對于一個人口大國，任何關(guān)乎民生的事情都不是小事情，因此，人社行業(yè)與其他政府機構(gòu)雖同屬政府職能部門卻也有著其敏感的行業(yè)特殊性。在如今信息販賣猖獗的背景下，巨量的公民社保數(shù)據(jù)蘊藏的價值不言而喻。不可否認的是，社保行業(yè)對信息安全的重視與日俱增，我們看到網(wǎng)絡(luò)邊界防護設(shè)備已成熟應(yīng)用于人社系統(tǒng)，對于外部黑客的網(wǎng)絡(luò)攻擊能夠從容應(yīng)對，然而比信息技術(shù)更可怕的是人性的貪婪。近年來，各類騙保事件頻發(fā)，不法分子通過內(nèi)外人員勾結(jié)，篡改社保、養(yǎng)老金申請資料非法獲利，加之去年4月某漏洞平臺爆出多地人社機構(gòu)數(shù)據(jù)庫高危漏洞，不難聯(lián)想，現(xiàn)階段人社系統(tǒng)核心數(shù)據(jù)的安全現(xiàn)狀，已轉(zhuǎn)變?yōu)椋簝?nèi)憂大于外患。如何從根源保障人社系統(tǒng)數(shù)據(jù)庫安全防護，安華金和提出防護思路。

隨著人社系統(tǒng)業(yè)務(wù)種類的豐富，業(yè)務(wù)量逐漸增加，部分數(shù)據(jù)庫開發(fā)、運維工作交由第三方公司承辦。通過對各類數(shù)據(jù)安全事件的匯總分析，我們發(fā)現(xiàn)數(shù)據(jù)庫面臨的安全威脅，逐漸由系統(tǒng)內(nèi)部人員泄露轉(zhuǎn)向第三方外包運維、開發(fā)人員或內(nèi)外勾結(jié)聯(lián)合作案導(dǎo)致的數(shù)據(jù)泄露或篡改。具體可歸納為以下三點：

（1）數(shù)據(jù)庫訪問層威脅：系統(tǒng)維護人員權(quán)限過高

負責(zé)系統(tǒng)數(shù)據(jù)庫的維護管理人員，往往具有較高的權(quán)限，甚至直接掌握數(shù)據(jù)庫DBA用戶的口令，一旦受到利益驅(qū)使，可對人社系統(tǒng)中的所有用戶數(shù)據(jù)乃至政府高層人員身份信息進行批量導(dǎo)出。

（2）數(shù)據(jù)庫應(yīng)用層威脅：第三方人員直接接觸所有敏感數(shù)據(jù)

第三方人員負責(zé)業(yè)務(wù)系統(tǒng)的開發(fā)、運維，掌握業(yè)務(wù)系統(tǒng)中后臺數(shù)據(jù)庫用戶口令；

可以通過該用戶權(quán)限直接訪問數(shù)據(jù)庫，進行數(shù)據(jù)篡改和竊取。

（3）數(shù)據(jù)庫存儲層威脅：其他內(nèi)部工作人員通過內(nèi)部網(wǎng)絡(luò)直接獲取數(shù)據(jù)

其他內(nèi)部系統(tǒng)工作人員，利用職務(wù)之便，通過內(nèi)網(wǎng)訪問數(shù)據(jù)庫服務(wù)器。一旦進入數(shù)據(jù)庫所在主機，可以拷貝、盜取數(shù)據(jù)庫文件或備份文件，通過解析工具或異地還原手段即可獲得所有明文數(shù)據(jù)。

針對以上三重安全威脅，傳統(tǒng)的網(wǎng)絡(luò)安全防護設(shè)備無法奏效，我們需要調(diào)轉(zhuǎn)思路，把從外至內(nèi)的防護轉(zhuǎn)為從數(shù)據(jù)庫內(nèi)部進行安全加固，直接而有效。

加固方案基于安華金和數(shù)據(jù)庫保險箱系統(tǒng)DBCoffer，直接對數(shù)據(jù)庫加密，實現(xiàn)了人社系統(tǒng)的應(yīng)用訪問層、數(shù)據(jù)庫訪問層和存儲層的全方位數(shù)據(jù)安全防護方案。

A、敏感數(shù)據(jù)加密存儲

對系統(tǒng)中最核心的敏感信息如政府從業(yè)人員信息、參保人員信息、參保企業(yè)信息、勞動就業(yè)信息等，進行存儲層加密，保證敏感數(shù)據(jù)無法被明文讀取。

B、敏感數(shù)據(jù)訪問權(quán)限控制

通過獨立于數(shù)據(jù)庫之外的密文權(quán)限控制體系，確保敏感數(shù)據(jù)的查詢、修改等權(quán)限僅開放于合法的應(yīng)用系統(tǒng)后臺數(shù)據(jù)庫賬戶、合法的運維人員賬戶。確保與業(yè)務(wù)無關(guān)人員不能訪問明文數(shù)據(jù)。同時通過對訪問IP、訪問時間的限制，確保運維人員對敏感數(shù)據(jù)的操作，在指定時間、制定設(shè)備上完成動作。

C、敏感數(shù)據(jù)操作詳細變更審計

DBCoffer產(chǎn)品兼具審計功能，可對安全管理員的密文權(quán)限授予行為進行審計；同時對數(shù)據(jù)庫用戶的敏感數(shù)據(jù)訪問行為進行詳細的變更審計，包括訪問IP、訪問時間、SQL語句，數(shù)據(jù)變更前、后的具體值，執(zhí)行結(jié)果，以及訪問的應(yīng)用程序來源，確保所有訪問來源安全、合法。

人社行業(yè)關(guān)乎民生，數(shù)據(jù)安全防護絕不能流于形式，面對當前內(nèi)憂甚于外患的局面，正確分析安全威脅的來源，從根源杜絕安全隱患才是關(guān)鍵。安華金和數(shù)據(jù)庫保險箱系統(tǒng)已成功應(yīng)用于多個省級、市級人社機構(gòu)核心數(shù)據(jù)庫系統(tǒng)，為用戶各類業(yè)務(wù)系統(tǒng)的敏感數(shù)據(jù)提供切實有效的安全防護。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。