ITPub博客

首页 > 数据库 > 国内数据库 > 某省人社厅案例

某省人社厅案例

原创 国内数据库 作者:数据库安全专家 时间:2019-12-10 16:50:40 0 删除 编辑

一、概述

1、背景概述

某省人力资源和社会保障厅,作为 省人力资源的管理的领导机构,肩负着全省人力资源市场发展规划和人力资源流动政策制定,以及建立统一规范的人力资源市场,促进人力资源合理流动、有效配置等重要工作。

在2017年1月发布的《 省“十三五”人力资源和社会保障事业发展规划》第八章,第三节中明确指出:【以“互联网+人社”行动计划为引领,推动互联网、云计算、大数据等技术与人力资源社会保障工作深度融合,实现对各类人力资源社会保障业务及其服务机构、服务人群、服务功能的全面覆盖。……完善对外数据交换平台,逐步实现与公安、财政等相关部门信息共享,提高对全省人力资源社会保障业务的支撑和保障能力。……推进信息安全系统建设,开展系统和数据的容灾建设,提高人力资源社会保障信息系统的安全保障水平。】

随着人力资源相关公共服务信息化平台的建设和完善,社保系统里存放了大量的敏感信息,包括居民身份证、社保、薪酬、电话、家庭住址等敏感信息,这些信息一旦泄露,造成的危害不仅仅是个人隐私的公开,还会被犯罪分子利用,引发诸如利用个人敏感信息复制身份证、盗办信用卡、盗刷信用卡等一系列严重刑事犯罪和经济犯罪。

2015年, 等30省市曝漏洞:数千万社保信息或泄露”事件轰动全国,近亿用户的社保信息可能因此被泄露,其中包括个人身份证、财务、薪酬、房屋等敏感信息,涉及超多个省。社保系统暴发的数据泄漏案例充分说明,地方社保等部门对于信息安全方面投入不足,监管不力。

公安部第三研究所所长严明在接受《经济参考报》记者采访时表示,社保系统包含个人非常隐私的信息,同时也是国家宏观调控的重要信息和数据来源,一旦系统信息被不法分子进行篡改,后果不堪设想。与此同时,大量个人隐私信息可能被一些人员倒卖获利,造成经济方面的损失。严明说,我国现在缺乏对信息安全泄露的问责机制,缺少法律依据,为此,我国要加快建立"首席安全官"制度,把信息安全责任落实到相关部门和企业的负责人。


2、现状分析

在2015年大规模社保数据泄露事件发生后的此后几年, 省人社逐步重视数据安全,并进行了一些建设。个别地市部署了数据库审计、数据库防火墙、数据库加密等产品,并加强了对数据库运维的管理。但是直到进入2018年,我省人社系统数据安全问题仍未彻底解决,数据安全事件仍时有发生。

目前 省人社系统共包括省厅人社系统和各地市、直管县系统共19个,数据库类型主要为Oracle,目前信息安全形势分析如下:

1)数据库中含有大量姓名、身份证号码、银行帐号、养老信息、医保信息等敏感数据。一旦泄漏会对社会和居民造成巨大到影响。因此需要对数据库、表级、字段级的访问权限进行分级限制,必要时对敏感字段进行 脱敏进一步增加数据的安全性;

2) 省人社厅社保系统部分数据已经部署到云政公司的政务云平台,但是涉及医保、养老等敏感信息仍在线下。并且还将逐步迁移,所以对云端数据的保密性、完整性方面提出了很高的要求;

3)各个社保系统由不同的数据库组成,区分生产库和交换库,分别由不同的人员进行运维,并接入不同的应用系统;

4) 省人社厅社保系统对客户端提供了包括微信社保、手机APP平台、Web等多种访问方式,网络应用多样化容易引发来自内部外部多途径,形式多样的攻击。


二、需求分析

如上所述,在 省人社系统的信息系统中,亟需部署数据安全管理系统,弥补现有安全体系的不足,加固数据库侧的安全,以确保满足在数据管理方面“可视”、“可控”、“合规”的要求。



三、解决方案

1、整体思路


针对 省人社厅社保系统,提出如上图所示的,有效的数据安全解决方案。本方案的整体思路简单说就是:将数据关进笼子,让数据访问透明化。针对多种应用场景,采取多种手段解决敏感数据在整个生命周期中的安全问题。


四、方案价值

通过上述解决方案,有效满足了用户所面临的数据安全管理的需求:使数据安全可视、使数据安全可控、使数据安全合规。除带来上述主要价值外,数据安全管理解决方案还带给用户如下价值:

1、简化业务治理,提高数据安全管理能力:

由于数据库系统是一个复杂的软件“黑盒子”,其可视化程度很低。数据库管理员很难说清在任意时刻数据被访问的情况。这对业务治理带来了很大的困难。尤其在云环境中,这种不可视化程度更加严重。


2、完善纵深防御体系,提升整体安全防护能力:

建立纵深的防御体系已是信息安全建设的共识。应用系统到数据库这一段,是信息安全的最后一公里,也是最后一道防线,涉及的是最直接的敏感数据安全管理,直接关系到敏感数据的安全。


3、减少核心数据泄漏,保障业务连续性:

数据是最有价值的资产,也是攻击者想偷窥、篡改、甚至删除的终极目标。核心数据被侵犯,轻则导致业务中断,重则导致信息泄密和篡改,严重威胁国家信息安全。


4、满足国家及行业的合规要求:

实现独立的审计和访问控制,直接输出合规的报表,满足国家及社保行业法规和标准的要求。


5、有效维护公信力和声誉。

确保 社保不会发生信息的泄露和不良信息的传递,提升 社保在社会上的影响力和声誉。



来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69914889/viewspace-2667792/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2019-03-29

  • 博文量
    97
  • 访问量
    70245