人社事業(yè)事關(guān)國計民生,一旦信息泄露將造成嚴(yán)重影響。美創(chuàng)科技助力某省人社廳構(gòu)建多方位、立體化的信息安全保障體系,通過數(shù)據(jù)庫防水壩、數(shù)據(jù)庫安全審計等產(chǎn)品,全力保障人社數(shù)據(jù)安全,讓黑客“進(jìn)不來、拿不走、改不掉、走不脫”, 加速推進(jìn)“互聯(lián)網(wǎng)+人社”。
當(dāng)前,隨著金保工程的不斷推進(jìn)以及互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用,民眾足不出戶就能進(jìn)行社會保障、醫(yī)療保險等業(yè)務(wù)的查詢、辦理。同時人社系統(tǒng)積累了海量的數(shù)據(jù)資源,在傳輸和使用過程中確保數(shù)據(jù)保密性、完整性、可用性至關(guān)重要。
根據(jù)相關(guān)數(shù)據(jù)顯示,我國多個省市衛(wèi)生和社保系統(tǒng)曾出現(xiàn)漏洞,圍繞社保、公務(wù)員等信息系統(tǒng)的漏洞超過30個,涉及人員數(shù)量達(dá)數(shù)千萬,其中包括個人身份證、社保參保信息、財務(wù)、薪酬、房屋等敏感信息。
一、數(shù)據(jù)庫防護(hù)手段亟需完善
近年來,由內(nèi)部人員運(yùn)維、開發(fā)人員誤操作或者違規(guī)操作導(dǎo)致數(shù)據(jù)庫損壞和數(shù)據(jù)丟失現(xiàn)象時有發(fā)生。因此,作為關(guān)系國計民生的人力資源和社保單位,該省人社廳也在積極籌劃加強(qiáng)自身的信息安全防護(hù)體系的建設(shè)。
在該省人社廳現(xiàn)有的安全防護(hù)體系中,均為云上的邊界的網(wǎng)絡(luò)安全設(shè)備,針對數(shù)據(jù)庫層面安全防護(hù)非常薄弱。尤其對于單位內(nèi)部人員、第三方人員對敏感數(shù)據(jù)的訪問、數(shù)據(jù)庫日常操作,缺少細(xì)粒度的權(quán)限控制、監(jiān)控審計手段,數(shù)據(jù)庫的非授權(quán)訪問和操作面臨不受監(jiān)管和約束的風(fēng)險。
二、內(nèi)部風(fēng)險管控+全面、精確審計
經(jīng)過現(xiàn)場考察及分析,美創(chuàng)科技基于多年來在人社行業(yè)數(shù)據(jù)安全經(jīng)驗(yàn),通過部署數(shù)據(jù)庫防水壩和數(shù)據(jù)庫安全審計提升該省人社廳數(shù)據(jù)安全保障能力。
通過美創(chuàng)數(shù)據(jù)庫防水壩的準(zhǔn)入控制、權(quán)限控制、工單申請、動態(tài)脫敏的機(jī)制,以及美創(chuàng)數(shù)據(jù)庫審計的監(jiān)控與溯源能力來預(yù)防內(nèi)部人員、第三方人員直接接觸所有敏感數(shù)據(jù)、違規(guī)和惡意操作破壞數(shù)據(jù)庫系統(tǒng)。
內(nèi)部風(fēng)險管控+審計
1、運(yùn)維脫敏
為了有效的防止高權(quán)限運(yùn)維人員的接觸敏感數(shù)據(jù),本次項(xiàng)目美創(chuàng)科技通過動態(tài)脫敏機(jī)制對未授權(quán)的賬戶訪問敏感數(shù)據(jù)實(shí)現(xiàn)動態(tài)脫敏,來防止第三方運(yùn)維人員接觸重要的敏感數(shù)據(jù)信息和業(yè)務(wù)的個人隱私數(shù)據(jù),并提高運(yùn)維安全。
2、誤操作恢復(fù)
通過垃圾箱機(jī)制對于“Drop Table,Drop Partition,Truncate table,Truncate Partition, Drop Tablespace”等誤操作或者入侵者破壞時,執(zhí)行快速恢復(fù),實(shí)現(xiàn)幾秒之內(nèi)完成任意規(guī)模表格的數(shù)據(jù)恢復(fù)。
3、隔離特權(quán)賬號與敏感數(shù)據(jù)
為避免運(yùn)維過程中涉及的敏感數(shù)據(jù)泄露,美創(chuàng)科技通過隔離特權(quán)賬號與敏感數(shù)據(jù)使SYSDBA和DBA等高權(quán)限權(quán)限的人員不再具有訪問敏感數(shù)據(jù)以及執(zhí)行高危操作的權(quán)限,從而確保了敏感數(shù)據(jù)的保護(hù)和數(shù)據(jù)庫的運(yùn)行穩(wěn)定。
4、運(yùn)維工單審批
通過利用美創(chuàng)防水壩的工單審批機(jī)制,該省人社廳達(dá)到了預(yù)防內(nèi)部人員執(zhí)行惡意操作、高危操作導(dǎo)致對業(yè)務(wù)造成危害行為的發(fā)生。
通過工單審批機(jī)制,當(dāng)運(yùn)維人員對要重點(diǎn)保護(hù)的數(shù)據(jù)庫進(jìn)行訪問、修改、以及執(zhí)行高危操作命令時會進(jìn)行工單審批,而未審核通過后的訪問和操作系統(tǒng)會即予以阻斷并告警。這樣就可以預(yù)防運(yùn)維人員未經(jīng)授權(quán)或許可的情況下,竊取敏感數(shù)據(jù)、違規(guī)操作和惡意操作數(shù)據(jù)庫的危害行為發(fā)生。
5、全面、精確審計
當(dāng)運(yùn)維人員完成對數(shù)據(jù)庫運(yùn)維操作后,美創(chuàng)數(shù)據(jù)庫審計系統(tǒng)會對運(yùn)維操作內(nèi)容均會被記錄下來,定期匯總生成報表,規(guī)范流程管理的同時,可以做到有效的追責(zé)定責(zé)。
三、保障數(shù)據(jù)安全,加速推進(jìn)“互聯(lián)網(wǎng)+人社”
1、防止內(nèi)部高危操作
系統(tǒng)維護(hù)人員、外包人員、開發(fā)人員等,沒有了直接訪問數(shù)據(jù)庫的權(quán)限,也無法進(jìn)行有意無意的進(jìn)行高危操作來破壞數(shù)據(jù)庫系統(tǒng)和數(shù)據(jù)。
2、防止應(yīng)用違規(guī)操作
業(yè)務(wù)操作人員和開發(fā)人員,通過應(yīng)用系統(tǒng)賬號也無法非法登錄數(shù)據(jù)庫,以及執(zhí)行違規(guī)操作,篡改或盜取敏感數(shù)據(jù)。
3、防止敏感數(shù)據(jù)泄漏
黑客、開發(fā)人員無法通過應(yīng)用批量下載敏感數(shù)據(jù),內(nèi)部維護(hù)人員無法執(zhí)行遠(yuǎn)程或本地批量導(dǎo)出敏感數(shù)據(jù)的操作。
4、增強(qiáng)威懾
通過審計加強(qiáng)了威懾力,并針對運(yùn)維工作規(guī)范和流程進(jìn)行了加強(qiáng)。也提高了業(yè)務(wù)操作人員安全意識,保障業(yè)務(wù)數(shù)據(jù)安全。
5、滿足合規(guī)要求
滿足《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級保護(hù)2.0》、《社會保險個人權(quán)益記錄管理辦法》(人社部令第14號)、《人力資源和社會保障數(shù)據(jù)中心數(shù)據(jù)庫安全管理規(guī)范(試行)》(人社廳發(fā)﹝2014﹞48)、《人力資源社會保障數(shù)據(jù)安全管理規(guī)范(試行)》(人社廳發(fā)﹝2019﹞37號)等法律法規(guī)要求下人社系統(tǒng)內(nèi)部人員的數(shù)據(jù)安全專項(xiàng)要求。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )