浅析成都中心公共服务渠道数据防泄密系统上线应用

  成都市住房公积金管理中心在省市相关部门指导下，积极梳理排查对外公开的官方网站、微信公众号和手机APP服务渠道技术缺陷，开展技术调研和方法论证，全行业率先搭建了公共服务渠道数据防泄密系统，对线上服务渠道作了针对性的安全防护，有效地保护了住房公积金个人信息的安全。

一、系统建设背景

  随着“互联网+业务”快速发展，公民个人信息网上泄露屡见不鲜，给个人、行业和社会造成了不可估量的损失。相对商业行业而言，政府部门所掌握的公民信息数据量更大、更全，也成为了不法分子新的觊觎目标，对外公开的政务服务渠道逐渐成了不法分子新的攻击对象。

  近期，成都中心陆续接到部分缴存职工电话询问某手机端应用市场下载的公积金查询APP是否是成都中心授权公积金APP？原因就在于使用该公积金APP后收到大量理财借贷产品推销电话，这引起了成都中心高度警觉。同时，成都中心接到市网信办关于非官方授权第三方网站、微信公众号和APP非法获取个人信息的安全风险通告。为此，成都中心领导高度重视，指示科技部门迅速开展调研和风险评估并采取有效措施消除个人信息数据泄漏的安全隐患。

二、情况调查和风险评估

（一）住房公积金个人信息安全管理情况调查。成都中心随即组织技术力量开展调研，重点对市面上流行的闪电公积金网站、“51公积金管家”公众号和速查查公积金等260多个提供公积金查询服务的非官方授权第三方网站、公众号和APP进行监控，其中下载量最大的“51公积金管家”软件公司公布平台累计注册用户数已达5270万户，使用APP查询公积金的用户数达2050万户，大致覆盖全国400多个公积金中心。经调查，非官方授权第三方查询公积金均要求用户签订免责协议或授权书，在提供查询业务相关个人的身份证号码、电话号码、银行卡号、公积金账号和密码等个人信息的同时，还将截取从公积金中心个人网厅查询到的单位、住址、征信、缴存、贷款等个人敏感信息，甚至围绕利用个人公积金数据开展金融衍生服务。

图为非官方授权第三方公积金查询软件及运作模式

（二）住房公积金个人信息泄漏风险评估分析。通过对非官方授权第三方查询公积金的调查，非官方授权第三方表面上为职工提供便利服务，实际上非法获取职工个人敏感信息并用于商业盈利，给职工带来极大的个人信息泄漏风险和安全隐患。

1、非官方授权第三方非法获取个人公积金信息用于商业获利。根据调查了解，非官方授权第三方大规模采集并存储个人公积金信息，直接或间接用于商业获利，包括利用自身平台或金融机构以及其他在线消费平台开展贷款促成、投资便利等商业盈利服务，甚至可能向利益方输出和贩卖职工个人信息。

2、非官方授权第三方安全意识淡薄容易造成规模性数据泄漏。据调查了解，我国大部分互联网企业的核心业务仍然是品牌推广提升点击量和圈占用户群体，在保护用户个人隐私和数据安全方面仅仅依靠行业自律，而企业本身往往受短期利益导向影响忽视了信息安全，更不要说投入大量资金保护注册用户信息数据的安全。

3、非官方授权第三方非法获取个人公积金信息泄漏后对公积金中心有不利影响。非官方授权第三方利用互联网技术手段大量掌握个人公积金敏感数据，而自身缺乏自律或管理不善，造成个人公积金信息泄漏，导致个人公积金账户异常、伪造身份证和银行信息骗提、骗贷，特别是骗取信用贷款等。但个人公积金数据本身归属于公积金中心，缴存职工因公积金信息泄漏造成重大损失后，公积金中心将被推到风口浪尖，甚至名誉受损。

4、非官方授权第三方伪装批量访问官方渠道消耗公积金中心硬件资源。非官方授权第三方采集获取公积金中心数据时，往往会采取以机器行为批量数据包访问公积金中心官方渠道。而如此大流量访问官方渠道，极大地占用访问网络带宽、增加应用服务器资源处理开销，甚至当服务器硬件资源消耗到一定程度时，将影响职工通过官方渠道正常办理和查询公积金业务，从而导致职工对公积金中心的投诉。

三、系统建设实施及成效

（一）公共服务渠道数据防泄密系统建设情况。非官方授权第三方主要是通过前端虚构或复制公积金中心线上服务渠道诱骗职工在非官方网站、公众号或手机APP登录并采集职工公积金账户和密码，然后通过后端服务器模拟登录请求向公积金中心官方渠道登录，再将从公积金中心查询的个人账户信息封装返回前端界面展现。此类获取数据方式，从本质上讲均属于“爬虫行为”，而成都中心线上服务渠道用户验证尚未采用生物识别、短信验证等多因子检验，传统意义上的网络安全防护WAF、防火墙等仅仅针对网络安全攻击，却无法精准识别爬虫的伪装行为。

  因此，在了解非官方授权第三方非法获取个人公积金信息过程后，经过充分的技术论证和应用测试，成都中心采购了有别于传统安全防护应用的数据防泄密系统，并部署在互联网入口负载均衡设备与WAF安全设备之间新增虚拟服务器上的同时，将公共服务渠道访问端口流量直接引入数据防泄密系统过滤筛查，最后再通过WAF安全设备到达公共服务渠道应用服务器。

图为成都中心数据防泄密系统部署拓扑图

（二）公共服务渠道数据防泄密系统取得成效。成都中心公共服务渠道数据防泄密系统自2018年10月上线运行以来，近6个月运行状态良好稳定，系统检测到的“爬虫”访问公共服务渠道大幅度下降，而市面上主流的非官方授权第三方公积金服务平台均无法实现成都中心的公积金查询，有效保障了公共服务渠道的畅通和职工个人公积金信息的安全，提升了职工使用公共服务渠道办理公积金业务的体验度和满意度，但系统仍然拦截机器“爬虫”访问请求217万余次，日均达2.4万余次，特别是官方网站的网上服务大厅日均拦截1.9万余次。因此，对成都中心来说，要全面完成网络信息安全防护体系建设、数据安全保护、维护官方公共服务渠道权威和线上服务风险防控的目标任重道远。同时，还需要国家层面对非官方授权第三方非法获取个人隐私信息的约束和监管。

 转载自微信公众号住房公积金论坛 4月18日  苟林  何涛  文字图片来源于网络，仅供学习探讨，侵权请联系后台删除。