社保行業數據庫安全解決方案
行業需求與挑戰
近年來���,中國政府不斷加大社保信息系統建設的力度�����,以實現社保系統覆蓋面逐漸擴大���、社保水平逐漸提高�、社保功能逐漸完善的發展需求�。在《人力資源和
社會保障信息化建設“十二五”規劃》中���,政府對于未來社保制度和信息化建設工作提出了更高的要求�。在社保覆蓋范圍逐年擴大�、社保系統服務不斷豐富�����、統籌城
鄉�����、省級統籌�、新農保���、新農合���、一卡通等系統應用推廣范圍不斷擴大的背景下���,大量社會信息集中管理�����,如公民姓名�����、身份證號�、社保金額等等信息���;如今三險合
一���、五險合一的推進�����,進一步讓數據系統集中化���。
相對于數據集中化管理�����,社保行業客戶更為關注信息安全如何解決���,2015年4月22日社保千萬信息泄露事件引起國家相關部門高度關注�����,國家要求
對社保行業進行信息化“安全自查�、深入整改”���;據分析社保數據泄露是一方面���,另一方面對于數據篡改�����,信息化安全領導也深惡痛絕���,尤其是養老金額篡改�����,由于
養老金額經常會變動�,且很難實現信息層面的校驗�,故一旦養老金金額被篡改���,每年在此項國家流失的金額近千萬���。
數據泄露和數據篡改究其本源在于數據庫存在以下挑戰:
風險①:互聯網外部黑客SQL注入和數據庫漏洞攻擊風險���;
風險②:程序開發和第三方運維對外網數據庫中數據批量導出風險�;
風險③:內網開發���、運維�����、DBA利用數據庫惡意和誤操作風險���;
風險④:生產�����、決策�、交換和共享區的數據庫篡改與批量數據導出風險���;
風險⑤:醫保前置區業務應用操作���,既對醫院���、藥房等操作要做全面的記錄���;
風險⑥:測試區與生產區的真實數據交換�����,數據未加混淆有泄漏風險�。
社保行業數據庫安全部署圖
針對以上風險�,我們建議社保行業客戶逐步建立并完善數據庫安全防護:
1.事前——漏洞風險評估:定期對數據庫系統進行漏洞掃描���,對數據庫弱口令�����、缺省口令���、弱安全策略���、權限寬泛���、敏感數據發現�、權限提升漏洞�����、補丁升級等掃描���,
為社保數據庫系統的安全強壯度提升提供整體有效的參考�����。并參考漏洞風險及修復建議對系統進行后期加固�;一旦發現中級風險�����、高級風險漏洞定期完成測試并修
補���;
2.事中——數據庫加固:
數據庫防火墻�����,通過數據庫防火墻抵御SQL注入攻擊及針對數據庫漏洞的攻擊�����;另一方面通過獨立的權限控制來實現運維人員對數據庫操作管控���;
數據庫加密:通過數據庫加密通過對數據庫存儲的信息進行加密存儲�,并且通過獨立的權限管控系統來實現對敏感數據訪問的權限控制���;
3.事后——數據庫安全合規監察:在社保核心的數據庫前端旁路實施數據庫安全合規監察技術���,不改變數據庫系統的任何設置的情況下對數據庫的操作實現跟蹤記錄�、
定位���,實現數據庫的在線監控�,在不影響數據庫系統自身性能的前提下���,實現對數據庫的在線監控和保護���,及時地發現網絡上針對數據庫的違規操作行為并進行記
錄���、報警和實時阻斷�,有效地彌補現有應用業務系統�。
4.系統在數據庫安全使用上的不足�,為數據庫系統的安全運行提供了有力保障���。
通過上述解決方案�����,有效解決了某社保數據安全所面臨的威脅�����,在滿足國家合規性的基礎上大大提升了數據庫安全強度�����。
方案價值
1.防止數據庫中的參保人和參保單位的信息批量泄漏�����;
2.防止人社信息系統中醫保���、社保與財務相關的信息被篡改�����;
3.漏洞檢測�����、防護:通過漏洞掃描以及數據庫防火墻實現對數據庫漏洞檢測及防護���;
4.敏感數據加密存儲:通過數據庫加密實現敏感數據加密存儲�����;
5.訪問權限控制:獨立的權限管控�����,可以實現對數據庫操作權限控制以及敏感數據訪問權限控制�����;
6.完善信息審計:一方面滿足合規要求���,另一方面可以進行對行為事后追溯�。
