美創科技助力某省人社廳資料安全建設，加速推進“網際網路+人社”

人社事業事關國計民生，一旦資訊洩露將造成嚴重影響。美創科技助力某省人社廳構建多方位、立體化的資訊保安保障體系， 透過資料庫防水壩、資料庫安全審計等產品，全力保障人社資料安全，讓駭客“進不來、拿不走、改不掉、走不脫”， 加速推進“網際網路+人社”。

當前，隨著金保工程的不斷推進以及網際網路技術的廣泛應用，民眾足不出戶就能進行社會保障、醫療保險等業務的查詢、辦理。同時人社系統積累了海量的資料資源， 在傳輸和使用過程中確保資料保密性、完整性、可用性至關重要。

 

根據相關資料顯示，我國多個省市衛生和社保系統曾出現漏洞，圍繞社保、公務員等資訊系統的漏洞超過30個，涉及人員數量達數千萬，其中包括個人身份證、社保參保資訊、財務、薪酬、房屋等敏感資訊。

一、資料庫防護手段亟需完善

近年來，由內部人員運維、開發人員誤操作或者違規操作導致資料庫損壞和資料丟失現象時有發生。因此，作為關係國計民生的人力資源和社保單位，該省人社廳也在積極籌劃加強自身的資訊保安防護體系的建設。

在該省人社廳現有的安全防護體系中，均為雲上的邊界的網路安全裝置，針對資料庫層面安全防護非常薄弱。尤其對於單位內部人員、第三方人員對敏感資料的訪問、資料庫日常操作，缺少細粒度的許可權控制、監控審計手段，資料庫的非授權訪問和操作面臨不受監管和約束的風險。

 

二、 內部風險管控+全面、精確審計
經過現場考察及分析，美創科技基於多年來在人社行業資料安全經驗，透過部署資料庫防水壩和資料庫安全審計提升該省人社廳資料安全保障能力。

透過美創資料庫防水壩的准入控制、許可權控制、工單申請、動態脫敏的機制，以及美創資料庫審計的監控與溯源能力來預防內部人員、第三方人員直接接觸所有敏感資料、違規和惡意操作破壞資料庫系統。

內部風險管控+審計

1 、運維脫敏
為了有效的防止高許可權運維人員的接觸敏感資料，本次專案美創科技透過動態脫敏機制對未授權的賬戶訪問敏感資料實現動態脫敏，來防止第三方運維人員接觸重要的敏感資料資訊和業務的個人隱私資料，並提高運維安全。

2 、誤操作恢復
透過垃圾箱機制對於“Drop Table，Drop Partition，Truncate table，Truncate Partition, Drop Tablespace”等誤操作或者入侵者破壞時，執行快速恢復，實現幾秒之內完成任意規模表格的資料恢復。

3 、隔離特權賬號與敏感資料
為避免運維過程中涉及的敏感資料洩露，美創科技透過隔離特權賬號與敏感資料使SYSDBA和DBA等高許可權許可權的人員不再具有訪問敏感資料以及執行高危操作的許可權，從而確保了敏感資料的保護和資料庫的執行穩定。

 

4 、運維工單審批
透過利用美創防水壩的工單審批機制，該省人社廳達到了預防內部人員執行惡意操作、高危操作導致對業務造成危害行為的發生。
透過工單審批機制，當運維人員對要重點保護的資料庫進行訪問、修改、以及執行高危操作命令時會進行工單審批，而未稽核透過後的訪問和作業系統會即予以阻斷並告警。這樣就可以預防運維人員未經授權或許可的情況下，竊取敏感資料、違規操作和惡意運算元據庫的危害行為發生。

5 、全面、精確審計
當運維人員完成對資料庫運維操作後，美創資料庫審計系統會對運維操作內容均會被記錄下來，定期彙總生成報表，規範流程管理的同時，可以做到有效的追責定責。

三、保障資料安全，加速推進“網際網路+人社”
1 、防止內部高危操作

系統維護人員、外包人員、開發人員等，沒有了直接訪問資料庫的許可權，也無法進行有意無意的進行高危操作來破壞資料庫系統和資料。

2 、防止應用違規操作

業務操作人員和開發人員，透過應用系統賬號也無法非法登入資料庫，以及執行違規操作，篡改或盜取敏感資料。

3 、防止敏感資料洩漏

駭客、開發人員無法透過應用批次下載敏感資料，內部維護人員無法執行遠端或本地批次匯出敏感資料的操作。

4 、增強威懾

透過審計加強了威懾力，並針對運維工作規範和流程進行了加強。也提高了業務操作人員安全意識，保障業務資料安全。

5 、滿足合規要求

滿足《網路安全法》、《網路安全等級保護2.0》、《社會保險個人權益記錄管理辦法》（人社部令第14號）、《人力資源和社會保障資料中心資料庫安全管理規範（試行）》（人社廳發﹝2014﹞48）、《人力資源社會保障資料安全管理規範（試行）》（人社廳發﹝2019﹞37號）等法律法規要求下人社系統內部人員的資料安全專項要求。