桌面云助力扬州人社局：让终端数据更安全

近期，《网络安全和信息化》杂志推出“2022安全样板工程”系列专题，通过样板案例展示，向广大企业用户推介网络安全建设思路和经验，提升企业网络安全防护能力，更好地护航数字经济发展。扬州人力资源和社会保障局（以下简称扬州人社局）大厅业务窗口终端数据安全创新实践入选。

扬州人社局窗口服务信息化建设有哪些痛点？又是如何保护敏感数据？

2019年人力资源社会保障部印发《人力资源社会保障部关于建立全国统一的社会保险公共服务平台的指导意见》，明确提出利用互联网、线下窗口等多渠道为群众提供便捷的服务，要求实现“一号申请”“一窗受理”“一网通办”和“一卡通用”，为参保单位和人员提供全网式、全流程、无差别的方便快捷服务。其中，线下服务作为人社系统最重要的服务方式之一，线下窗口要实现“一门式”“一窗式”服务，全面推广“前台一窗受理、后台分级审核、限时办结、统一反馈”的综合柜员制经办模式。

在人社一体化平台建设的大背景下，扬州人力资源和社会保障局信息化建设需求已经提升到桌面应用层级。然而，人社办公窗口终端安全是影响智慧人社经办业务安全的重要因素，尤其是经办窗口会涉及到大量的民生数据。如何确保这些经办数据在应用、传输、存储等过程中的安全性是使用办公窗口终端过程中一直存在的问题：

1. 办公窗口终端涉及到扬州市三区三县及其分支机构，日常PC终端运维响应速度慢，难以满足业务办理连续性的要求。最为重要的是，第三方介入运维难免接触到经办过程中的敏感数据，给业务数据增加了数据泄密的风险。

2. 经办窗口终端桌面上的业务数据存在可以通过手机拍照将重要数据外发的风险，同时还缺乏有效的事前威慑手段。

3. 目前窗口采用PC终端进行业务办理，经办数据均在PC的硬盘上留存，存在“内鬼”窃取敏感数据的可能。同时由于缺乏审计策略，一旦出现重要业务数据丢失，将难以被发现并进行审计溯源。

扬州人社局社保大厅终端建设方案

在扬州人社局数据中心部署多台深信服桌面云一体机，搭配瘦终端盒子，供区县人社的服务大厅办公窗口使用。各个区县的办公瘦终端通过专线与扬州人社局数据中心的一体机集群建立连接，同时采用硬件桌面控制器进行代理访问，并适配专属的传输协议优化，确保传输的稳定性、高效性与安全性。

通过桌面云全方位保障数据安全

存储安全

终端不再留存数据，集中存储

双副本提升数据安全性

访问安全

建立数据与权限的访问控制策略

数据存储隔离

读写拷贝安全

USB黑白名单，建立精确管控能力

建立数据读、写管控策略

文件导出审计

审计员可查看文件导出行为

建立文件导出告警规则

屏幕水印

在桌面云设置屏幕水印，在虚拟桌面上以水印显示用户名、时间

实施效果与经验价值

1. 人社经办数据集中存储，不再离开数据中心，从根本上降低数据安全风险，经办人员无需担心客户端丢失或故障而造成工作中断或数据丢失。

2. 运维人员通过设置集中化策略控制用户对数据的访问权限，根据不同桌面的安全系数及接入桌面的环境来匹配不同安全级别的策略，既真正实现全面安全，又提高了桌面生产力。

3. 借助桌面云自动化备份和集中式运维机制，使故障恢复时间从传统PC的几小时缩短至几分钟，有效提升人社窗口服务的连续性。

数据安全成为单位信息化过程中面临的重要课题，特别是在人社系统终端存在大量用户敏感信息的场景中。扬州市人社局在人社体系率先提出办公窗口智慧桌面云架构设计方案，对窗口经办业务数据安全从前端数据的应用安全、存储安全等进行了全方位安全策略设置，降低业务窗口经办的民生数据的泄密风险，全面提高桌面数据的安全管理效率与质量。

——扬州人力资源和社会保障局大厅业务窗口终端数据安全创新实践入选“2022安全样板工程”编辑点评