1、人社行业基本情况

2002年《国家信息化领导小组关于我国电子政务建设指导建议》中，我国电子政务建设内容：“两网一站四库十二金”，人社信息系统属于十二金中“金保工程”。

人社行业数据复杂多样，产生的数据大多都与个人敏感信息相关，人社行业数据类型及系统大致如下：

1) 关键参保人敏感数据：身份证号、参保人姓名、联系方式、参保单位信息，政府从业人员身份信息等。

2) 关键社保敏感数据：养老保险缴费基数、社保余额、首次缴费时间、参保时间等。

3) 关键隐私敏感数据：个人隐私信息：身份证号、参保人姓名、联系方式、参保单位信息，政府从业人员身份信息等；社保敏感信息：养老保险缴费基数、社保余额、首次缴费时间、参保时间等。

4) 关键系统范围包括：生产区、外网区、共享区：五险合一系统、社保卡管理系统、养老保险系统、人事人才、就业等人社行业核心业务系统。

2、人社行业安全状况

2015年，大量社保系统相关漏洞出现在补天漏洞响应平台，网站信息显示重庆、上海、山西、河南、贵州等省市卫生和社保系统出现大量高危漏洞。数据显示，围绕社保、公务员等信息系统的漏洞超过30个，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

随着互联网应用的普及，社保公众服务平台逐步被迁移到互联网上，让民众足不出户就能进行信息查询或部分业务的办理，便利的同时，却也伴随种种信息安全的隐患，而最引人关注的就是个人隐私信息的泄露问题。

人社行业信息安全威胁已经越过边界进入到了数据存储的核心：数据库层面。

3、人社行业政策法规

根据国家相关标准及规范总结下来，《网络安全法》、《信息安全等级保护》、人社部《数据库安全管理规范》分别在责任、标准、管理层面给出响应的定义。

信息安全政策

4、人社行业需求分析

风险分析

人社行业系统为典型的电子政务架构，主要区分内外网服务，外网为公共服务综合系统，内网为综合业务系统，那么人社行业面临的数据泄露风险如下：

①：公共服务系统面临互联网外部黑客SQL注入和数据库漏洞攻击风险；

②：第三方程序开发和运维人员对外网数据库中数据存在批量导出风险；

③：内网第三方开发、运维、DBA存在对生产库高危和误操作风险；

④：交换共享区的数据库存在第三方运维人员违规访问的风险；

⑤：上传到市政务云平台的数据存在个人隐私泄露风险；

⑥：测试区与生产区的真实数据交换，数据未加混淆有泄漏风险。

根据人社行业面临的风险，安全管理员需要在防拖库、防篡改、防泄漏、可溯源四个方面进行安全建设：

>>>>防拖库

主要目的是防止数据库中的参保人和参保单位的信息批量泄漏。

关键参保人敏感数据：身份证号、参保人姓名、联系方式、参保单位信息，政府从业人员身份信息等。

防护重点：①外部黑客攻击；②内部第三方人员

>>>>防篡改

主要目的是防止医保、社保与财务相关的信息被篡改。

关键社保敏感数据：养老保险缴费基数、社保余额、首次缴费时间、参保时间等。

防护重点：①数据库管理员DBA；②第三方厂商；③下级单位；④县级窗口客户端

>>>>防泄露

主要目的，一方面防止本地明文存储数据泄露，另一方面防止共享到时政务云平台数据泄露。

关键社保敏感数据：个人隐私信息：身份证号、参保人姓名、联系方式、参保单位信息，政府从业人员身份信息等。

社保敏感信息：养老保险缴费基数、社保余额、首次缴费时间、参保时间等。

防护重点：①本地数据；②共享数据

>>>>溯源风险

主要与社保业务紧密结合，有效追查社保资金异动事件，准确定责、问责。

关键系统范围：生产区、外网区、共享区：五险合一系统、社保卡管理系统、养老保险系统、人事人才、就业等人社行业核心业务系统。

防护重点：①泄露事件频发；②溯源手段薄弱

5、人社行业数据安全治理方案

随着业务系统日趋完善以及数据逐步向上集中、横向同步共享的需求越来越明显，人社行业开始注重对数据资产的保护。依据实际安全需求进行安全设计，从整体上、全过程、全周期、动态地为信息系统提供安全保障，形成涵盖对外部黑客、内部人员、第三方厂商人员的全方位管控，封锁数据库自身存储层、访问控制层、应用访问层的泄漏渠道。形成人社行业中心数据安全防护的整体解决方案，建立以底线防守为主、主动防御为辅的防护体系，重点解决存储、共享数据保密性和内部批量泄漏、敏感数据篡改的问题。

方案思路

针对人社行业数据安全现状，需要通过事前梳理、事中管控、底线防守、事后溯源风险，实现人社行业数据安全治理：

1、事前梳理

通过数据资产梳理、数据库安全风险扫描来实现事前梳理。

• 数据资产梳理

首先需要对人社行业生产区内社保、人事、就业、机关保、政务云共享等系统的数据进行梳理与定位。

• 安全风险扫描

将已定位、梳理的生产区、共享区业务系统包含的数据库资产，进行安全风险检查，检查内容涵盖漏洞检测、弱安全配置检测、补丁检测、缺省用户名/口令检测，通过安全风险检查让数据资产管理员全面了解，数据库资产运行是否存在安全风险。

2、事中管理

对生产区、共享区中的业务系统进行数据资产梳理后，需根据人员身份及业务场景进行使用管控，管控内容包括：

• 业务访问安全

业务侧防护的重点是外网公共服务系统，系统大量公众用户的访问中包含大量黑客的攻击行为，攻击手段主要两种类型：SQL注入攻击、数据库漏洞攻击。需要通过数据库防火墙技术，彻底防御SQL注入、数据库漏洞攻击行为。

• 运维访问安全

通过数据库安全运维技术对运维人员（驻场工程师、系统开发商等）的操作，进行运维操作分级管理，内容细致到4W+1H管控模式（谁Who+什么地点Where+什么时间When+做了什么What+怎么做的How+结果如何Result），对运维人员建立操作审批流程管理，保证对高权限人员最小化授权，从而有效管理运维侧人员的风险行为，运维分级管理包含：

• 低风险：对低于日常维护数据操作放行处理。
• 中风险：对批量修改、更新数据操作进行告警处理。
• 高风险：对批量数据删除、超量数据的查询操作进行审批管理。
• 高危风险：对第三方运维人员数据库操作中不带where条件行为进行阻断，对全表操作进行阻断，防止运维人员误操作导致的数据破坏；对敏感表或字段操作进行监控，如出现批量删除、更新数据的行为进行告警或阻断，减少第三方厂商人员高危操作对敏感数据的影响。

3、底线防守

• 本地存储加密

由于存储在生产区、共享区中的社保、养老、人事、机关保、政务云共享系统的数据均为明文，存在个人隐私信息、参保敏感信息以及公务员身份信息明文泄露的风险，因此需要做到敏感数据存储加密，保证敏感数据的保密性，并且针对加密数据的访问进行权限控制，建立敏感数据管理的三权分立。

• 共享数据脱敏

主要针对共享到市政务云平台或各个委办局的数据进行脱敏处理，需要在前置库前部署数据库动态脱敏系统，将前共享数据实时脱敏，通过数据库防火墙对市政务云平台的业务系统进行绑定，确保只授权合法的系统或用户能够访问前置库，其他人员访问进行授权限制。

4、溯源风险

通过数据库监控与审计、数据库水印技术对敏感数据访问行为进行详细审计，保留每项操作的操作人、时间、IP地址、操作内容等信息，为事后追溯提供依据。结合社保业务语言和应用用户进行全面审计，及时对恶意攻击、非法访问、恶意操作告警，实现事后追溯，有效追责定责。

6、行业典型案例

东北某省人社厅社保卡管理系统

内外网之间进行数据同步和共享，访问渠道集中在内部各险种系统、外网B/S系统前端用户,系统开放性最高，存在内部人员的信息防泄漏、外部恶意人员或黑客的刷库及攻击行为。

河北省某市社保局养老保险系统

养老系统存储大量养老人员信息数据，社保局经过专业厂商的评估和测试发现：WEB数据区、核心数据区和运维端都存在不同程度的安全风险。

辽宁省某市人社五险合一系统

应用系统多，第三方外包人员使用内网专用机进行日常运维，误操作导致数据意外丢失；医保业务上对医院、药房等操作需要做全面的记录；内部运维人员违规越权操作、外部恶意入侵等行为，事后却无法有效追溯。