数据库安全之社保

行业应用-产品概述

数据泄漏事件频发

2015年以来,信息泄漏成为全球信息安全最大的威胁。在国内,社保系统已经成为个人信息泄露“重灾区”。据报道,截止2015年4月,重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,近亿用户的社保信息可能因此被泄露,其中包括个人×××、财务、薪酬、房屋等敏感信息,涉及超30省。更为可怕的是,各省市目前发现的漏洞仅是冰山一角,被泄露个人信息的人数可能比我们想象得还要多。

业内人士表示,社保系统里的信息包括了居民×××、社保、薪酬等敏感信息,这些信息一旦泄露,造成的危害不仅是个人隐私全无,还会被犯罪分子利用,例如复制×××、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。以省或市为单位的信息泄露,有可能被大致匡算出当地的人均收入、社保金额等国家经济数据,危害极大,仅河北省计生委的一个漏洞就涉及7000万居民详细信息,山东省某卫生系统漏洞导致全省600万儿童、1200万父母详细信息泄露。

相关标准和法规

近年来,信息安全问题已经升至国家层面。有关信息安全的政策也持续在密集出台,《网络安全法》正式推出在望,将给敏感信息防泄漏方面提出明确要求。已经有的国家级和行业级的安全法规和标准,比如《等保》、《分保》、《商秘》等,也对数据安全管理有明确的要求。

行业应用-需求分析

社保行业暴发的数据泄漏案例充分说明,地方社保等部门对于信息安全方面投入不足,监管不力。社保系统暴露的信息安全问题,根本原因是行业多年来“重建设轻运维”、“重管理轻安全”的现实情况。我们在信息安全方面,无论是资金还是技术和人才方面的投入都大大低于欧美国家。如果这个趋势不改变,随着互联网经济的爆发性发展,类似的事件将会继续暴露出来。

据中安威士在社保行业的深入了解,行业有限的信息安全投入,主要都集中在网络层面,而且主要集中在外网部分。而对于数据真正所在的内网部分,除了少数系统中部署了运维堡垒机和数据库审计以外,几乎没有任何额外的对数据的直接保护。

行业应用-解决方案

总体方案

中安威士总结对多个社保系统进行安全加固经验,认为针对社保系统有效的解决方案,是解决敏感数据全生命周期的安全问题。中安威士提出的针对社保行业的数据安全管理方案如下:

1)数据活动的全面审计。详细记录敏感数据被访问的情况,包括来自于外网用户和业务员的访问,尤其是对批量访问的审计、越权操作的审计、以及更改和删除操作所影响的原始数据的审计。

2)细粒度访问控制。阻断异常的、违规的、以及***性的查询和访问,防止敏感数据泄漏以及被破坏。

3)敏感内容脱敏。有针对性的对不同系统和用户,通过动态脱敏手段,实时授予对敏感数据的遮蔽、替换等不同展示方式,防止数据泄漏。同时,对例如开发、测试、数据外发等环境,提供静态脱敏手段,批量的对敏感数据脱敏,防止真实敏感数据外泄。

4)敏感内容加密。有选择性的对敏感内容加密,使敏感数据在存储、备份时以密文方式存在。通过控制加密和解密权限,提供对敏感数据访问的增强权限管理,防止超级权限被盗用和滥用导致的数据泄漏。

实施方案

中安威士数据安全解决方案基于自主研发的系列数据库安全加固产品实现。以某省人力资源与社会保障保厅为例,具体的实施方案如下:

该解决方案的要点如下:

1) 在共享数据库之前部署数据库动态脱敏系统和数据库防火墙系统,从源头上对数据进行脱敏,并阻止SQL注入、越权数据访问以及其它对数据库的***。为防止单点失败,数据库动态脱敏/防火墙系统部署为双机模式。通过自动学习,建立防火墙规则。

2) 在生产库和共享库之间部署数据库动态脱敏和数据库防火墙,确保从生产库到共享库的数据经过必要脱敏,同时确保从共享库端不会有对生产库的***和越权操作。

3) 在生产库和开发/测试库之间部署数据库静态脱敏系统,确保从生产库到开发/测试库的数据经过必要脱敏,定期批量的生成开发测试库,防止开发测试人员不能接触真实数据。

4) 在生产库和内部办公应用服务器之间,部署数据库动态脱敏和数据库防火墙,从源头上对数据进行动态脱敏,并阻止SQL注入、越权数据访问以及其它对数据库的***,防止内部办公人员通过截屏等方式泄漏敏感信息。通过自动学习,建立防火墙规则。

5) 部署数据库加密系统,保护尤其重要的敏感数据。

6) 对共享数据库和生产库部署数据库审计,记录一切数据库访问操作,并自动发现数据库***和越权行为。

行业应用-方案优势

中安威士数据安全管理解决方案基于数据库审计、数据库防火墙、数据库加密和数据库脱敏产品实现。方案完整地解决了当前信息系统所广泛面临的数据泄露困境。该方案的优势体现在:

快:卓尔不群的处理性能。

智:智能化自动学习,实现数据库审计/防火墙零配置。

稳:十余年技术积累,国内新研发专利技术,上千实际部署案例,产品运行稳定。

全:功能全面、全面覆盖泄密路径。

美:美观的管理界面和报表。

细:达到字段、语句级的细粒度的数据活动审计和访问控制。

行业应用-方案价值

通过上述解决方案,有效满足了社保行业数据中心所面临的数据安全管理的需求:使数据安全可视、使数据安全可控、使数据安全合规。除带来上述主要价值外,具体来说,中安威士数据安全管理解决方案还带给社保行业用户如下价值:

1) 简化业务治理,提高数据安全管理能力;

2) 完善纵深防御体系,提升整体安全防护能力;

3) 减少核心数据泄漏,保障业务连续性;

4) 有效维护社保行业的公信力和声誉。

中安威士为北京中安比特科技有限公司专有品牌,以科学严谨的作风,为各行业用户带来高可靠的数据安全管理产品和服务。

原文地址:https://blog.51cto.com/14323396/2411211

时间: 2024-11-06 07:33:47

数据库安全之社保的相关文章

从安全攻击实例看数据库安全(三)数据库攻击原理分析

摘要:本文将通过对SQL注入攻击技术和数据库加密技术原理以及防护效果进行深入的分析,来辨析数据库安全技术误区"数据库加密能解决SQL注入",同时本文也给出了SQL注入的防护方法. 1. 数据库安全误区 针对2015年4月互联网大规模报道的全国30省市社保等行业用户信息泄露事件,安华金和对乌云历史报道的社保行业相关漏洞进行集中分析,得出的结论为:大量的信息泄露主要是由于软件中存在的SQL注入漏洞被黑客利用引起的,我们可以把SQL注入比作黑客攻击数据库"锋利的矛".  

如何破解政府外网数据库安全难题

一.政府外网安全背景分析 中国软件测评中心(中国国家工业和信息化部下属单位)2014年12月3日发布<2014年中国政府网站绩效评估总报告>显示,今年评估的900余家政府网站当中,超过93%的网站存在着本级的安全漏洞,其中97%的区县网站被监测到有安全隐患,接受评估的网站包括部委网站.省级政府网站.副省级政府网站.地市政府网站及区县政府网站.这个给政府的形象带来了很不利的影响,甚至给政府工作的正常运行带来了严重的威胁. 近两年暴露的大型安全事件中,主要以互联网公司或大型民营企业为主,如2013

数据库安全威胁与漏洞

传统的信息安全解决方案主要是通过网络传输通道加密.PKI或增强身份认证.防火墙.IPS.堡垒机等技术构成综合的信息安全应对策略,但这些方案在现实中变得弱不禁风,大量信息泄露事件频繁爆发,数据库在近期泄露事件中成为了主角. 这与我们在传统的安全建设中忽略了数据库安全问题有关,在传统的信息安全防护体系中数据库处于被保护的核心位置,不易被外部黑客攻击,同时数据库自身已经具备强大安全措施,表面上看足够安全,但这种传统安全防御的思路,存在致命的缺陷. 数据库安全威胁不单纯是数据的问题还和数据库所属的网络环

在深圳有娃的家长必须要懂的社保少儿医保,不然亏大了!(收藏)

在深圳有娃的家长必须要懂的社保少儿医保,不然亏大了!(收藏) 转载2016-07-26 17:21:47 标签:深圳少儿医保社保医疗保险住院 在深圳工作或生活的家长们可能还有人不清楚,其实小孩子最大的基础保障福利就是少儿医保.如果以前没重视关注的,现在您看到这篇文章还来得及!少儿医保每年政府财政补贴384元,自己只需交200元左右,就可以享受门诊报销1000元,住院报销比例90%,最高报销额度达148万,大病门诊最高报销比例90%!如何享受?有哪些待遇?接下来就详细来做一个介绍: 少儿医保投保需

校园网数据库安全方案

背景 最近<经济参考报>报道我国高校成为信息泄漏的重灾区,自2014年至2015年3月,漏洞分析平台补天显示的有效高校网站漏洞多达3495个.这些漏洞有的已造成教职员工或学生个人信息泄漏.西安交通大学信息安全法律研究中心主任马民虎表示,一方面高校涉及人数众多,并且包括大量学生和教授的隐私信息:另一方面很多重要院校还承担着国家众多科研和军工项目,这些都可能成为不法分子的目标. 随着校园信息化的快速建设,教育云犹如雨后春笋涌现,虚拟化也带来了安全问题:业务网络边界消失.传统安全措施无法部署.数据集

社保系列7——PSAM卡

PSAM卡用于商户POS.网点终端.直联终端等端末设备上,负责机具的安全控管.PSAM卡具有一定的通用性.经过个人化处理的PSAM卡能在不同的机具上使用. PSAM卡支持多级发卡的机制,各级发卡方在卡片主控密钥和应用主控密钥的控制下创建文件和装载密钥. 1. 文件结构 社会保障DES算法环境: FID=3F00,AID=7378312E73682EC9E7BBE1B1A3D5CF:FID = DF01,AID = D15600000590 社会保障SSF33算法环境: FID=DDF1,AID=

社保系列10——返回值速查表

9000 命令执行成功 6006 依据传输模式,所要读取的字节长度错 61xx 正常处理.'xx'表示可以通过后续 GET RESPONSE命令得到的额外数据长度 6281 回送数据可能出错 6282 文件长度<Le 6283 选择文件无效 6284 FCI格式与P2指定的不符 6300 认证失败 63Cx 验证失败,x =0 表示不提供计数器 x !=0 表示重试次数 6581 EEPROM损坏,导致卡锁定 6700 Lc或Le长度错 6900 无信息提供 6901 命令不接受(无效状态) 6

运维监控工具--pigoss 服务于山西省临汾社保

文章摘自pigoss 官网  http://www.netistate.com 如需转载,请标明出处! 案例所属行业: 政府机构 项目实施时间:2015年 1.1 项目背景     山西省临汾社保是当地负责全市企业养老保险基金的征缴.管理.和发放工作.具体承办市属及驻市国.省营企业的养老保险业务.办理企业养老保险的参保登记,核发社会保险登记证,办理社会保险变更登记,注销登记等.     山西省临汾社保为PIGOSS在山西继社保省局.阳泉社保.运城社保.晋城社保后的第五个项目,本次临汾社保机房应用

CSDN日报20170417 ——《程序员最好有 社保》

[程序人生]程序员最好有 社保 作者:郭小北 这个话题,其实是个社会性问题,虽说我很帅,但这种话题一般我很少公开讨论.但最近发现不少朋友因为社保的问题,办事卡壳,导致耽误了很多重要的事,他们很后悔,很无奈. [深度学习]TensorFlow实现基于深度学习的图像补全 作者:寒小阳 在这篇博客中,我会介绍 Raymond Yeh 和 Chen Chen 等人的一篇论文,"基于感知和语境损失的图像语义修补(Semantic Image Inpainting with Perceptual and C