)人口大國(guó)，任何關(guān)乎民生的事情都不是小事情，因此，人社行業(yè)與其他政府機(jī)構(gòu)雖同屬政府職能部門(mén)卻也有著其敏感的行業(yè)特殊性。在如今信息販賣(mài)猖獗的背景下，巨量的公民社保數(shù)據(jù)蘊(yùn)藏的價(jià)值不言而喻。不可否認(rèn)的是，社保行業(yè)對(duì)信息安全的重視與日俱增，我們看到網(wǎng)絡(luò)邊界防護(hù)設(shè)備已成熟應(yīng)用于人社系統(tǒng)，對(duì)于外部黑客的網(wǎng)絡(luò)攻擊能夠從容應(yīng)對(duì)，然而比信息技術(shù)更可怕的是人性的貪婪。近年來(lái)，各類(lèi)騙保事件頻發(fā)，不法分子通過(guò)內(nèi)外人員勾結(jié)，篡改社保、養(yǎng)老金申請(qǐng)資料非法獲利，加之去年4月某漏洞平臺(tái)爆出多地人社機(jī)構(gòu)數(shù)據(jù)庫(kù)高危漏洞，不難聯(lián)想，現(xiàn)階段人社系統(tǒng)核心數(shù)據(jù)的安全現(xiàn)狀，已轉(zhuǎn)變?yōu)椋簝?nèi)憂(yōu)大于外患。如何從根源保障人社系統(tǒng)數(shù)據(jù)庫(kù)安全防護(hù)，安華金和提出防護(hù)思路。

隨著人社系統(tǒng)業(yè)務(wù)種類(lèi)的豐富，業(yè)務(wù)量逐漸增加，部分?jǐn)?shù)據(jù)庫(kù)開(kāi)發(fā)、運(yùn)維工作交由第三方公司承辦。通過(guò)對(duì)各類(lèi)數(shù)據(jù)安全事件的匯總分析，我們發(fā)現(xiàn)數(shù)據(jù)庫(kù)面臨的安全威脅，逐漸由系統(tǒng)內(nèi)部人員泄露轉(zhuǎn)向第三方外包運(yùn)維、開(kāi)發(fā)人員或內(nèi)外勾結(jié)聯(lián)合作案導(dǎo)致的數(shù)據(jù)泄露或篡改。具體可歸納為以下三點(diǎn)：

（1）數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)層威脅：系統(tǒng)維護(hù)人員權(quán)限過(guò)高

負(fù)責(zé)系統(tǒng)數(shù)據(jù)庫(kù)的維護(hù)管理人員，往往具有較高的權(quán)限，甚至直接掌握數(shù)據(jù)庫(kù)DBA用戶(hù)的口令，一旦受到利益驅(qū)使，可對(duì)人社系統(tǒng)中的所有用戶(hù)數(shù)據(jù)乃至政府高層人員身份信息進(jìn)行批量導(dǎo)出。

（2）數(shù)據(jù)庫(kù)應(yīng)用層威脅：第三方人員直接接觸所有敏感數(shù)據(jù)

第三方人員負(fù)責(zé)業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)、運(yùn)維，掌握業(yè)務(wù)系統(tǒng)中后臺(tái)數(shù)據(jù)庫(kù)用戶(hù)口令；

可以通過(guò)該用戶(hù)權(quán)限直接訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，進(jìn)行數(shù)據(jù)篡改和竊取。

（3）數(shù)據(jù)庫(kù)存儲(chǔ)層威脅：其他內(nèi)部工作人員通過(guò)內(nèi)部網(wǎng)絡(luò)直接獲取數(shù)據(jù)

其他內(nèi)部系統(tǒng)工作人員，利用職務(wù)之便，通過(guò)內(nèi)網(wǎng)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)服務(wù)器。一旦進(jìn)入數(shù)據(jù)庫(kù)所在主機(jī)，可以拷貝、盜取數(shù)據(jù)庫(kù)文件或備份文件，通過(guò)解析工具或異地還原手段即可獲得所有明文數(shù)據(jù)。

針對(duì)以上三重安全威脅，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)設(shè)備無(wú)法奏效，我們需要調(diào)轉(zhuǎn)思路，把從外至內(nèi)的防護(hù)轉(zhuǎn)為從數(shù)據(jù)庫(kù)內(nèi)部進(jìn)行安全加固，直接而有效。

加固方案基于安華金和數(shù)據(jù)庫(kù)保險(xiǎn)箱系統(tǒng)DBCoffer，直接對(duì)數(shù)據(jù)庫(kù)加密，實(shí)現(xiàn)了人社系統(tǒng)的應(yīng)用訪(fǎng)問(wèn)層、數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)層和存儲(chǔ)層的全方位數(shù)據(jù)安全防護(hù)方案。

A、敏感數(shù)據(jù)加密存儲(chǔ)

對(duì)系統(tǒng)中最核心的敏感信息如政府從業(yè)人員信息、參保人員信息、參保企業(yè)信息、勞動(dòng)就業(yè)信息等，進(jìn)行存儲(chǔ)層加密，保證敏感數(shù)據(jù)無(wú)法被明文讀取。

B、敏感數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限控制

通過(guò)獨(dú)立于數(shù)據(jù)庫(kù)之外的密文權(quán)限控制體系，確保敏感數(shù)據(jù)的查詢(xún)、修改等權(quán)限僅開(kāi)放于合法的應(yīng)用系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)賬戶(hù)、合法的運(yùn)維人員賬戶(hù)。確保與業(yè)務(wù)無(wú)關(guān)人員不能訪(fǎng)問(wèn)明文數(shù)據(jù)。同時(shí)通過(guò)對(duì)訪(fǎng)問(wèn)IP、訪(fǎng)問(wèn)時(shí)間的限制，確保運(yùn)維人員對(duì)敏感數(shù)據(jù)的操作，在指定時(shí)間、制定設(shè)備上完成動(dòng)作。

C、敏感數(shù)據(jù)操作詳細(xì)變更審計(jì)

DBCoffer產(chǎn)品兼具審計(jì)功能，可對(duì)安全管理員的密文權(quán)限授予行為進(jìn)行審計(jì)；同時(shí)對(duì)數(shù)據(jù)庫(kù)用戶(hù)的敏感數(shù)據(jù)訪(fǎng)問(wèn)行為進(jìn)行詳細(xì)的變更審計(jì)，包括訪(fǎng)問(wèn)IP、訪(fǎng)問(wèn)時(shí)間、SQL語(yǔ)句，數(shù)據(jù)變更前、后的具體值，執(zhí)行結(jié)果，以及訪(fǎng)問(wèn)的應(yīng)用程序來(lái)源，確保所有訪(fǎng)問(wèn)來(lái)源安全、合法。

人社行業(yè)關(guān)乎民生，數(shù)據(jù)安全防護(hù)絕不能流于形式，面對(duì)當(dāng)前內(nèi)憂(yōu)甚于外患的局面，正確分析安全威脅的來(lái)源，從根源杜絕安全隱患才是關(guān)鍵。安華金和數(shù)據(jù)庫(kù)保險(xiǎn)箱系統(tǒng)已成功應(yīng)用于多個(gè)省級(jí)、市級(jí)人社機(jī)構(gòu)核心數(shù)據(jù)庫(kù)系統(tǒng)，為用戶(hù)各類(lèi)業(yè)務(wù)系統(tǒng)的敏感數(shù)據(jù)提供切實(shí)有效的安全防護(hù)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。