无锡市住房公积金管理中心数据安全防护——佰倬信息科技有限责任公司、蓝深远望科技股份有限公司
案例基本内容和执行情况
1.简介:
无锡市住房公积金管理中心接入长三角政务服务“一网通办”平台,围绕住房公积金管理信息系统面向社会提供公共服务,服务五百多万人,业务数据量大,数据敏感性极强,业务连续性和实时性要求高。
2.目标和挑战:
1)项目实施的难度大,要求高;
2)业务数据量大:数据总量近10 T,档案文件数量近亿个;
3)数据调用频繁:日均接口调用量为90万次左右,每天产生2、3万个新文件;
4)安防诉求全面:既要对数据加密,又要对数据的访问实施进程级强访问控制,防范已知和未知威胁,真正做到能够防泄漏、防窃取、防篡改、防勒索、防损毁;
5)实施要求严:对近亿条海量数据进行保护加密时,要保持业务的连续性,不影响前端用户的正常使用;
6)性能要求高:加解密性能足以支持大量数据在存储加密和查询解密场景下的快速响应。
3. 应用效果:
目前,中心在部署佰倬数据自保产品并成功上线运行后,已服务5百多万人,在业务数据量大和数据调用频繁场景下运行稳定,并保障了数据的存储机密性和完整性,满足关键数据防泄漏、防篡改、防窃取、防勒索、防损毁的需求。
案例主要经济成效和社会成效分析
1. 案例背景和意义:
无锡市住房公积金管理中心保存着大量敏感数据,需要面向互联网提供个人账户查询等社会公共服务,必须在防止数据泄露、窃取、勒索、篡改、损毁各方面有较完善的应对措施。
采用佰倬数据安全解决方案,无锡市住房公积金管理中心实现了对关键数据的贴身防护,包括海量的业务数据和系统日志数据。一方面通过佰倬数安产品的透明加解密功能,实现了对关键数据的加密存储,保障了数据的存储机密性和完整性,满足了关键数据防泄漏、防篡改的需求;另一方面通过佰倬数安产品的强访问控制功能,实现了仅允许合法进程通过合法途径访问关键数据,满足了关键数据防窃取、防勒索、防损毁的需求。其中佰倬产品支持不中断业务进行大量存量数据加密转换的独特功能,还帮助无锡市住房公积金管理中心在数据安全防护项目得以快速实施的同时,保持了业务连续性,避免了社会公共服务的长时间中断。
无锡市住房公积金管理中心和佰倬信息科技公司作为项目的用户方和技术支持与项目实施单位,将项目成功落地,并多次获得省级以上奖项。
2. 案例应用效果
无锡市住房公积金管理中心在经过严格评估后,采用了佰倬数安服务器版数据自保软件产品,应用于公积金数据库及文件系统服务平台,目的是对公积金相关文档的上传、搜索、阅览、调度等过程中对数据的保护。
目前,佰倬数安服务器版数据自保软件产品已成功上线运行,服务5百多万人,在业务数据量大(数据总量近10 T,档案文件数量近亿个)和数据调用频繁(日均接口调用量为90万次左右,每天产生2-3万个新文件)场景下运行稳定,并达到以下效果:
1)数据防护功能全面,可同时防泄露、防窃取、防篡改、防勒索、防损毁;
2)对近亿条海量数据文件进行保护加密,业务系统不需要改造和停机;
3)无集中性能瓶颈,无网络传输损耗,数据高频访问场景下性能优势明显;
4)支持结构化数据和非结构化数据;
5)软件运行稳定可靠,操作简便。
3.案例独特做法:
1)应用透明加解密:在应用将数据写入磁盘文件前进行基于SM3算法的完整性校验以及基于SM4算法的数据加密,在从磁盘文件读出数据后进行解密再返回给应用,实现对应用层透明的数据加解密。
2)进程级强访问控制:操作系统内核层,在进程访问被保护磁盘数据时,检查进程指纹的合法性,仅允许授权程序通过授权途径访问被保护的数据。
3)分布式部署:技术实现跟随数据部署,无集中性能瓶颈,无通信曾加解密损耗,性能指标满足公积金海量数据以及高并发数据访问要求。
4)存量数据加密平滑过渡:中心应用过渡转换机制,同时输出明文和密文,在不中断业务的情况下,对大量存量数据进行加密转换,保持了业务连续性。
4.案例已产生的效益
无锡市住房公积金管理中心依托住房公积金管理信息系统,通过公积金网上营业厅、无锡公积金微信公众号、长三角住房公积金服务一网通办平台等线上线下渠道面向社会提供公共服务。截至2023年底,中心已开户单位14.54万家,已开户职工292.59万人,归集余额达962.32亿元。2023年中心不见面归集率约为97%,“无锡公积金”微信公众号上提取业务办理笔数约60万笔,占提取业务总量约为96%。
针对系统业务数据量大,数据敏感性强,业务连续性、实时性要求高等特点,中心开展数据安全防护项目,通过在信息系统中应用数据自保技术,对关键数据进行透明加解密及强访问控制。数据自保软件工作在操作系统内核层,基于SM3算法和SM4算法实现对应用层透明的数据加解密,在进程访问被保护磁盘数据时,检查进程指纹的合法性,仅允许授权程序通过授权途径访问被保护的数据。实现关键数据防泄露、防篡改、防窃取、防勒索、防损毁,进一步筑牢公积金数据安全防线。
5.案例的可推广性
无锡市住房公积金管理中心具有以下业务特点:一是数据敏感性强。涉及全市缴存单位及个人的账户信息、个人信息等敏感数据,关乎企业及职工的资金安全、个人信息安全;二是业务数据量大。系统数据总量近10T,档案文件数量近亿个;三是业务连续性要求高。需保证公积金业务的正常开展,难以接受业务系统改造或存量数据转换导致的系统长时间停机维护;四是数据调用频繁。日均接口调用量为90万次左右;五是性能要求高。实施数据安全防护后,仍应保证公积金服务的快速响应。
无锡市住房公积金管理中心在经过严格评估后,在公积金数据库及文件系统服务平台中应用佰倬数据自保软件产品,在公积金相关文档的上传、搜索、阅览、调度等过程中对数据进行保护,实现了双关键数据的贴身防护,包括海量的业务数据和系统日志数据,解决了以下需求痛点:一是数据防护功能全面。实现进程级的数据访问控制,不依赖特征库,可抵御未知的系统漏洞及恶意工具,可抵御渗透攻击和内鬼泄密或破坏,具备防泄漏、防窃取、防篡改、防勒索、防损毁功能;二是性能优势明显。采用内置式加解密,具备并行计算能力和强大缓存能力,加解密性能支持海量业务数据在存储加密和查询解密场景下的快速响应;三是数据防护机制先进。实现对数据库以及文件服务器内的近亿条海量数据文件进行保护加密,同时支持对结构化数据以及非结构化数据的数据保护;四是现有系统免改造。可设置灵活过渡模式,在不中断业务的情况下对大量存量数据进行加密转换,保持了业务连续性。
无锡市住房公积金管理中心数据安全防护项目入选国家工业信息安全产业发展联盟颁发的“2023年数据安全典型应用案例”,并在2023年工业信息安全大会上正式发布。项目入选2023年无锡市网络数据优秀实践案例、2023年江苏省网络数据管理优秀实践案例,并在2023年江苏省网络安全发展大会上进行发布。
无锡市住房公积金管理中心数据安全防护项目,所采用的佰倬数安产品和解决方案,与市场常见产品及解决方案相比,差异化明显,打破常规,创新性亮点较多。方案实际解决了数据安全防护领域在系统功能、系统性能、系统机制方面的各种具有普遍共性的应用痛点,具备很强的复制推广价值。
海量数据应用场景下的数据加解密、数据权限管控和高业务连续性技术防护实现,可以参考本案例。
本文选自数据要素价值创新示范案例集(2023年度)