資料庫的應用(社保)
行業應用-產品概述
資料洩漏事件頻發
2015年以來,資訊洩漏成為全球資訊保安最大的威脅。在國內,社保系統已經成為個人資訊洩露“重災區”。據報道,截止2015年4月,重慶、上海、山西、瀋陽、貴州、河南等省市衛生和社保系統出現大量高危漏洞,近億使用者的社保資訊可能因此被洩露,其中包括個人身份證、財務、薪酬、房屋等敏感資訊,涉及超30省。更為可怕的是,各省市目前發現的漏洞僅是冰山一角,被洩露個人資訊的人數可能比我們想象得還要多。
業內人士表示,社保系統裡的資訊包括了居民身份證、社保、薪酬等敏感資訊,這些資訊一旦洩露,造成的危害不僅是個人隱私全無,還會被犯罪分子利用,例如複製身份證、盜辦信用卡、盜刷信用卡等一系列刑事犯罪和經濟犯罪。以省或市為單位的資訊洩露,有可能被大致匡算出當地的人均收入、社保金額等國家經濟資料,危害極大,僅河北省計生委的一個漏洞就涉及7000萬居民詳細資訊,山東省某衛生系統漏洞導致全省600萬兒童、1200萬父母詳細資訊洩露。
相關標準和法規
近年來,資訊保安問題已經升至國家層面。有關資訊保安的政策也持續在密集出臺,《網路安全法》正式推出在望,將給敏感資訊防洩漏方面提出明確要求。已經有的國家級和行業級的安全法規和標準,比如《等保》、《分保》、《商祕》等,也對資料安全管理有明確的要求。
行業應用-需求分析
社保行業暴發的資料洩漏案例充分說明,地方社保等部門對於資訊保安方面投入不足,監管不力。社保系統暴露的資訊保安問題,根本原因是行業多年來“重建設輕運維”、“重管理輕安全”的現實情況。我們在資訊保安方面,無論是資金還是技術和人才方面的投入都大大低於歐美國家。如果這個趨勢不改變,隨著網際網路經濟的爆發性發展,類似的事件將會繼續暴露出來。
據中安威士在社保行業的深入瞭解,行業有限的資訊保安投入,主要都集中在網路層面,而且主要集中在外網部分。而對於資料真正所在的內網部分,除了少數系統中部署了運維堡壘機和資料庫審計以外,幾乎沒有任何額外的對資料的直接保護。
行業應用-解決方案
總體方案
中安威士總結對多個社保系統進行安全加固經驗,認為針對社保系統有效的解決方案,是解決敏感資料全生命週期的安全問題。中安威士提出的針對社保行業的資料安全管理方案如下:
1)資料活動的全面審計。詳細記錄敏感資料被訪問的情況,包括來自於外網使用者和業務員的訪問,尤其是對批量訪問的審計、越權操作的審計、以及更改和刪除操作所影響的原始資料的審計。
2)細粒度訪問控制。阻斷異常的、違規的、以及攻擊性的查詢和訪問,防止敏感資料洩漏以及被破壞。
3)敏感內容脫敏。有針對性的對不同系統和使用者,通過動態脫敏手段,實時授予對敏感資料的遮蔽、替換等不同展示方式,防止資料洩漏。同時,對例如開發、測試、資料外發等環境,提供靜態脫敏手段,批量的對敏感資料脫敏,防止真實敏感資料外洩。
4)敏感內容加密。有選擇性的對敏感內容加密,使敏感資料在儲存、備份時以密文方式存在。通過控制加密和解密許可權,提供對敏感資料訪問的增強許可權管理,防止超級許可權被盜用和濫用導致的資料洩漏。
實施方案
中安威士資料安全解決方案基於自主研發的系列資料庫安全加固產品實現。以某省人力資源與社會保障保廳為例,具體的實施方案如下:
該解決方案的要點如下:
-
在共享資料庫之前部署資料庫動態脫敏系統和資料庫防火牆系統,從源頭上對資料進行脫敏,並阻止SQL注入、越權資料訪問以及其它對資料庫的攻擊。為防止單點失敗,資料庫動態脫敏/防火牆系統部署為雙機模式。通過自動學習,建立防火牆規則。
-
在生產庫和共享庫之間部署資料庫動態脫敏和資料庫防火牆,確保從生產庫到共享庫的資料經過必要脫敏,同時確保從共享庫端不會有對生產庫的攻擊和越權操作。
-
在生產庫和開發/測試庫之間部署資料庫靜態脫敏系統,確保從生產庫到開發/測試庫的資料經過必要脫敏,定期批量的生成開發測試庫,防止開發測試人員不能接觸真實資料。
-
在生產庫和內部辦公應用伺服器之間,部署資料庫動態脫敏和資料庫防火牆,從源頭上對資料進行動態脫敏,並阻止SQL注入、越權資料訪問以及其它對資料庫的攻擊,防止內部辦公人員通過截圖等方式洩漏敏感資訊。通過自動學習,建立防火牆規則。
-
部署資料庫加密系統,保護尤其重要的敏感資料。
-
對共享資料庫和生產庫部署資料庫審計,記錄一切資料庫訪問操作,並自動發現數據庫攻擊和越權行為。
行業應用-方案優勢
中安威士資料安全管理解決方案基於資料庫審計、資料庫防火牆、資料庫加密和資料庫脫敏產品實現。方案完整地解決了當前資訊系統所廣泛面臨的資料洩露困境。該方案的優勢體現在:
快:卓爾不群的處理效能。
智:智慧化自動學習,實現資料庫審計/防火牆零配置。
穩:十餘年技術積累,國內新研發專利技術,上千實際部署案例,產品執行穩定。
全:功能全面、全面覆蓋洩密路徑。
美:美觀的管理介面和報表。
細:達到欄位、語句級的細粒度的資料活動審計和訪問控制。
行業應用-方案價值
通過上述解決方案,有效滿足了社保行業資料中心所面臨的資料安全管理的需求:使資料安全可視、使資料安全可控、使資料安全合規。除帶來上述主要價值外,具體來說,中安威士資料安全管理解決方案還帶給社保行業使用者如下價值:
-
簡化業務治理,提高資料安全管理能力;
-
完善縱深防禦體系,提升整體安全防護能力;
-
減少核心資料洩漏,保障業務連續性;
-
有效維護社保行業的公信力和聲譽。
中安威士為北京中安位元科技有限公司專有品牌,以科學嚴謹的作風,為各行業使用者帶來高可靠的資料安全管理產品和服務。