「一体化信息建设」,江苏人社如何完成数据安全管控(建设篇)

在这里插入图片描述

2019 年,江苏省人社厅正式启动全省人社一体化信息平台建设项目。省人社一体化信息平台基于全省统一的人社业务标准、规范、流程和数据体系,以群众需求为导向,以省集中建设为重点,以云平台架构为基础,采用人社部 LEAF6.2 中台架构,目标建设成为全省人社全业务省集中大平台,构建了省、市、县(市区)、街道(乡镇)、社区(村)5级纵向集中统一、横向集约整合、纵横对接一体的服务体系,实现全省人社业务全层级、全流程、全渠道的一体化运行。

这一项目标志着江苏省全省人社数字化转型的启动,并作为国家人社部全国统一软件和省级集中全业务一体化系统建设唯一试点。

2021年10月11日全省13个设区市、95个县(市、区)人社部门全部业务成功切换上线,全省人社366个经办服务事项和352个网办事项实现“一网通办、就近可办、跨省通办”,新平台建设标志着全省人社信息化进入了系统大集中、业务大融合、经办大统一、服务大协同、数据大共享的新阶段。

随着省集中的一体化平台建设的推进,全业务上云、数据集中得以实现,但同时数据安全风险也逐步增大。

从数据内容上来看,人力资源和社会保障数据涵盖了国家、社会发展进程中的社会保险、公共就业、人事人才、劳动关系、基础信息库等五大类。这就意味着开发运维人员在具体工作中,会接触到大量的数据信息、人员信息、岗位信息和工作信息等。一旦发生数据安全事件,如数据被窃取、篡改、泄露、丢失,不仅会给社会管理与公共服务造成严重阻碍,还会对公民、社会和国家造成严重危害。

「防火防盗防管理员」 运维管理面临挑战

“在我们过去的运维管理工作中,为了确保开发运维人员对数据库的使用和安全操作,我们制定了一系列规章制度,也有像堡垒机这样的产品对人员进行管控”,江苏省人社信息中心秦主任如是说,“但无论如何,开发人员仍需要直接连接数据库,这其中就存在着巨大的安全风险。开发运维人员是最了解数据也是最熟悉数据的人,但同时也是最危险的。尽管有监控和审计手段,但这些都是在事后进行查看和追踪,无法在事前避免安全事故发生。”

通常,人力资源和社会保障单位的数据库维护都委托给第三方单位。因此,管理手段不完善、账号共享现象普遍存在,这也导致更加难以管理运维人员的行为。在江苏人社数字化转型的过程中,仅靠规章制度和传统的数据库安全管理模式已经暴露出各种问题:

数据库管理工具复杂多样:内部连接数据库的方式复杂多样,人员众多却没有统一的数据库访问管理入口,无法实现针对用户操作数据的统一管理。同时,第三方数据库工具还潜藏着安全风险和版权风险。

内部操作安全隐患:传统网络安全设备只能解决一部分问题,已有的堡垒机到达不了数据层,无法实现有效管控。

权限滥用风险:内部数据库操作前没有严格的身份认证和细粒度的权限划分,存在高权限账号共用问题,容易发生越权操作等违规行为。

传统数据库审计乏力:传统数据库审计产品技术原理是对网络流量进行解析,对于数据库协议解析存在重复解析、解析不准确、长语句拆分解析等问题,行为记录数量巨大且无法保证其准确性,运维人员无法针对数据库审计产品提供的行为记录进行有效分析,严重影响运维效率和安全事件的分析定性。

敏感信息泄漏风险:社会保险、就业、人事人才、居民基础信息等系统中存在着大量的敏感信息,DBA 第三方人员等任何人只要具备数据库访问权限都能直接接触到明文存储的敏感信息,从而引发敏感信息泄漏的风险。

“我们以前会开玩笑的说,‘防火防盗防管理员’”,江苏人社的秦主任表示,“如何从事前、事中、事后来实现对这类‘最危险人群’的全链路管控是我们要解决的最重要问题。”

拆解问题 明确五大需求

事实上,早在 2015 年,国务院就发布了《促进大数据发展行动纲要》,其中提到了数据安全管理。随后,2018年发布的《科学数据管理办法》以及 2021 年通过的《中华人民共和国数据安全法》,进一步强调了对关键数据安全保护的要求。特别是关键基础信息设施对安全的重视程度更高,需要在遵循等级保护要求的基础上,进行额外强化。对于数据库的安全隐患如何能够得到有效解决,一直都是企业运维人员和 DBA 关注的焦点。

随着江苏人社一体化信息平台建设的逐步深入,他们提出了构建专业一体化数据安全管控平台的想法。

同时,结合当前运维管理工作中存在的问题和运维工作中的日常习惯,江苏人社对一体化管控平台提出了明确需求:

第一,统一人员访问入口,所有人员仅通过一个平台完成对数据库的全部操作;

第二,强化对数据库运维人员的权限管理,全面实现对第三方人员违规操作、权限滥用等风险进行事前严格的权限管控,事中的全流程行为追踪,事故发生后能够精准溯源;

第三,替代日常运维工作中使用的 Navicat、PL/SQL 等客户端直连工具,规避使用第三方软件的安全风险;

第四,细化对数据库及人员行为的操作审计,确保能够精准溯源;

第五,运维中的三权分立,将数据的设计者开发人员,执行者数据库管理人员,监督者安全运维人员分区而治相互牵制,减少单一角色对数据库系统的过度控制,确保不同职能之间的协调合作,以实现数据库数据安全的最优状态;

第六,对接江苏省人社一体化信息平台,借助权限系统、消息中台、工单系统实现一体化系统的反向赋能管控平台构成一个强耦合一体化,实现操作人员日常工作顺畅衔接。

通过一体化数据安全管控平台建设,实现开发运维人员行为「可管、可控、可视、可追溯」,完成数据全生命周期中的各环节安全管控。

产品+服务 打造贴合业务的全链路管控平台

秦主任表示,“之前我们内部也定制开发过一个程序,但因是非专业公司开发,能力还是有所缺陷,只能完成一些通用普通的操作,很多复杂专业数据库的操作无法实现,大数据量并发的问题也无法解决,无法做到让我们开发运维人员所有的工作都在这平台上完成。”

基于明确的「一体化」想法,江苏人社在市场上寻找更为成熟专业的一体化管控平台产品。然而,选型的过程也并非一帆风顺。

人社业务极为复杂,内容涵盖了人民生活的方方面面,这也意味着数据量之大、敏感数据之多超乎想象。

“我们把市面上的产品基本都看了一遍,产品功能各有千秋,但没有一个平台能够满足我们所有的需求。人社的业务非常复杂,有实时的交易,也有大批量操作。要求一个现成的平台来满足我们所有的需求,这可能性非常小。所以,我们在选择平台的时候,更看重合作。除了考虑平台本身的功能,更看重其背后公司的服务能力,最终我们选择了 CloudQuery。”秦主任如是说。

CloudQuery 作为一体化数据安全操作平台,本身已具备了一体化管控平台强大的管控和操作功能。它以数据流向贯穿了整个数据安全过程,实现数据库管理统一接入,通过一个集中管控平台实现对数据库的管理。可根据不同人员的使用性质从不同业务层面进行权限赋予,实现人员的权限分离和细粒度管控。

而 CloudQuery 自主研发的 SQL 编辑器,则可替代国外第三方数据库操作工具,解决存在的安全风险和版权风险隐患。针对数据库操作行为,进行操作中的同步监控。

值得一提的是,区别于传统数据库审计产品,CloudQuery 的审计结果能达到百分百准确。针对用户在平台上的所有动作,可进行全方位审计,留存日志和记录,通过动态监测用户操作行为,并通过页面展示详细的行为记录和安全趋势,有效减轻运维人员审计工作量,实现精准行为审计。

此外,结合江苏人社的实际业务需求,CloudQuery 团队对产品进行了多重升级改造,使平台的操作和管控能力更加贴合人社业务。于此同时,也实现了与江苏人社一体化信息平台的对接,从登录、到流程审批、消息通知、日志管理,无缝衔接操作人员日常工作,有效提升人员协作效率。

至此,江苏人社的一体化数据安全管控平台建设拥有了完善的解决方案。

在数据的全流程周期中,通过 CloudQuery 一体化数据安全管控平台,实现了事前的权限管控和身份认证,事中的访问控制和资产保护,事后的行为审计和溯源分析,完成了对「危险人员」的全方位管控,提高数据库运维效率和安全管理水平。

(下一篇「成果篇」,将详细讲述江苏人社的 CloudQuery 应用及其建设效果,敬请期待~)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/100954.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Direct3D颜色

在Direct3D中颜色用RGB三元组来表示,RGB数据可用俩种不同的结构来保存,第一种是D3DCOLOR,它实际上与DWORD类型完全相同,共有32位,D3DCOLOR类型种的各位被分成四个8位项,每项存储了一种颜色分量的亮度值。 由…

【强化学习】基本概念

基本大概框架 强化学习的主要角色是 智能体 (agent)和 环境,环境是智能体存在和互动的世界。智能体根据当前的环境做出action,action影响环境。然后智能体根据新的环境再进行action。 基础用语 状态(state, s)&…

Multimodel Image synthesis and editing:The generative AI Era

1.introduction 基于GAN和扩散模型,通过融入多模态引导来调节生成过程,从不同的多模态信号中合成图像;是为多模态图像合成和编辑使用预训练模型,通过在GAN潜在空间中进行反演,应用引导函数,或调整扩散模型…

VS2022+CMAKE+OPENCV+QT+PCL安装及环境搭建

VS2022安装: Visual Studio 2022安装教程(千字图文详解),手把手带你安装运行VS2022以及背景图设置_vs安装教程_我不是大叔丶的博客-CSDN博客 CMAKE配置: win11下配置vscodecmake_心儿痒痒的博客-CSDN博客 OPENCV配…

使用Apache Doris自动同步整个 MySQL/Oracle 数据库进行数据分析

Flink-Doris-Connector 1.4.0 允许用户一步将包含数千个表的整个数据库(MySQL或Oracle )摄取到Apache Doris(一种实时分析数据库)中。 通过内置的Flink CDC,连接器可以直接将上游源的表模式和数据同步到Apache Doris&…

如何用SSH克隆GitHub项目

诸神缄默不语-个人CSDN博文目录 使用场景:由于不可知的网络问题,无法用HTTPS克隆GitHub项目。 报错fatal: unable to access https://github.com/PolarisRisingWar/llm-throught-ages.git/: GnuTLS recv error (-110): The TLS connection was non-pro…

Scrum认证高级Scrum Master (A-CSM) 认证培训课程

课程简介 高级ScrumMaster (Advanced Certified ScrumMaster, A-CSM) 认证课程是国际Scrum联盟推出的进阶级Scrum认证课程,是Scrum Master通往专业级敏捷教练必经的学习路径。 在ScrumMaster(CSM)认证课程中,您学习到了Scrum的价…

Navicat 携手华为云 GaussDB,联合打造便捷高效的数据库开发和建模工具方案

近日, Navicat Premium 顺利完成与华为云 GaussDB的兼容性测试认证,并获得华为云授予的技术认证书。 ​ 合作 Navicat 作为华为云 GaussDB 生态工具合作伙伴以及 Gocloud 合作伙伴,此次合作旨在通过Navicat 多年来在数据库开发管理工具上的积…

C++(Liunx) 使用cut截 取出Ubuntu用户的家目录,要求:不能使用“:“作为分割.

使用cut截 取出Ubuntu用户的家目录,要求:不能使用":"作为分割

Apache Doris 2.0 如何实现导入性能提升 2-8 倍

数据导入吞吐是 OLAP 系统性能的重要衡量标准之一,高效的数据导入能力能够加速数据实时处理和分析的效率。随着 Apache Doris 用户规模的不断扩大, 越来越多用户对数据导入提出更高的要求,这也为 Apache Doris 的数据导入能力带来了更大的挑战…

关闭vscode检查更新

要关闭 Visual Studio Code 的自动检查更新功能,请按照以下步骤进行操作: 打开 Visual Studio Code。点击左侧的扩展图标(四个方块组成的图标)。在扩展面板中,点击右上角的齿轮图标,选择 “扩展设置”。在…

《C++设计模式》——创建型

前言 创建型为了创建东西才是有用的,创建型设计模式使用的场景: 1、创建一个东西; 2、可重复利用; 3、灵活性高,代码可因地制宜。 Factory Method(工厂模式) 简单工厂模式 主要用于创建对象。新添加类时&#xff0…