對于一個人口大國,任何關乎民生的事情都不是小事情,因此,人社行業與其他政府機構雖同屬政府職能部門卻也有著其敏感的行業特殊性。在如今信息販賣猖獗的背景下,巨量的公民社保數據蘊藏的價值不言而喻。不可否認的是,社保行業對信息安全的重視與日俱增,我們看到網絡邊界防護設備已成熟應用于人社系統,對于外部黑客的網絡攻擊能夠從容應對,然而比信息技術更可怕的是人性的貪婪。近年來,各類騙保事件頻發,不法分子通過內外人員勾結,篡改社保、養老金申請資料非法獲利,加之去年4月某漏洞平臺爆出多地人社機構數據庫高危漏洞,不難聯想,現階段人社系統核心數據的安全現狀,已轉變為:內憂大于外患。如何從根源保障人社系統數據庫安全防護,安華金和提出防護思路。
隨著人社系統業務種類的豐富,業務量逐漸增加,部分數據庫開發、運維工作交由第三方公司承辦。通過對各類數據安全事件的匯總分析,我們發現數據庫面臨的安全威脅,逐漸由系統內部人員泄露轉向第三方外包運維、開發人員或內外勾結聯合作案導致的數據泄露或篡改。具體可歸納為以下三點:
(1)數據庫訪問層威脅:系統維護人員權限過高
負責系統數據庫的維護管理人員,往往具有較高的權限,甚至直接掌握數據庫DBA用戶的口令,一旦受到利益驅使,可對人社系統中的所有用戶數據乃至政府高層人員身份信息進行批量導出。
(2)數據庫應用層威脅:第三方人員直接接觸所有敏感數據
第三方人員負責業務系統的開發、運維,掌握業務系統中后臺數據庫用戶口令;
可以通過該用戶權限直接訪問數據庫,進行數據篡改和竊取。
(3)數據庫存儲層威脅:其他內部工作人員通過內部網絡直接獲取數據
其他內部系統工作人員,利用職務之便,通過內網訪問數據庫服務器。一旦進入數據庫所在主機,可以拷貝、盜取數據庫文件或備份文件,通過解析工具或異地還原手段即可獲得所有明文數據。
針對以上三重安全威脅,傳統的網絡安全防護設備無法奏效,我們需要調轉思路,把從外至內的防護轉為從數據庫內部進行安全加固,直接而有效。
加固方案基于安華金和數據庫保險箱系統DBCoffer,實現了人社系統的應用訪問層、數據庫訪問層和存儲層的全方位數據安全防護方案。
A、敏感數據加密存儲
對系統中最核心的敏感信息如政府從業人員信息、參保人員信息、參保企業信息、勞動就業信息等,進行存儲層加密,保證敏感數據無法被明文讀取。
B、敏感數據訪問權限控制
通過獨立于數據庫之外的密文權限控制體系,確保敏感數據的查詢、修改等權限僅開放于合法的應用系統后臺數據庫賬戶、合法的運維人員賬戶。確保與業務無關人員不能訪問明文數據。同時通過對訪問IP、訪問時間的限制,確保運維人員對敏感數據的操作,在指定時間、制定設備上完成動作。
C、敏感數據操作詳細變更審計
DBCoffer產品兼具審計功能,可對安全管理員的密文權限授予行為進行審計;同時對數據庫用戶的敏感數據訪問行為進行詳細的變更審計,包括訪問IP、訪問時間、SQL語句,數據變更前、后的具體值,執行結果,以及訪問的應用程序來源,確保所有訪問來源安全、合法。
人社行業關乎民生,數據安全防護絕不能流于形式,面對當前內憂甚于外患的局面,正確分析安全威脅的來源,從根源杜絕安全隱患才是關鍵。安華金和數據庫保險箱系統已成功應用于多個省級、市級人社機構核心數據庫系統,為用戶各類業務系統的敏感數據提供切實有效的安全防護。
產品咨詢:4000 258 365 
