常州市住房公積金管理中心：美創防水壩守護資料安全

如今，公眾敏感資料保護已經引起了各行各業的重視，在常州市住房公積金管理中心資料安全建設過程中， 美創資料庫防水壩系統協助使用者 建立基於資料層面的內部資料使用安全管控體系，有效保障了公積金管理中心敏感資料資產的安全。

 

常州市住房公積金管理中心為直屬常州市人民政府、負責全市住房公積金管理的獨立的正處級事業單位，下轄3個分中心，2個營業部和6個管理處室。主要負責全市住房公積金歸集、使用、管理。審批住房公積金的提取、個人貸款，並負責記載住房公積金的繳存、提取、使用等情況，負責住房公積金的保值和歸還。

管理中心各業務系統記憶體儲有單位職工的姓名、身份證號、手機號碼、工資基數、銀行卡號等大量隱私資訊，為進一步貫徹國務院“放管服”改革要求，切實提升住房公積金服務效能，同時保障隱私資料安全，避免資料洩漏，現需加強內部安全管控，具體如下：

❶ 敏感資料多，資料交換場景多：公積金業務系統包含大量公積金繳納人敏感資料，當與商業銀行、建設部、財政部等相關部門進行資料交換時，敏感資料保護是難題。

❷ 內控及准入安全管理：公積金內部資料庫運維人員、系統開發商駐場開發人員、第三方資料庫運維人員等，人員複雜、管理困難。如若發生資料庫誤操作，可能造成嚴重後果。

❸ 資料集中後，訪問許可權管理複雜：地市資訊人員可以直接訪問資料庫，進行資料查詢、資料呼叫，人員許可權配置非常複雜。

❹ 工具及假冒應用訪問威脅：運維人員在私人電腦上利用工具連線訪問資料庫，駭客利用假冒應用訪問資料庫等，安全隱患大。

Part1 解決方案

 

針對常州住房公積金管理中心的安全需求，美創資料庫防水壩透過對住房公積金管理中心重要以及敏感資料進行分類分級，對內部高許可權使用者進行管理控制，對面向資料的操作行為進行授權管理與訪問控制，對資料庫操作進行細粒度審計管理，從而實現資料資產內部使用過程的風險控制，整體提高常州市住房公積金管理中心資料資產安全。

 

美創資料庫防水壩部署圖

1敏感資料訪問控制

美創資料庫防水壩以敏感資料保護為核心，精確到敏感列的訪問控制；落實零信任機制，任何試圖訪問敏感資料的人都會進行驗證，必須經過授權。

 

2特權使用者准入管理

以往公積金管理中心內部DBA、駐場開發人員訪問資料比較隨意，美創資料庫防水壩透過准入管理，只允許在特定區域、特定終端登入，多因素登入保護；針對第三方運維使用SYS維護等行為，資料庫防水壩禁止其訪問敏感資料。

 

3資料調取時動態脫敏

公積金管理中心地市人員臨時查詢資料，必須走審批流程，且只能訪問授權的資料；地市調取資料，同樣必須走審批流程，利用資料庫防水壩動態脫敏功能，根據規則對結果中涉及的敏感資料進行脫敏處理。

 

4工具及假冒應用訪問控制

美創資料庫防水壩限制工具對資料庫的登入操作，只允許業務網段+應用程式的組合訪問資料庫；配置唯一個IP+MAC+PLSQL的組合訪問資料庫，方便運維操作；同時，配置資料庫防水壩的防假冒模組，防止駭客程式假冒應用竊取資料。

 

Part 2 客戶收益
❶透過美創資料庫防水壩系統，建立了常州市住房公積金管理中心基於資料層面的內部資料使用安全管控體系，完善了整體的資訊保安架構。
❷基於人員與資料資產的內部資料安全使用管控能力，能夠有效防止內部資料安全洩露風險，提升公積金管理中心整體的資料安全防禦能力。
❸實現敏感資料分級分類和分權管理，有效防止繳納人資訊等敏感資訊洩露，提升了敏感資料的完整性、保密性、可用性。
❹合規審計，方便事後追溯，滿足相關主管單位的政策和法律要求。