数据泄漏事件频发
2015年以来,信息泄漏成为全球信息安全最大的威胁。在国内,社保系统已经成为个人信息泄露“重灾区”。据报道,截止2015年4月,重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,近亿用户的社保信息可能因此被泄露,其中包括个人身份证、财务、薪酬、房屋等敏感信息,涉及超30省。更为可怕的是,各省市目前发现的漏洞仅是冰山一角,被泄露个人信息的人数可能比我们想象得还要多。
业内人士表示,社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息,这些信息一旦泄露,造成的危害不仅是个人隐私全无,还会被犯罪分子利用,例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。以省或市为单位的信息泄露,有可能被大致匡算出当地的人均收入、社保金额等国家经济数据,危害极大,仅河北省计生委的一个漏洞就涉及7000万居民详细信息,山东省某卫生系统漏洞导致全省600万儿童、1200万父母详细信息泄露。
相关标准和法规
近年来,信息安全问题已经升至国家层面。有关信息安全的政策也持续在密集出台,《网络安全法》正式推出在望,将给敏感信息防泄漏方面提出明确要求。已经有的国家级和行业级的安全法规和标准,比如《等保》、《分保》、《商秘》等,也对数据安全管理有明确的要求。
社保行业暴发的数据泄漏案例充分说明,地方社保等部门对于信息安全方面投入不足,监管不力。社保系统暴露的信息安全问题,根本原因是行业多年来“重建设轻运维”、“重管理轻安全”的现实情况。我们在信息安全方面,无论是资金还是技术和人才方面的投入都大大低于欧美国家。如果这个趋势不改变,随着互联网经济的爆发性发展,类似的事件将会继续暴露出来。
据中安威士在社保行业的深入了解,行业有限的信息安全投入,主要都集中在网络层面,而且主要集中在外网部分。而对于数据真正所在的内网部分,除了少数系统中部署了运维堡垒机和数据库审计以外,几乎没有任何额外的对数据的直接保护。
总体方案
中安威士总结对多个社保系统进行安全加固经验,认为针对社保系统有效的解决方案,是解决敏感数据全生命周期的安全问题。中安威士提出的针对社保行业的数据安全管理方案如下:
1)数据活动的全面审计。详细记录敏感数据被访问的情况,包括来自于外网用户和业务员的访问,尤其是对批量访问的审计、越权操作的审计、以及更改和删除操作所影响的原始数据的审计。
2)细粒度访问控制。阻断异常的、违规的、以及攻击性的查询和访问,防止敏感数据泄漏以及被破坏。
3)敏感内容脱敏。有针对性的对不同系统和用户,通过动态脱敏手段,实时授予对敏感数据的遮蔽、替换等不同展示方式,防止数据泄漏。同时,对例如开发、测试、数据外发等环境,提供静态脱敏手段,批量的对敏感数据脱敏,防止真实敏感数据外泄。
4)敏感内容加密。有选择性的对敏感内容加密,使敏感数据在存储、备份时以密文方式存在。通过控制加密和解密权限,提供对敏感数据访问的增强权限管理,防止超级权限被盗用和滥用导致的数据泄漏。
实施方案
中安威士数据安全解决方案基于自主研发的系列数据库安全加固产品实现。以某省人力资源与社会保障保厅为例,具体的实施方案如下:
该解决方案的要点如下:
1) 在共享数据库之前部署数据库动态脱敏系统和数据库防火墙系统,从源头上对数据进行脱敏,并阻止SQL注入、越权数据访问以及其它对数据库的攻击。为防止单点失败,数据库动态脱敏/防火墙系统部署为双机模式。通过自动学习,建立防火墙规则。
2) 在生产库和共享库之间部署数据库动态脱敏和数据库防火墙,确保从生产库到共享库的数据经过必要脱敏,同时确保从共享库端不会有对生产库的攻击和越权操作。
3) 在生产库和开发/测试库之间部署数据库静态脱敏系统,确保从生产库到开发/测试库的数据经过必要脱敏,定期批量的生成开发测试库,防止开发测试人员不能接触真实数据。
4) 在生产库和内部办公应用服务器之间,部署数据库动态脱敏和数据库防火墙,从源头上对数据进行动态脱敏,并阻止SQL注入、越权数据访问以及其它对数据库的攻击,防止内部办公人员通过截屏等方式泄漏敏感信息。通过自动学习,建立防火墙规则。
5) 部署数据库加密系统,保护尤其重要的敏感数据。
6) 对共享数据库和生产库部署数据库审计,记录一切数据库访问操作,并自动发现数据库攻击和越权行为。
中安威士数据安全管理解决方案基于数据库审计、数据库防火墙、数据库加密和数据库脱敏产品实现。方案完整地解决了当前信息系统所广泛面临的数据泄露困境。该方案的优势体现在:
快:卓尔不群的处理性能。
智:智能化自动学习,实现数据库审计/防火墙零配置。
稳:十余年技术积累,国内新研发专利技术,上千实际部署案例,产品运行稳定。
全:功能全面、全面覆盖泄密路径。
美:美观的管理界面和报表。
细:达到字段、语句级的细粒度的数据活动审计和访问控制。
通过上述解决方案,有效满足了社保行业数据中心所面临的数据安全管理的需求:使数据安全可视、使数据安全可控、使数据安全合规。除带来上述主要价值外,具体来说,中安威士数据安全管理解决方案还带给社保行业用户如下价值:
1) 简化业务治理,提高数据安全管理能力;
2) 完善纵深防御体系,提升整体安全防护能力;
3) 减少核心数据泄漏,保障业务连续性;
4) 有效维护社保行业的公信力和声誉。
中安威士为北京中安比特科技有限公司专有品牌,以科学严谨的作风,为各行业用户带来高可靠的数据安全管理产品和服务。
相关推荐
### 电力行业等级保护中的数据安全防护 #### 一、电力行业数据安全面临的挑战 随着电力信息化进程的加速,电力行业在享受信息技术带来的便捷高效的同时,也面临着前所未有的数据安全挑战。电力公司作为国家重要的...
【威海市社会保险业务数据管理办法】是针对社会保险业务数据管理和保护的规范性文件,旨在确保数据的及时性、完整性、准确性、安全性和保密性。该办法适用于威海市的社会保险行政部门、经办机构和信息机构,旨在维护...
摘 要 大数据时代,数据泄露事件层出不穷,数据安全已经成为阻碍大数据发展的主要因素之一。因此,确保大数据时代下敏感数据的安全尤为重要。针对大数据安全所面临的挑战,提出以数据安全治理为中心的安全防护方案...
社保工作者需要完善数据收集、存储、应用的制度,强化社会保险信息与时准确记录,使用全国统一标准的社保信息数据代码,强化地区之间社保信息系统的联网,使各类社保数据实时准确上传,保证上传数据的真实性和完整性...
数字化转型之大数据平台+数据治理+数据管理+数据安全等方案建设PPT大合集,共36份。 城市大数据中心建设方案 大数据安全规划总体方案 大数据对税收和社会保险费征收管理的影响 大数据机房自然通风冷却节能项目计划...
首要的是数据安全问题,社会保险涉及大量个人隐私信息,如何确保数据在云端的安全存储和传输至关重要。其次,需要克服技术难题,如海量数据的快速处理、系统稳定性保障等。再者,需要协调各部门间的合作,打破信息...
【乌鲁木齐市社会保险基金中心实施社保电子政务】 乌鲁木齐市社会保险基金中心在推进社保信息化进程中,选择了长天科技集团的E-SIBSS社会保险电子政务系统。该系统基于J2EE的B/S/S三层架构,旨在实现社保信息体系的...
我国的社会保险经办机构通常结合自身情况选择合适的备份策略,部分机构可能采用更复杂的备份方案,例如周期性的完全备份配合增量或差量备份,以达到既节约资源又确保数据安全的目的。 然而,随着对数据安全需求的...
《社会保险互联网业务安全体系设计与实现》 随着信息技术的飞速发展,互联网和信息系统已渗透到社会各行各业,其中,社会保险互联网业务的普及是社会信息化进程的重要体现。然而,这种便捷的同时,也带来了安全风险...
【佛山市社会保险综合信息系统核心业务系统之一技术方案】的目的是解决全市社会保险机构信息不互通的问题,提升社会保险工作的管理效率和服务质量。项目旨在构建一个统一、安全、高效的信息系统,覆盖养老、工伤、...
总之,IBM的社会保险解决方案利用Websphere、MQSeries和TXSeries/CICS等中间件构建了一个强大、灵活且可扩展的信息系统,能够有效地支撑社会保险业务的实时和非实时需求,确保数据安全,提高服务质量,同时具备良好...
社会保险系统设计方案设计范本主要关注的是郑州市社会保险计算机管理信息系统的升级和改造,旨在提升社保管理的效率、安全性和服务质量。方案分析了当前系统的局限性,包括操作系统过时、数据库管理系统落后、网络...
### 福建省社会保险参保人员基本情况登记表解析 #### 一、登记表基本信息解读 **标题**: **福建省社会...通过详细填写此表单,可以有效保障参保人员的权益,同时也有助于社会保险管理机构更好地进行数据统计和管理。
社会保险管理信息系统是用于管理和处理社会保险事务的专业化平台,通过统一的数据标准和编码体系确保信息的一致性和准确性。本文将根据提供的文件内容,详细介绍其中提及的各项指标及其代码含义。 #### 基金类别...
- 安全保密体系:建立健全信息安全防护机制,确保数据安全,防止信息泄露。 - 宏观决策支持系统:为政府决策提供数据支持,进行社保政策的科学制定和调整。 二、系统的指导思想 1. 以业务为基础:系统设计应紧密...
知识点:apikey认证、sign认证、社保数据安全 社保API接口数据调用还涉及到多种响应模式,包括同步响应模式和异步响应模式等。同步响应模式是指服务器立即返回响应结果,而异步响应模式是指服务器返回响应结果需要...
3. **社会保险稽核的目的**:旨在确保社会保险基金的安全与合理使用,维护参保人的合法权益,促进社会保险制度的健康发展。 4. **社会保险稽核的依据**:国家法律、法规及相关政策文件。 ##### (二)社会保险稽核...
人力资源和社会保障行业省级数据中心的网络安全是当前信息化时代中至关重要的问题。随着信息技术的快速发展,这个行业在提供就业、社会保障、医疗保险等关键服务时,其信息系统已经成为支撑业务运行的基础。然而,...
总之,社保信息管理系统是一个高效、可扩展的工具,旨在简化社保管理工作,提供数据管理和分析功能,同时保障数据安全。它的应用管理特性、强大的数据处理能力以及可定制性,使其成为企业和社会组织进行社保管理的...
社保管理系统是社会保障体系的重要组成部分,它负责收集、处理、存储和分析与社会保险相关的海量数据。网新恩普的社会保险管理系统,通过高效的数据架构,实现了对参保人员信息、缴费记录、待遇发放等全方位的管理。...