對(duì)于一個(gè)人口大國(guó)��,任何關(guān)乎民生的事情都不是小事情�,因此��,人社行業(yè)與其他政府機(jī)構(gòu)雖同屬政府職能部門卻也有著其敏感的行業(yè)特殊性���。在如今信息販賣猖獗的背景下����,巨量的公民社保數(shù)據(jù)蘊(yùn)藏的價(jià)值不言而喻�。不可否認(rèn)的是,社保行業(yè)對(duì)信息安全的重視與日俱增�����,我們看到網(wǎng)絡(luò)邊界防護(hù)設(shè)備已成熟應(yīng)用于人社系統(tǒng)���,對(duì)于外部黑客的網(wǎng)絡(luò)攻擊能夠從容應(yīng)對(duì)��,然而比信息技術(shù)更可怕的是人性的貪婪��。近年來(lái)���,各類騙保事件頻發(fā)��,不法分子通過(guò)內(nèi)外人員勾結(jié)�����,篡改社保�����、養(yǎng)老金申請(qǐng)資料非法獲利����,加之去年4月某漏洞平臺(tái)爆出多地人社機(jī)構(gòu)數(shù)據(jù)庫(kù)高危漏洞�,不難聯(lián)想,現(xiàn)階段人社系統(tǒng)核心數(shù)據(jù)的安全現(xiàn)狀�,已轉(zhuǎn)變?yōu)椋簝?nèi)憂大于外患。如何從根源保障人社系統(tǒng)數(shù)據(jù)庫(kù)安全防護(hù)�,918搏天堂提出防護(hù)思路。
隨著人社系統(tǒng)業(yè)務(wù)種類的豐富�,業(yè)務(wù)量逐漸增加,部分?jǐn)?shù)據(jù)庫(kù)開(kāi)發(fā)�、運(yùn)維工作交由第三方公司承辦。通過(guò)對(duì)各類數(shù)據(jù)安全事件的匯總分析�,我們發(fā)現(xiàn)數(shù)據(jù)庫(kù)面臨的安全威脅,逐漸由系統(tǒng)內(nèi)部人員泄露轉(zhuǎn)向第三方外包運(yùn)維����、開(kāi)發(fā)人員或內(nèi)外勾結(jié)聯(lián)合作案導(dǎo)致的數(shù)據(jù)泄露或篡改��。具體可歸納為以下三點(diǎn):
(1)數(shù)據(jù)庫(kù)訪問(wèn)層威脅:系統(tǒng)維護(hù)人員權(quán)限過(guò)高
負(fù)責(zé)系統(tǒng)數(shù)據(jù)庫(kù)的維護(hù)管理人員,往往具有較高的權(quán)限�����,甚至直接掌握數(shù)據(jù)庫(kù)DBA用戶的口令����,一旦受到利益驅(qū)使,可對(duì)人社系統(tǒng)中的所有用戶數(shù)據(jù)乃至政府高層人員身份信息進(jìn)行批量導(dǎo)出���。
(2)數(shù)據(jù)庫(kù)應(yīng)用層威脅:第三方人員直接接觸所有敏感數(shù)據(jù)
第三方人員負(fù)責(zé)業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)�����、運(yùn)維�����,掌握業(yè)務(wù)系統(tǒng)中后臺(tái)數(shù)據(jù)庫(kù)用戶口令�;
可以通過(guò)該用戶權(quán)限直接訪問(wèn)數(shù)據(jù)庫(kù)��,進(jìn)行數(shù)據(jù)篡改和竊取。
(3)數(shù)據(jù)庫(kù)存儲(chǔ)層威脅:其他內(nèi)部工作人員通過(guò)內(nèi)部網(wǎng)絡(luò)直接獲取數(shù)據(jù)
其他內(nèi)部系統(tǒng)工作人員����,利用職務(wù)之便,通過(guò)內(nèi)網(wǎng)訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器����。一旦進(jìn)入數(shù)據(jù)庫(kù)所在主機(jī),可以拷貝�、盜取數(shù)據(jù)庫(kù)文件或備份文件,通過(guò)解析工具或異地還原手段即可獲得所有明文數(shù)據(jù)�����。
針對(duì)以上三重安全威脅����,傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)設(shè)備無(wú)法奏效,我們需要調(diào)轉(zhuǎn)思路�,把從外至內(nèi)的防護(hù)轉(zhuǎn)為從數(shù)據(jù)庫(kù)內(nèi)部進(jìn)行安全加固,直接而有效�。
加固方案基于918搏天堂數(shù)據(jù)庫(kù)保險(xiǎn)箱系統(tǒng)DBCoffer,實(shí)現(xiàn)了人社系統(tǒng)的應(yīng)用訪問(wèn)層����、數(shù)據(jù)庫(kù)訪問(wèn)層和存儲(chǔ)層的全方位數(shù)據(jù)安全防護(hù)方案���。
A、敏感數(shù)據(jù)加密存儲(chǔ)
對(duì)系統(tǒng)中最核心的敏感信息如政府從業(yè)人員信息�、參保人員信息、參保企業(yè)信息�、勞動(dòng)就業(yè)信息等,進(jìn)行存儲(chǔ)層加密�����,保證敏感數(shù)據(jù)無(wú)法被明文讀取��。
B����、敏感數(shù)據(jù)訪問(wèn)權(quán)限控制
通過(guò)獨(dú)立于數(shù)據(jù)庫(kù)之外的密文權(quán)限控制體系�,確保敏感數(shù)據(jù)的查詢、修改等權(quán)限僅開(kāi)放于合法的應(yīng)用系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)賬戶�、合法的運(yùn)維人員賬戶。確保與業(yè)務(wù)無(wú)關(guān)人員不能訪問(wèn)明文數(shù)據(jù)�����。同時(shí)通過(guò)對(duì)訪問(wèn)IP���、訪問(wèn)時(shí)間的限制����,確保運(yùn)維人員對(duì)敏感數(shù)據(jù)的操作,在指定時(shí)間�、制定設(shè)備上完成動(dòng)作。
C�、敏感數(shù)據(jù)操作詳細(xì)變更審計(jì)
DBCoffer產(chǎn)品兼具審計(jì)功能,可對(duì)安全管理員的密文權(quán)限授予行為進(jìn)行審計(jì)�;同時(shí)對(duì)數(shù)據(jù)庫(kù)用戶的敏感數(shù)據(jù)訪問(wèn)行為進(jìn)行詳細(xì)的變更審計(jì),包括訪問(wèn)IP�、訪問(wèn)時(shí)間、SQL語(yǔ)句�,數(shù)據(jù)變更前、后的具體值��,執(zhí)行結(jié)果�,以及訪問(wèn)的應(yīng)用程序來(lái)源,確保所有訪問(wèn)來(lái)源安全��、合法�����。
人社行業(yè)關(guān)乎民生,數(shù)據(jù)安全防護(hù)絕不能流于形式����,面對(duì)當(dāng)前內(nèi)憂甚于外患的局面,正確分析安全威脅的來(lái)源�����,從根源杜絕安全隱患才是關(guān)鍵���。918搏天堂數(shù)據(jù)庫(kù)保險(xiǎn)箱系統(tǒng)已成功應(yīng)用于多個(gè)省級(jí)����、市級(jí)人社機(jī)構(gòu)核心數(shù)據(jù)庫(kù)系統(tǒng)��,為用戶各類業(yè)務(wù)系統(tǒng)的敏感數(shù)據(jù)提供切實(shí)有效的安全防護(hù)����。
產(chǎn)品咨詢:4000 258 365 
