数据安全之社保

 

数据泄漏事件频发

2015年以来，信息泄漏成为全球信息安全最大的威胁。在国内，社保系统已经成为个人信息泄露“重灾区”。据报道，截止2015年4月，重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞，近亿用户的社保信息可能因此被泄露，其中包括个人身份证、财务、薪酬、房屋等敏感信息，涉及超30省。更为可怕的是，各省市目前发现的漏洞仅是冰山一角，被泄露个人信息的人数可能比我们想象得还要多。

业内人士表示，社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息，这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。以省或市为单位的信息泄露，有可能被大致匡算出当地的人均收入、社保金额等国家经济数据，危害极大，仅河北省计生委的一个漏洞就涉及7000万居民详细信息，山东省某卫生系统漏洞导致全省600万儿童、1200万父母详细信息泄露。

 

相关标准和法规

 

近年来，信息安全问题已经升至国家层面。有关信息安全的政策也持续在密集出台,《网络安全法》正式推出在望，将给敏感信息防泄漏方面提出明确要求。已经有的国家级和行业级的安全法规和标准，比如《等保》、《分保》、《商秘》等，也对数据安全管理有明确的要求。

 

 

社保行业暴发的数据泄漏案例充分说明，地方社保等部门对于信息安全方面投入不足，监管不力。社保系统暴露的信息安全问题，根本原因是行业多年来“重建设轻运维”、“重管理轻安全”的现实情况。我们在信息安全方面，无论是资金还是技术和人才方面的投入都大大低于欧美国家。如果这个趋势不改变，随着互联网经济的爆发性发展，类似的事件将会继续暴露出来。

据中安威士在社保行业的深入了解，行业有限的信息安全投入，主要都集中在网络层面，而且主要集中在外网部分。而对于数据真正所在的内网部分，除了少数系统中部署了运维堡垒机和数据库审计以外，几乎没有任何额外的对数据的直接保护。

 

 

总体方案

中安威士总结对多个社保系统进行安全加固经验，认为针对社保系统有效的解决方案，是解决敏感数据全生命周期的安全问题。中安威士提出的针对社保行业的数据安全管理方案如下：

 

 

1）数据活动的全面审计。详细记录敏感数据被访问的情况，包括来自于外网用户和业务员的访问，尤其是对批量访问的审计、越权操作的审计、以及更改和删除操作所影响的原始数据的审计。

2）细粒度访问控制。阻断异常的、违规的、以及攻击性的查询和访问，防止敏感数据泄漏以及被破坏。

3）敏感内容脱敏。有针对性的对不同系统和用户，通过动态脱敏手段，实时授予对敏感数据的遮蔽、替换等不同展示方式，防止数据泄漏。同时，对例如开发、测试、数据外发等环境，提供静态脱敏手段，批量的对敏感数据脱敏，防止真实敏感数据外泄。

4）敏感内容加密。有选择性的对敏感内容加密，使敏感数据在存储、备份时以密文方式存在。通过控制加密和解密权限，提供对敏感数据访问的增强权限管理，防止超级权限被盗用和滥用导致的数据泄漏。

 

实施方案

中安威士数据安全解决方案基于自主研发的系列数据库安全加固产品实现。以某省人力资源与社会保障保厅为例，具体的实施方案如下：

 

 

该解决方案的要点如下：

1) 在共享数据库之前部署数据库动态脱敏系统和数据库防火墙系统，从源头上对数据进行脱敏，并阻止SQL注入、越权数据访问以及其它对数据库的攻击。为防止单点失败，数据库动态脱敏/防火墙系统部署为双机模式。通过自动学习，建立防火墙规则。

2) 在生产库和共享库之间部署数据库动态脱敏和数据库防火墙，确保从生产库到共享库的数据经过必要脱敏，同时确保从共享库端不会有对生产库的攻击和越权操作。

3) 在生产库和开发/测试库之间部署数据库静态脱敏系统，确保从生产库到开发/测试库的数据经过必要脱敏，定期批量的生成开发测试库，防止开发测试人员不能接触真实数据。

4) 在生产库和内部办公应用服务器之间，部署数据库动态脱敏和数据库防火墙，从源头上对数据进行动态脱敏，并阻止SQL注入、越权数据访问以及其它对数据库的攻击，防止内部办公人员通过截屏等方式泄漏敏感信息。通过自动学习，建立防火墙规则。

5) 部署数据库加密系统，保护尤其重要的敏感数据。

6) 对共享数据库和生产库部署数据库审计，记录一切数据库访问操作，并自动发现数据库攻击和越权行为。

 

 

中安威士数据安全管理解决方案基于数据库审计、数据库防火墙、数据库加密和数据库脱敏产品实现。方案完整地解决了当前信息系统所广泛面临的数据泄露困境。该方案的优势体现在：

快：卓尔不群的处理性能。

智：智能化自动学习，实现数据库审计/防火墙零配置。

稳：十余年技术积累，国内新研发专利技术，上千实际部署案例，产品运行稳定。

全：功能全面、全面覆盖泄密路径。

美：美观的管理界面和报表。

细：达到字段、语句级的细粒度的数据活动审计和访问控制。

 

 

通过上述解决方案，有效满足了社保行业数据中心所面临的数据安全管理的需求：使数据安全可视、使数据安全可控、使数据安全合规。除带来上述主要价值外，具体来说，中安威士数据安全管理解决方案还带给社保行业用户如下价值：

1) 简化业务治理，提高数据安全管理能力；

2) 完善纵深防御体系，提升整体安全防护能力；

3) 减少核心数据泄漏，保障业务连续性；

4) 有效维护社保行业的公信力和声誉。

中安威士为北京中安比特科技有限公司专有品牌，以科学严谨的作风，为各行业用户带来高可靠的数据安全管理产品和服务。