经验分享 | 陇南市住房公积金管理中心狠抓数据安全建设

近日，又一喜讯传来，昂楷科技与陇南市住房公积金管理中心顺利签约，该项目是昂楷数据安全解决方案协助客户进行数据治理的又一成功实践，切实保障公积金核心数据安全。

客户简介

陇南市住房公积金管理中心负责全市区县的住房公积金核算，承担着住房公积金的缴纳、使用审批等工作。截止到2017年末，缴存总额61.72亿元，累计发放个人住房贷款27199笔51.58亿元。

为方便群众办理业务，实现从“群众跑”变为“数据跑”，陇南市住房公积金管理中心搭建了与人民银行、各商业银行个人贷款信息和个人征信以及房产登记信息系统的信息共享平台，充分发挥了住房公积金惠及民生的作用。

面临的数据安全挑战

住房公积金信息系统支撑着公积金的业务办理、银行结算、公积金归集提取等工作，是企业、公众办理公积金业务、查询公积金信息的重要平台。

陇南市住房公积金管理中心根据数据治理的需要，高度重视数据安全，采取了电子档案和数据异地容灾备份的防护手段，但在对数据安全建设进行全面梳理后，发现仍欠缺核心数据库监控和保护的解决方案，面临以下数据库安全威胁风险：

1、数据泄露向“高价值领域”蔓延：陇南市住房公积金管理中心业务系统中保存着大量敏感数据：贷款人员的身份信息、地址信息、银行卡号信息、电话号码信息等数据，极易成为黑客、“内鬼”等不法分子的目标；

2、数据处理交换等新应用场景泄露数据：与公积金系统相关的外部数据，如住房公积金金融业务的商业银行、建设部、财政部等相关部门的业务数据与住房公积金管理中心业务系统存在数据交互，可能导致敏感数据批量泄露。

3、自身审计不足：目前中心采用的是数据库软件本身自带的审计功能，当开启数据库自身审计功能时，一方面会增加数据库服务器的资源消耗，严重影响数据库性能；另一方面由于高权限账户的存在，致使审计信息的真实性、完整性无法保证。

值得注意的是——为指导各地住房公积金管理中心的信息化建设，住房城乡建设部在2016年下发了《住房公积金信息化建设导则》，对数据安全做出了明确要求：一是公积金中心在为外部单位、外部系统提供涉及个人隐私的数据资源信息前，必须进行脱敏处理；二是应对住房公积金信息系统建立安全审计系统，保障数据库安全。

方案及效果

针对住房公积金系统的数据库安全痛点，昂楷科技为用户量身打造了高效、稳定、安全、全方位的住房公积金行业数据安全治理解决方案方案，通过部署数据库脱敏系统（AAS-DZ）、数据库审计系统（AAS），为陇南市住房公积金管理中心的数据治理提供强大助力。

1

共享数据去隐私化

在生产库与测试库之间部署昂楷数据库脱敏系统，对用户生产环境中的公积金账户姓名、身份证号、公积金余额、所在单位等敏感数据进行脱敏处理后，再提供给第三方使用，从源头防止数据的泄露、滥用。

①敏感数据自动识别

数据库脱敏系统（AAS-DZ）可通过预定义敏感数据特征库，在任务执行过程中通过智能匹配识别敏感数据，最大限度的实现脱敏工作自动化，避免按照字段名手工方式定义敏感数据的繁琐工作。

②丰富的脱敏算法

数据库脱敏系统（AAS-DZ）内置同义替换、数据遮蔽、随机替换、偏移、加密和解密、随机化、可逆脱敏等多种脱敏规则，内置十余种中国本地隐私数据类型的漂白规则和算法，可根据实际的应用场景灵活使用。

③脱敏有效性验证

在脱敏产品实际使用过程中，因生产环境中数据或数据结构频繁发生变化，会出现脱敏失效的情况，数据库脱敏系统（AAS-DZ）可对脱敏后的数据进行验证，确保脱敏工作准确、有效的执行。

凭借高并发，高可靠性，算法灵活的优势，昂楷数据库脱敏系统（AAS-DZ）可应对不同数据类型，满足不同的应用场景，陇南市住房公积金管理中心能够安全的向外部单位、外部系统提供涉及个人隐私的数据资源信息，有效规避了敏感数据泄露风险。

2

全面的数据库审计

①事前预防

通过监控异常IP、进程、多次反复的登录系统，对数据的访问操作行为进行完整记录，以备违反安全规则的事件发生后，能有效的追查责任和分析原因，预防非法访问、暴力破解等问题；

②360度精准实时监控

数据库审计（AAS）支持各种复杂操作，如绑定变量、嵌套语句的复杂组合的审计，做到不漏审，不误审。并且通过预设的规则，可智能的实时发现问题，并通过告警平台，短信，邮件等，及时进行干预；

③事件准确溯源

传统的数据库审计定位往往局限于IP地址和MAC地址，很多时候不具备可信性。昂楷数据库审计系统（AAS）可对应用层账号、数据库账号、操作系统用户名、客户端主机名、客户端IP、客户端MAC等进行关联分析，从而追踪到具体人。

客户收益

昂楷数据安全解决方案的应用部署，实现了对数据全生命周期的安全管理和监控，为陇南市住房公积金管理中心的数据治理戴上安全之盾，迈向健康、可靠、可持续发展的光明大道。