對于一個人口大國,任何關乎民生的事情都不是小事情����,因此,人社行業(yè)與其他政府機構雖同屬政府職能部門卻也有著其敏感的行業(yè)特殊性��。在如今信息販賣猖獗的背景下�,巨量的公民社保數(shù)據(jù)蘊藏的價值不言而喻。不可否認的是�����,社保行業(yè)對信息安全的重視與日俱增,我們看到網(wǎng)絡邊界防護設備已成熟應用于人社系統(tǒng)�����,對于外部黑客的網(wǎng)絡攻擊能夠從容應對����,然而比信息技術更可怕的是人性的貪婪。近年來�,各類騙保事件頻發(fā),不法分子通過內(nèi)外人員勾結���,篡改社保���、養(yǎng)老金申請資料非法獲利,加之去年4月某漏洞平臺爆出多地人社機構數(shù)據(jù)庫高危漏洞��,不難聯(lián)想����,現(xiàn)階段人社系統(tǒng)核心數(shù)據(jù)的安全現(xiàn)狀,已轉(zhuǎn)變?yōu)椋簝?nèi)憂大于外患���。如何從根源保障人社系統(tǒng)數(shù)據(jù)庫安全防護����,安華金和提出防護思路。
隨著人社系統(tǒng)業(yè)務種類的豐富�,業(yè)務量逐漸增加,部分數(shù)據(jù)庫開發(fā)����、運維工作交由第三方公司承辦���。通過對各類數(shù)據(jù)安全事件的匯總分析��,我們發(fā)現(xiàn)數(shù)據(jù)庫面臨的安全威脅�,逐漸由系統(tǒng)內(nèi)部人員泄露轉(zhuǎn)向第三方外包運維�����、開發(fā)人員或內(nèi)外勾結聯(lián)合作案導致的數(shù)據(jù)泄露或篡改���。具體可歸納為以下三點:
(1)數(shù)據(jù)庫訪問層威脅:系統(tǒng)維護人員權限過高
負責系統(tǒng)數(shù)據(jù)庫的維護管理人員�,往往具有較高的權限���,甚至直接掌握數(shù)據(jù)庫DBA用戶的口令�,一旦受到利益驅(qū)使,可對人社系統(tǒng)中的所有用戶數(shù)據(jù)乃至政府高層人員身份信息進行批量導出��。
(2)數(shù)據(jù)庫應用層威脅:第三方人員直接接觸所有敏感數(shù)據(jù)
第三方人員負責業(yè)務系統(tǒng)的開發(fā)��、運維���,掌握業(yè)務系統(tǒng)中后臺數(shù)據(jù)庫用戶口令����;
可以通過該用戶權限直接訪問數(shù)據(jù)庫�����,進行數(shù)據(jù)篡改和竊取�����。
(3)數(shù)據(jù)庫存儲層威脅:其他內(nèi)部工作人員通過內(nèi)部網(wǎng)絡直接獲取數(shù)據(jù)
其他內(nèi)部系統(tǒng)工作人員�����,利用職務之便�����,通過內(nèi)網(wǎng)訪問數(shù)據(jù)庫服務器。一旦進入數(shù)據(jù)庫所在主機���,可以拷貝�、盜取數(shù)據(jù)庫文件或備份文件�,通過解析工具或異地還原手段即可獲得所有明文數(shù)據(jù)。
針對以上三重安全威脅��,傳統(tǒng)的網(wǎng)絡安全防護設備無法奏效�����,我們需要調(diào)轉(zhuǎn)思路�����,把從外至內(nèi)的防護轉(zhuǎn)為從數(shù)據(jù)庫內(nèi)部進行安全加固�,直接而有效�。
加固方案基于安華金和數(shù)據(jù)庫保險箱系統(tǒng)DBCoffer,實現(xiàn)了人社系統(tǒng)的應用訪問層��、數(shù)據(jù)庫訪問層和存儲層的全方位數(shù)據(jù)安全防護方案�����。
A、敏感數(shù)據(jù)加密存儲
對系統(tǒng)中最核心的敏感信息如政府從業(yè)人員信息��、參保人員信息�����、參保企業(yè)信息�����、勞動就業(yè)信息等�����,進行存儲層加密���,保證敏感數(shù)據(jù)無法被明文讀取���。
B、敏感數(shù)據(jù)訪問權限控制
通過獨立于數(shù)據(jù)庫之外的密文權限控制體系�,確保敏感數(shù)據(jù)的查詢、修改等權限僅開放于合法的應用系統(tǒng)后臺數(shù)據(jù)庫賬戶��、合法的運維人員賬戶。確保與業(yè)務無關人員不能訪問明文數(shù)據(jù)�。同時通過對訪問IP、訪問時間的限制��,確保運維人員對敏感數(shù)據(jù)的操作��,在指定時間�、制定設備上完成動作。
C����、敏感數(shù)據(jù)操作詳細變更審計
DBCoffer產(chǎn)品兼具審計功能,可對安全管理員的密文權限授予行為進行審計�����;同時對數(shù)據(jù)庫用戶的敏感數(shù)據(jù)訪問行為進行詳細的變更審計�����,包括訪問IP�、訪問時間���、SQL語句�����,數(shù)據(jù)變更前�����、后的具體值���,執(zhí)行結果�,以及訪問的應用程序來源�,確保所有訪問來源安全、合法���。
人社行業(yè)關乎民生�,數(shù)據(jù)安全防護絕不能流于形式���,面對當前內(nèi)憂甚于外患的局面��,正確分析安全威脅的來源���,從根源杜絕安全隱患才是關鍵。安華金和數(shù)據(jù)庫保險箱系統(tǒng)已成功應用于多個省級��、市級人社機構核心數(shù)據(jù)庫系統(tǒng),為用戶各類業(yè)務系統(tǒng)的敏感數(shù)據(jù)提供切實有效的安全防護���。
產(chǎn)品咨詢:4000 258 365 
