對于一個(gè)人口大國���,任何關(guān)乎民生的事情都不是小事情,因此�,人社行業(yè)與其他政府機(jī)構(gòu)雖同屬政府職能部門卻也有著其敏感的行業(yè)特殊性。在如今信息販賣猖獗的背景下�����,巨量的公民社保數(shù)據(jù)蘊(yùn)藏的價(jià)值不言而喻���。不可否認(rèn)的是��,社保行業(yè)對信息安全的重視與日俱增����,我們看到網(wǎng)絡(luò)邊界防護(hù)設(shè)備已成熟應(yīng)用于人社系統(tǒng)�,對于外部黑客的網(wǎng)絡(luò)攻擊能夠從容應(yīng)對,然而比信息技術(shù)更可怕的是人性的貪婪�����。近年來���,各類騙保事件頻發(fā)�����,不法分子通過內(nèi)外人員勾結(jié)�����,篡改社保�����、養(yǎng)老金申請資料非法獲利�,加之去年4月某漏洞平臺(tái)爆出多地人社機(jī)構(gòu)數(shù)據(jù)庫高危漏洞,不難聯(lián)想�����,現(xiàn)階段人社系統(tǒng)核心數(shù)據(jù)的安全現(xiàn)狀���,已轉(zhuǎn)變?yōu)椋簝?nèi)憂大于外患��。如何從根源保障人社系統(tǒng)數(shù)據(jù)庫安全防護(hù)���,安華金和提出防護(hù)思路�。
隨著人社系統(tǒng)業(yè)務(wù)種類的豐富��,業(yè)務(wù)量逐漸增加�����,部分?jǐn)?shù)據(jù)庫開發(fā)����、運(yùn)維工作交由第三方公司承辦����。通過對各類數(shù)據(jù)安全事件的匯總分析,我們發(fā)現(xiàn)數(shù)據(jù)庫面臨的安全威脅�����,逐漸由系統(tǒng)內(nèi)部人員泄露轉(zhuǎn)向第三方外包運(yùn)維��、開發(fā)人員或內(nèi)外勾結(jié)聯(lián)合作案導(dǎo)致的數(shù)據(jù)泄露或篡改���。具體可歸納為以下三點(diǎn):
(1)數(shù)據(jù)庫訪問層威脅:系統(tǒng)維護(hù)人員權(quán)限過高
負(fù)責(zé)系統(tǒng)數(shù)據(jù)庫的維護(hù)管理人員��,往往具有較高的權(quán)限�,甚至直接掌握數(shù)據(jù)庫DBA用戶的口令,一旦受到利益驅(qū)使���,可對人社系統(tǒng)中的所有用戶數(shù)據(jù)乃至政府高層人員身份信息進(jìn)行批量導(dǎo)出��。
(2)數(shù)據(jù)庫應(yīng)用層威脅:第三方人員直接接觸所有敏感數(shù)據(jù)
第三方人員負(fù)責(zé)業(yè)務(wù)系統(tǒng)的開發(fā)�、運(yùn)維��,掌握業(yè)務(wù)系統(tǒng)中后臺(tái)數(shù)據(jù)庫用戶口令�;
可以通過該用戶權(quán)限直接訪問數(shù)據(jù)庫,進(jìn)行數(shù)據(jù)篡改和竊取���。
(3)數(shù)據(jù)庫存儲(chǔ)層威脅:其他內(nèi)部工作人員通過內(nèi)部網(wǎng)絡(luò)直接獲取數(shù)據(jù)
其他內(nèi)部系統(tǒng)工作人員�����,利用職務(wù)之便���,通過內(nèi)網(wǎng)訪問數(shù)據(jù)庫服務(wù)器。一旦進(jìn)入數(shù)據(jù)庫所在主機(jī)�����,可以拷貝��、盜取數(shù)據(jù)庫文件或備份文件,通過解析工具或異地還原手段即可獲得所有明文數(shù)據(jù)�����。
針對以上三重安全威脅����,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)設(shè)備無法奏效,我們需要調(diào)轉(zhuǎn)思路��,把從外至內(nèi)的防護(hù)轉(zhuǎn)為從數(shù)據(jù)庫內(nèi)部進(jìn)行安全加固����,直接而有效����。
加固方案基于安華金和數(shù)據(jù)庫保險(xiǎn)箱系統(tǒng)DBCoffer,實(shí)現(xiàn)了人社系統(tǒng)的應(yīng)用訪問層��、數(shù)據(jù)庫訪問層和存儲(chǔ)層的全方位數(shù)據(jù)安全防護(hù)方案��。
A�、敏感數(shù)據(jù)加密存儲(chǔ)
對系統(tǒng)中最核心的敏感信息如政府從業(yè)人員信息、參保人員信息�、參保企業(yè)信息�、勞動(dòng)就業(yè)信息等��,進(jìn)行存儲(chǔ)層加密���,保證敏感數(shù)據(jù)無法被明文讀取��。
B����、敏感數(shù)據(jù)訪問權(quán)限控制
通過獨(dú)立于數(shù)據(jù)庫之外的密文權(quán)限控制體系����,確保敏感數(shù)據(jù)的查詢、修改等權(quán)限僅開放于合法的應(yīng)用系統(tǒng)后臺(tái)數(shù)據(jù)庫賬戶���、合法的運(yùn)維人員賬戶�。確保與業(yè)務(wù)無關(guān)人員不能訪問明文數(shù)據(jù)�����。同時(shí)通過對訪問IP��、訪問時(shí)間的限制����,確保運(yùn)維人員對敏感數(shù)據(jù)的操作���,在指定時(shí)間、制定設(shè)備上完成動(dòng)作�����。
C����、敏感數(shù)據(jù)操作詳細(xì)變更審計(jì)
DBCoffer產(chǎn)品兼具審計(jì)功能,可對安全管理員的密文權(quán)限授予行為進(jìn)行審計(jì)�����;同時(shí)對數(shù)據(jù)庫用戶的敏感數(shù)據(jù)訪問行為進(jìn)行詳細(xì)的變更審計(jì)���,包括訪問IP、訪問時(shí)間�、SQL語句,數(shù)據(jù)變更前���、后的具體值�,執(zhí)行結(jié)果,以及訪問的應(yīng)用程序來源����,確保所有訪問來源安全、合法�。
人社行業(yè)關(guān)乎民生,數(shù)據(jù)安全防護(hù)絕不能流于形式���,面對當(dāng)前內(nèi)憂甚于外患的局面���,正確分析安全威脅的來源,從根源杜絕安全隱患才是關(guān)鍵��。安華金和數(shù)據(jù)庫保險(xiǎn)箱系統(tǒng)已成功應(yīng)用于多個(gè)省級(jí)���、市級(jí)人社機(jī)構(gòu)核心數(shù)據(jù)庫系統(tǒng)��,為用戶各類業(yè)務(wù)系統(tǒng)的敏感數(shù)據(jù)提供切實(shí)有效的安全防護(hù)����。
產(chǎn)品咨詢:4000 258 365 
