社保行业应用及数据安全解决方案

社保行业安全分析

通过近几年的建设,社保行业在电子政务统一网络平台上,依据国家“金保工程”建设要求,建成了各市级劳动保障数据中心,构建了市级主干广域网以及局域网,建成了社保专网、核心生产网、劳动就业网等业务网,建成了包括社会保险管理信息系统(五险合一)、劳动保障社区服务平台、劳动保障12333咨询服务平台、行业统筹养老保险管理系统、机关事业养老保险管理系统等在内的业务信息系统,接入用户包括公众用户、企业用户、医院、药店、就业相关单位、社保相关单位、省厅及各地市社保内部工作人员等等,实现了劳动保障业务经办的全程信息化。整体系统支持省内跨地市、跨省的社会保险关系转移、异地就医和异地离退休人员安置和管理服务,实现了社会保险、劳动就业及综合管理等业务信息及其统计类的信息交换与共享,实现了社会保障基金的非现场监督,实现了社会公众对社会保险事务的有关服务要求,实现了与相关部门的横向信息交换,实现了网络扫描方式的信息采集和深层次的信息分析,为宏观决策提供支持。

随着社保各业务系统信息化进程的不断发展,庞大的数据库也面临着众多的应用数据安全问题,如养老保险数据篡改、个人信息泄露、管理员操作失误等。目前,社保行业数据库信息安全面临严峻挑战,并已引起社保信息化主管单位高度重视,成为迫切需要解决的问题。

安恒的解决方案

针对目前社保行业面临的业务系统安全风险,杭州安恒信息技术有限公司根据用户的需求进行分析,从数据安全的角度出发考虑整体的数据库安全性,将应用系统各数据库服务器的业务流量及所需要关联审计的各WEB服务器,分别将数据流量端口镜像到明御数据库审计与风险控制系统(DAS- Auditor)各端口,并在系统中设置相应的审计对象及审计规则,总体部署示意图如下:



系统部署图


采用静态审计实现数据库自身安全隐患的审计

数据库静态审计的目的是代替繁琐的手工检查,预防安全事件的发生。众所周知,社保数据库复杂并且庞大,如果采用人工、手工去检查数据库自身的安全隐患,将会费时费力,而安恒依托其权威性的数据库安全规则库,自动完成对几百种不当的社保数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁等等静态审计,通过静态审计,可以为后续的动态防护与审计的安全策略设置提供有力的依据。

采用数据库实时审计解决数据库操作中的细粒度审计

采用了细粒度的审计策略对操作与访问进行全监控

明御数据库审计与风险控制系统提供了对社保专网所有用户操作行为的全监控,包括帐户对数据库的用户、表、字段、视图、索引、过程、函数、包等元素的访问操作,

实现了针对所有帐户对数据库访问与操作的全面监测审计

明御数据库审计与风险控制系统提供包括对社保内部和外部系统管理员的账户在内的所有帐户登录、访问和各种操作行为,可以审计来自客户端直接进入数据库系统的,也可以审计通过应用中间件进入数据库系统的,通过关联分析可以清晰地知道何时、何地、何人进入数据库系统在做什么,是授权的,还是非授权的,访问和操作是否合规或违规。

加强了对数据库临时帐户的审计监测审计

社保行业数据库系统的维护人员有时需要在数据库中建立一些临时的账户,用于数据库的日常维护,然而这样的账户如果被非系统维护人员恶意利用,由于使用时间较短,系统管理员很难发现数据资源被窃取或是被恶意修改。明御数据库审计与风险控制系统具有针对此类安全风险的审计功能,可以把临时帐户对数据库的访问和操作全部记录在案,保证了审计记录的完整性。

加强了针对重要敏感数据的访问的审计监测

社保数据库系统中的数据,如医疗保险、药店费用结算、养老金等,都具有商业性、保密性的特点,如果这些数据被泄露或篡改,会给社保自身威信和客户带来各种严重的后果。明御数据库审计与风险控制系统严密的监测审计功能,可以帮助社保信息中心的系统管理人员严密地监测和掌控所有对数据库系统中重要敏感数据的访问和操作,及时发现违规操作和追根查源。

提供了详细的数据库审计记录及分类统计

明御数据库审计与风险控制系统能够对所有审计信息进行记录、分类统计。根据用户需要,提供内容丰富、详细的审计统计报表,清晰地掌握数据库系统安全运行和合规使用情况。

实现了数据库异常操作监测报警

明御数据库审计与风险控制系统实现了数据库异常操作监测报警功能。根据事先制定的监测报警策略,对各类操作进行实时监测。当发现违反策略的操作时,立即产生报警信息(如邮件、短信、SYSLOG等),警示管理部门尽快查明原因,降低风险系数,严重的可直接通过堡垒进行阻断。

弥补了数据库系统内置日志审计的缺陷

数据库系统内置的日志审计功能单一,日志记录可以被人为修改、删除,明御数据库审计与风险控制系统是一个完全独立于数据库系统的“黑盒子”,采用独立审计的工作模式,审计记录自保护性强,弥补了数据库内置日志审计的缺陷。

应用系统与数据库操作进行关联,有效解决操作行为的追溯

在三层或多层的应用架构中,社保行业系统通过WEB服务器实现对数据库的访问,传统的数据库审计系统只能审计到WEB服务器的相关信息,无法识别是哪个原始访问者发出的请求。明御数据库审计与风险控制系统通过关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息(如:操作发生的URL、客户端的IP等信息),产品主要根据时间片、关键字等要素进行信息筛选,以确定符合数据库操作请求的WEB访问,通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。

解决方案优势

● 通过数据库的安全审计,能够在应用和数据库无影响条件下,实现用户需要的数据实时内控审计功能;
     

● 通过独特的专业技术,实现对信息从内部和外部的全面保护,防止外部的恶意操作和内部的数据窃取、误操作、恶意操作;
     

● 通过敏感信息的特别监控,实现对系统内部保密数据的保护;
     

● 支持专业要求的(等保/SOX/PCI)的详尽和全面的审计功能;
     

● 协助社保用户内部建立完善的数据库安全管理体系,规范内部人员的职责及流程;

客户案例

● 深圳市人力资源和社会保障局
     

● 衢州社保
     

● 新余社保
     

● 上饶社保
     

● 武汉社保
     

● 金华社保
     

● 磐安社保
     

● 四平市人力资源和社会保障局
     

● 无锡市劳动和社会保障局

返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |