共计 3281 个字符,预计需要花费 9 分钟才能阅读完成。
2019 年,江苏省人社厅正式启动全省人社一体化信息平台建设项目。省人社一体化信息平台基于全省对立的人社业务规范、标准、流程和数据体系,以大众需要为导向,以省集中建设为重点,以云平台架构为根底,采纳人社部 LEAF6.2 中台架构,指标建设成为全省人社全业务省集中大平台,构建了省、市、县(市区)、街道(乡镇)、社区(村)5 级纵向集中统一、横向粗放整合、纵横对接一体的服务体系,实现全省人社业务全层级、全流程、全渠道的一体化运行。
这一我的项目标记着江苏省全省人社数字化转型的启动,并作为国家人社部全国对立软件和省级集中全业务一体化零碎建设惟一试点。
2021 年 10 月 11 日全省 13 个设区市、95 个县(市、区)人社部门全副业务胜利切换上线,全省人社 366 个经办服务事项和 352 个网办事项实现“一网通办、就近可办、跨省通办”,新平台建设标记着全省人社信息化进入了零碎大集中、业务大交融、经办大对立、服务大协同、数据大共享的新阶段。
随着省集中的一体化平台建设的推动,全业务上云、数据集中得以实现,但同时数据安全危险也逐渐增大。
从数据内容上来看,人力资源和社会保障数据涵盖了国家、社会倒退过程中的社会保险、公共待业、人事人才、劳动关系、根底信息库等五大类。这就意味着开发运维人员在具体工作中,会接触到大量的数据信息、人员信息、岗位信息和工作信息等。一旦产生数据安全事件,如数据被窃取、篡改、泄露、失落,不仅会给社会治理与公共服务造成重大妨碍,还会对公民、社会和国家造成严重危害。
「防火防盗防管理员」运维治理面临挑战
“在咱们过来的运维管理工作中,为了确保开发运维人员对数据库的应用和平安操作,咱们制订了一系列规章制度,也有像堡垒机这样的产品对人员进行管控”,江苏省人社信息中心秦主任如是说,“但无论如何,开发人员仍须要间接连贯数据库,这其中就存在着微小的平安危险。开发运维人员是最理解数据也是最相熟数据的人,但同时也是最危险的。只管有监控和审计伎俩,但这些都是在预先进行查看和追踪,无奈在事先防止安全事故产生。”
通常,人力资源和社会保障单位的数据库保护都委托给第三方单位。因而,管理手段不欠缺、账号共享景象普遍存在,这也导致更加难以治理运维人员的行为。在江苏人社数字化转型的过程中,仅靠规章制度和传统的数据库安全管理模式曾经暴露出各种问题:
数据库管理工具简单多样:外部连贯数据库的形式简单多样,人员泛滥却没有对立的数据库拜访治理入口,无奈实现针对用户操作数据的对立治理。同时,第三方数据库工具还潜藏着平安危险和版权危险。
外部操作安全隐患:传统网络安全设施只能解决一部分问题,已有的堡垒机达到不了数据层,无奈实现无效管控。
权限滥用危险:外部数据库操作前没有严格的身份认证和细粒度的权限划分,存在高权限账号共用问题,容易产生越权操作等违规行为。
传统数据库审计乏力:传统数据库审计产品技术原理是对网络流量进行解析,对于数据库协定解析存在反复解析、解析不精确、长语句拆分解析等问题,行为记录数量微小且无奈保障其准确性,运维人员无奈针对数据库审计产品提供的行为记录进行无效剖析,重大影响运维效率和安全事件的剖析定性。
敏感信息透露危险:社会保险、待业、人事人才、居民根底信息等零碎中存在着大量的敏感信息,DBA 第三方人员等任何人只有具备数据库拜访权限都能间接接触到明文存储的敏感信息,从而引发敏感信息透露的危险。
“咱们以前会开玩笑的说,‘防火防盗防管理员’”,江苏人社的秦主任示意,“如何从事前、事中、事起初实现对这类‘最危险人群’的全链路管控是咱们要解决的最重要问题。”
拆解问题 明确五大需要
事实上,早在 2015 年,国务院就公布了《促成大数据倒退口头大纲》,其中提到了数据安全治理。随后,2018 年公布的《迷信数据管理方法》以及 2021 年通过的《中华人民共和国数据安全法》,进一步强调了对要害数据安全爱护的要求。特地是要害根底信息设施对平安的器重水平更高,须要在遵循等级爱护要求的根底上,进行额定强化。对于数据库的安全隐患如何可能失去无效解决,始终都是企业运维人员和 DBA 关注的焦点。
随着江苏人社一体化信息平台建设的逐渐深刻,他们提出了构建业余一体化数据安全管控平台的想法。
同时,联合以后运维管理工作中存在的问题和运维工作中的日常习惯,江苏人社对一体化管控平台提出了明确需要:
第一,对立人员拜访入口,所有人员仅通过一个平台实现对数据库的全副操作;
第二,强化对数据库运维人员的权限治理,全面实现对第三方人员违规操作、权限滥用等危险进行事先严格的权限管控,事中的全流程行为追踪,事变产生后可能精准溯源;
第三,代替日常运维工作中应用的 Navicat、PL/SQL 等客户端直连工具,躲避应用第三方软件的平安危险;
第四,细化对数据库及人员行为的操作审计,确保可能精准溯源;
第五,运维中的三权分立,将数据的设计者开发人员,执行者数据库管理人员,监督者平安运维人员分区而治互相牵制,缩小繁多角色对数据库系统的适度管制,确保不同职能之间的协调单干,以实现数据库数据安全的最优状态;
第六,对接江苏省人社一体化信息平台,借助权限零碎、音讯中台、工单零碎实现一体化零碎的反向赋能管控平台形成一个强耦合一体化,实现操作人员日常工作顺畅连接。
通过一体化数据安全管控平台建设,实现开发运维人员行为「可管、可控、可视、可追溯」,实现数据全生命周期中的各环节平安管控。
产品 + 服务 打造贴合业务的全链路管控平台
秦主任示意,“之前咱们外部也定制开发过一个程序,但因是非专业公司开发,能力还是有所缺点,只能实现一些通用一般的操作,很多简单业余数据库的操作无奈实现,大数据量并发的问题也无奈解决,无奈做到让咱们开发运维人员所有的工作都在这平台上实现。”
基于明确的「一体化」想法,江苏人社在市场上寻找更为成熟业余的一体化管控平台产品。然而,选型的过程也并非一帆风顺。
人社业务极为简单,内容涵盖了人民生存的方方面面,这也意味着数据量之大、敏感数据之多超乎设想。
“咱们把市面上的产品根本都看了一遍,产品性能各有千秋,但没有一个平台可能满足咱们所有的需要。人社的业务非常复杂,有实时的交易,也有大批量操作。要求一个现成的平台来满足咱们所有的需要,这可能性十分小。所以,咱们在抉择平台的时候,更看重单干。除了思考平台自身的性能,更看重其背地公司的服务能力,最终咱们抉择了 CloudQuery。”秦主任如是说。
CloudQuery 作为一体化数据安全操作平台,自身已具备了一体化管控平台弱小的管控和操作性能。它以数据流向贯通了整个数据安全过程,实现数据库治理对立接入,通过一个集中管控平台实现对数据库的治理。可依据不同人员的应用性质从不同业务层面进行权限赋予,实现人员的权限拆散和细粒度管控。
而 CloudQuery 自主研发的 SQL 编辑器,则可代替国外第三方数据库操作工具,解决存在的平安危险和版权危险隐患。针对数据库操作行为,进行操作中的同步监控。
值得一提的是,区别于传统数据库审计产品,CloudQuery 的审计后果能达到百分百精确。针对用户在平台上的所有动作,可进行全方位审计,留存日志和记录,通过动静监测用户操作行为,并通过页面展现具体的行为记录和平安趋势,无效加重运维人员审计工作量,实现精准行为审计。
此外,联合江苏人社的理论业务需要,CloudQuery 团队对产品进行了多重降级革新,使平台的操作和管控能力更加贴合人社业务。于此同时,也实现了与江苏人社一体化信息平台的对接,从登录、到流程审批、音讯告诉、日志治理,无缝连接操作人员日常工作,无效晋升人员合作效率。
至此,江苏人社的一体化数据安全管控平台建设领有了欠缺的解决方案。
在数据的全流程周期中,通过 CloudQuery 一体化数据安全管控平台,实现了事先的权限管控和身份认证,事中的访问控制和资产爱护,预先的行为审计和溯源剖析,实现了对「危险人员」的全方位管控,进步数据库运维效率和平安管理水平。
(下一篇「成绩篇」,将具体讲述江苏人社的 CloudQuery 利用及其建设成果,敬请期待~)