某省人社廳案例

發布時間:2019-08-15

一、概述

1、背景概述

某省人力資源和社會保障廳,作為省人力資源的管理的領導機構,肩負著全省人力資源市場發展規劃和人力資源流動政策制定,以及建立統一規范的人力資源市場,促進人力資源合理流動、有效配置等重要工作。

在2017年1月發布的《省“十三五”人力資源和社會保障事業發展規劃》第八章,第三節中明確指出:【以“互聯網+人社”行動計劃為引領,推動互聯網、云計算、大數據等技術與人力資源社會保障工作深度融合,實現對各類人力資源社會保障業務及其服務機構、服務人群、服務功能的全面覆蓋。……完善對外數據交換平臺,逐步實現與公安、財政等相關部門信息共享,提高對全省人力資源社會保障業務的支撐和保障能力。……推進信息安全系統建設,開展系統和數據的容災建設,提高人力資源社會保障信息系統的安全保障水平。】

隨著人力資源相關公共服務信息化平臺的建設和完善,社保系統里存放了大量的敏感信息,包括居民身份證、社保、薪酬、電話、家庭住址等敏感信息,這些信息一旦泄露,造成的危害不僅僅是個人隱私的公開,還會被犯罪分子利用,引發諸如利用個人敏感信息復制身份證、盜辦信用卡、盜刷信用卡等一系列嚴重刑事犯罪和經濟犯罪。

2015年,等30省市曝漏洞:數千萬社保信息或泄露”事件轟動全國,近億用戶的社保信息可能因此被泄露,其中包括個人身份證、財務、薪酬、房屋等敏感信息,涉及超多個省。社保系統暴發的數據泄漏案例充分說明,地方社保等部門對于信息安全方面投入不足,監管不力。

公安部第三研究所所長嚴明在接受《經濟參考報》記者采訪時表示,社保系統包含個人非常隱私的信息,同時也是國家宏觀調控的重要信息和數據來源,一旦系統信息被不法分子進行篡改,后果不堪設想。與此同時,大量個人隱私信息可能被一些人員倒賣獲利,造成經濟方面的損失。嚴明說,我國現在缺乏對信息安全泄露的問責機制,缺少法律依據,為此,我國要加快建立"首席安全官"制度,把信息安全責任落實到相關部門和企業的負責人。


2、現狀分析

在2015年大規模社保數據泄露事件發生后的此后幾年,省人社逐步重視數據安全,并進行了一些建設。個別地市部署了數據庫審計、數據庫防火墻、數據庫加密等產品,并加強了對數據庫運維的管理。但是直到進入2018年,我省人社系統數據安全問題仍未徹底解決,數據安全事件仍時有發生。

目前省人社系統共包括省廳人社系統和各地市、直管縣系統共19個,數據庫類型主要為Oracle,目前信息安全形勢分析如下:

1)數據庫中含有大量姓名、身份證號碼、銀行帳號、養老信息、醫保信息等敏感數據。一旦泄漏會對社會和居民造成巨大到影響。因此需要對數據庫、表級、字段級的訪問權限進行分級限制,必要時對敏感字段進行脫敏進一步增加數據的安全性;

2)省人社廳社保系統部分數據已經部署到云政公司的政務云平臺,但是涉及醫保、養老等敏感信息仍在線下。并且還將逐步遷移,所以對云端數據的保密性、完整性方面提出了很高的要求;

3)各個社保系統由不同的數據庫組成,區分生產庫和交換庫,分別由不同的人員進行運維,并接入不同的應用系統;

4)省人社廳社保系統對客戶端提供了包括微信社保、手機APP平臺、Web等多種訪問方式,網絡應用多樣化容易引發來自內部外部多途徑,形式多樣的攻擊。


二、需求分析

如上所述,在省人社系統的信息系統中,亟需部署數據安全管理系統,彌補現有安全體系的不足,加固數據庫側的安全,以確保滿足在數據管理方面“可視”、“可控”、“合規”的要求。



三、解決方案

1、整體思路


針對省人社廳社保系統,提出如上圖所示的,有效的數據安全解決方案。本方案的整體思路簡單說就是:將數據關進籠子,讓數據訪問透明化。針對多種應用場景,采取多種手段解決敏感數據在整個生命周期中的安全問題。


四、方案價值

通過上述解決方案,有效滿足了用戶所面臨的數據安全管理的需求:使數據安全可視、使數據安全可控、使數據安全合規。除帶來上述主要價值外,數據安全管理解決方案還帶給用戶如下價值:

1、簡化業務治理,提高數據安全管理能力:

由于數據庫系統是一個復雜的軟件“黑盒子”,其可視化程度很低。數據庫管理員很難說清在任意時刻數據被訪問的情況。這對業務治理帶來了很大的困難。尤其在云環境中,這種不可視化程度更加嚴重。


2、完善縱深防御體系,提升整體安全防護能力:

建立縱深的防御體系已是信息安全建設的共識。應用系統到數據庫這一段,是信息安全的最后一公里,也是最后一道防線,涉及的是最直接的敏感數據安全管理,直接關系到敏感數據的安全。


3、減少核心數據泄漏,保障業務連續性:

數據是最有價值的資產,也是攻擊者想偷窺、篡改、甚至刪除的終極目標。核心數據被侵犯,輕則導致業務中斷,重則導致信息泄密和篡改,嚴重威脅國家信息安全。


4、滿足國家及行業的合規要求:

實現獨立的審計和訪問控制,直接輸出合規的報表,滿足國家及社保行業法規和標準的要求。


5、有效維護公信力和聲譽。

確保社保不會發生信息的泄露和不良信息的傳遞,提升社保在社會上的影響力和聲譽。


江苏快3 - 一定牛