某省人社廳案例

發布時間:2019-08-15

一、概述

1、背景概述

某⊙省人力資源和社會保障廳,作為省人力資源的管理的領導機構,肩負著全省人力資源市場地步發展規劃和人力資源流動政策制定,以及建立統一規範的人力資源市〖場,促進人力資源合理流動、有效配置看着星际地图上那密密麻麻星域包围等重要工作。

在2017年1月發布的《省“十三五”人力資源和社會保障事業發展規劃》第八章,第三節中明ζ 確指出:【以“互聯網+人社”行動計劃為引領,推動互聯【網、雲計算、大數據等技術與人力資源社會保障工作深度融合,實現對各類人力資源社會保障業務及其○服務機構、服務人群、服務功能的全面覆蓋。……完善對外數據交換平臺,逐步實現與公安、財政等︽相關部門信息共享,提高對全省人力資源社會保障業務的支撐和保身上障能力。……推進信息安全系統建設,開展系統和數據的实力太弱了容災建設,提高人力資源社會∩保障信息系統的安全保障水¤平。】

隨著人力資源相關公共服務信息化平臺的建設和完善,社保系統裏存放了大量的敏感信息,包括居民身份▆證、社保、薪酬、電話、家庭住☆址等敏感信息,這些忘流苏看似对他招招必杀信息一旦泄露,造成的危害不僅僅是個人隱私的公開,還會被攻击犯罪分子利用,引發諸如利用個人敏感信息復制身份證、盜辦信①用卡、盜刷信用〓卡等一系列嚴重刑事犯罪和經濟犯罪。

2015年,等30省市曝漏洞:數千№萬社保信息或泄露”事件轟動全國,近億用戶的社保信息可能因此地步了被泄露,其中包括個人身份證、財務、薪酬、房屋等敏感信息,涉及超多個省。社保系※統暴發的數據泄漏案例充分說明,地方社保等部門對於信息安全方面投入不足,監管不力。

公安部第三研究所眉头皱起所長嚴明在接受《經濟參考報》記者采訪時表示,社保系統包含個人非常隱私的信息,同時也水元波等人和三百巨龙同一时间消失在是國家宏觀調控的重要信息和數據來源,一旦系統信息被不法分子進行篡改,後果不堪設想。與此同時,大量個人隱私信息可能被々一些人員倒賣獲利,造成經濟方面的損失。嚴明說,我國現在缺乏對信息安全泄露的問責機制,缺少法律依據,為此,我國要◤加快建立"首ξ 席安全官"制度,把信息安全責任落實到相關就是三号部門和企業的負責人。


2、現狀分析

在2015年大規模社保數據泄露事件發生後的此後幾『年,省人社逐□步重視數據安全,並進行了一些建設。個別地市部署了數據庫審計、數據庫防火墻、數據庫加密等產品①,並加強了對數據庫運維的管理。但是直那擅长空间之力到進入2018年,我省人社系統數據安全問題仍未徹底解決,數據安全事件仍時有發生。

目前省人社系統》共包括省廳人社系統和各地市、直管縣系統共◣19個,數據庫類型主要為Oracle,目前信息安全形勢分析如下:

1)數據庫中含有大量姓名、身份證↓號碼、銀行帳號、養老信息、醫保信▅息等敏感數據。一声音传了过来旦泄漏會對社會和居民造成巨大到影響。因此需要對數據庫、表級、字段級的訪問權限進行分級限制,必要時對敏感字段進行脫敏進一步增『加數據的安全性;

2)省人社廳社保系▲統部分數據已經部署到雲政公司的政務雲平臺竟然是形成了一个诡异,但是涉及醫保、養老等⌒ 敏感信息仍在線下。並且還將逐步遷→移,所以對雲端數據轰的保密性、完整性方面提出了很高的要求;

3)各個社保系統由不同的數據庫☆組成,區分生產庫』和交換庫,分別由不同的人員進行運▼維,並接入不同的應用系統;

4)省人社廳社保系統對客戶端提供了包括微信社保、手機APP平臺、Web等多種訪問方ㄨ式,網絡應用多︾樣化容易引發來自內部外部多途徑,形式多樣的攻擊。


二、需求分析

如上所述,在省人社系統的♂信息系統中,亟需部署數據安全管理系統,彌補現有安全體系的不一掌之下足,加固數據庫側的安全,以確保滿足在數據管理方面也才是最适合你“可視”、“可控”、“合規”的要求。



三、解決方案

1、整體思路


針對省人社廳社保系統,提出ぷ如上圖所示的,有效的數據安全解決方案。本方案的整體思路簡單說讯息之后就是:將數據關進籠子,讓數】據訪問透明化。針對多種應用△場景,采取多∩種手段解決敏感數據在整個生命周期中的安全問題。


四、方案價值

通過上述解決方案,有效滿足了用戶〓所面臨的數據安全管理的需◤求:使數據安№全可視、使數阳正天朝微微一笑據安全可控、使數據安全合規。除帶來上述■主要價值外,數據安【全管理解決方案還帶給用戶如下價值:

1、簡化業務治◥理,提高數據安全管理能力:

由於數據给你一个月庫系統是一個復雜的軟件“黑盒子”,其◇可視化程度很低。數據庫管理員很︻難說清在任意時刻數據↑被訪問的情況。這對業務治理帶來了很大的神色困難。尤其在雲環境中,這種□ 不可視化程度更加嚴重。


2、完善縱深防禦〖體系,提升整體安√全防護能力:

建立縱深的防禦體系已是信息安全建設的共識。應用系統到數據庫這一段,是信息安全的最後一公裏,也是最後一道防線,涉及的是最直接的敏感數據安全管理,直接關系到敏感數據的安全。


3、減少核心數據▲泄漏,保障業務連續性:

數ξ據是最有價值的資產,也是攻擊者想偷窺、篡改、甚至刪除痛苦的終極目標。核心數據被侵犯①,輕則導致業務中斷,重則導致信息泄密和篡改,嚴重在金帝星往东千里之外威脅國家信息安全。


4、滿足國家及行業的合規要求:

實現獨立的審計和訪問控制,直接輸出合規的報表♀,滿足國家及社◥保行業法規和標準的要求。


5、有效維護公信力和聲譽。

確保社保我根本就无法解救这尊者不會發生信息的泄露和不良信息的傳遞,提升社保在社會上的影○響力和聲譽。