人社信息系統網絡安全防護體系研究

導語：人社信息系統網絡安全防護體系研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：近年來，人力資源和社會保障專網建設取得了長足發展，部省市三級網絡進一步貫通，實現了各類就業管理機構、社會保險經辦機構、定點醫院、定點藥店的互通互聯，并進一步向下延伸至各街道、鄉鎮、社區、行政村，建立起了龐大的人社信息化專網。然而，信息化技術的發展日新月異，網絡安全已經成為人社信息化發展的絆腳石。因此，構建完善的人社信息系統網絡安全防護體系，保障人社事業蓬勃發展，已是當務之急。

關鍵詞：人力資源；社會保障；網絡安全；防護體系

1引言

隨著網絡技術的不斷發展和移動終端的快速普及，互聯網以其智能、普惠、便捷的突出優勢，有力推動了互聯網和電子政務的深度融合，已經成為建設信息化公共服務平臺的必備工具。人力資源和社會保障信息系統是提供社會保險、人事人才、勞動關系、公共就業等一系列綜合業務的平臺。系統部署較為廣泛，向上連接部省人社部門，向下連接成千上萬的社區、醫院、單位等，橫向跨部門連接到稅務、公安、民政、銀行等，接入終端千差萬別、接入網絡各式各樣、使用主體不計其數，網絡安全已經阻礙了人力資源和社會保障信息化的發展，時展對于人社網絡安全提出了更高的要求，構建完善的人社信息系統網絡安全防護體系是保障人社事業快速發展的必要手段[1]。

2人力資源和社會保障網絡特征

目前，我國人社信息系統主要以地市級業務集中模式為主，并處于向省級系統集中的過渡時期，少部分省份建成了省級集中式的業務信息化系統。因此當前我國人社網絡主要以地市為核心向上連接部省人社機構，向下延伸連接到縣區、街道、社區，網絡呈現出了規模龐大、結構復雜、網絡開放、易受攻擊等一系列特征[2]。圖1以市級人社網絡為核心描述了當前我國人社網絡的典型拓撲結構。2.1規模龐大，結構復雜。人社網絡縱向連接部、省、市、縣區、街道（鄉鎮）、社區（村），橫向連接民政、公安、稅務等其他政府部門，擴展連接到銀行、定點醫院、定點零售藥店等各類社保待遇享受及經辦場所。同時，網絡對外開放供各類外網用戶查詢社保和就業相關信息、辦理各類人社相關業務，因此人社網絡地域跨度大、覆蓋范圍廣、用戶數量多，網絡整體規模非常龐大。人社網絡具有結構復雜特性。首先，接入網絡的設備各式各樣，包括各類社保卡讀卡器、自助服務終端、醫療機構和銀行結算相關設備、各類手機和電腦等終端設備；其次，接入的網絡性質差異大，接入網絡分為內網、專網、因特網三套網絡，網絡安全與保密要求不同、網絡地址劃分相對隔離。最后，接入網絡的線路類型多樣，有專線直連、VPN、MSTP等多種線路類型。2.2網絡開放，易受攻擊。人社業務類型多、復雜度高，為保障各類人社業務的順利開展，人社信息化系統普遍采取大而集中的開放式系統架構，系統接口數量龐大、接入難度較低、系統漏洞易被發現。盡管人社部門采取了各種不同的安全措施、網絡安全訪問控制機制，但無法從根本上解決系統固有隱患。同時，網絡黑客和病毒攻擊較為常見，網絡安全防御難度非常大[3]。防火墻可以很大程度上防范外部攻擊，但很難防范內部網絡間的訪問控制，難于防范內部網絡間的惡意攻擊。計算機網絡以資源共享為目的，但攻擊者很有可能利用共享資源來對人社系統進行入侵和破壞。2.3安全措施被動，過度依賴硬件。人社專網自建立之初，普遍部署了各類安全硬件設備，比如防火墻、網閘、堡壘機等，并根據當前人社所遇到的主要威脅預定義各類防護設備的防護規則。然而，信息化技術發展日新月異，各類入侵手段層出不窮，很難依靠固定傳統軟硬件手段做到有效防護。在依靠傳統防護方法的同時，也應該不斷調整網絡體系架構、做好數據審計、及時更新各類防護軟件、強化人員能力水平和安全意識，做到全方位防護。

3網絡安全防護體系建設

3.1強化準入和訪問控制機制。實施網絡和設備準入制度，嚴格限制各類網絡和設備接入人社專網，對于已經接入的網絡和終端設備應該定期進行核查，對于違規接入的網絡進行清理，對不符合準入標準的設備通報整改。建立完善的訪問控制機制，首先對各類訪問進行有效管控，特別是對于分散部署的各類終端設備，必須采取一些較為安全的訪問控制策略，防止各類終端用戶的非法操作。其次建立訪問日志制度，將訪問日志單獨存儲以便備查。最后做好入侵檢測工作，將入侵檢測設備部署在防火墻之后，并設置合理的安全控制策略，對于網絡邊界進行檢查，對傳輸數據進行有效識別。3.2實施外網訪問單向隔離措施。近年來，隨著我國信息化建設步伐的加快，“電子政務”應運而生，并以前所未有的速度發展。電子政務與國家和個人的利益密切相關，在人社信息系統建設中，互聯網連接著廣大企事業單位和民眾，業務專網連接著政務工作人員桌面辦公系統和金保、就業、人事人才等信息系統，在互聯網、業務專網之間交換信息是基本要求。人社信息系統網絡建設中應該采取單向邏輯隔離方式，只開放業務專網到互聯網一側的單向訪問，關閉所有互聯網向業務專網一側的訪問接口，在內外網同時建立交換數據庫、數據庫之間配備軟件式安全交互網關，實現內網數據的實時同步，以此解決從民眾到人社的網絡暢通、資源共享、實時交互的問題，同時又可以有效保護人社內網數據的安全[4]。3.3建立基于PKI的人社服務渠道。PKI（PublicKeyInfrastructure）即“公鑰基礎設施”，是提供一整套完善、可靠安全機制的軟硬件系統和安全策略集合，包括PKI策略、軟硬件系統、證書機構CA、注冊機構RA、證書系統和PKI應用等[5]。人社網上業務類型多、安全性要求高，業務涵蓋養老保險、失業保險、工傷保險、創業申報等，業務辦理過程需要對辦理人進行身份核查、操作權限審核、確保數據安全傳輸、數據內容保密、不可抵賴、事后可追責。基于上述需求，采用PKI/CA技術，涉及工資待遇、基礎信息、參?；鶖档年P鍵性業務，在用戶端使用USBKey進行網上辦理。非關鍵性業務或者是安全性要求低的業務采取用戶名和密碼登錄方式辦理，這樣既可以最大限度地拓展人社網上業務辦理范圍，又能為辦事群眾提供更加便捷的服務渠道[6]。3.4提高安全防護意識。人社專網不僅是人社部門內部人員使用的網絡，除人社工作人員外還有醫院、藥店、參保人員等，只有不斷地提升人們的網絡安全防范意識、充分認識網絡安全重要性，才能夠確保人社網絡的安全運行。首先，在人社內部進行定期教育活動，強化工作人員安全防范意識，不在電腦上安裝雙網卡、不隨意接入不明來路或者有安全隱患的移動磁盤或U盤等設備、不將用戶賬號透露給他人等。其次，規范各類定點醫療機構行為，定期對各類醫療機構進行檢查，并對系統和網絡管理進行考核、設置崗位技能評審，提升定點機構的信息系統和網絡管理能力[7]。最后，將各類涉及人社信息系統的違法案例裝訂成冊向廣大參保人員進行宣傳，以此提升廣大群眾規范、合法使用人社信息系統和網絡的意識。3.5建立等級保護制度。首先對人社信息系統進行風險評估，風險評估的目的是對目前和未來可能發生的風險以及這些風險可能帶來的威脅和影響程度，為后續系統安全策略的制定、建設方案的選擇、系統的運行維護提供必要依據。因此，人社信息系統風險評估是信息安全等級保護工作的重要前提和必要流程。其次，各級人力資源和社會保障部門依據國家信息安全等級保護政策和標準規范，開展等級保護工作，作為一項基礎性、制度性、保障性的長期工作。以等級保護工作為中心，全面開展信息系統和網絡安全建設工作，建立人社信息系統等級保護體系，有效提高信息系統整體安全防護能力[8]。

4結語

網絡技術的應用使得人社工作效率得到了有效提升，但信息系統安全問題也對人社工作產生了巨大威脅，如何強化人社信息系統網絡安全成為人們關注的重點。首先，人社信息系統網絡安全涉及技術、管理等多個方面，任何一項短板都會形成木桶效應，造成整個系統的安全大幅度的下降，因此需要構建全方位的信息系統網絡安全防護體系。其次，信息技術的發展日新月異，人社信息系統面臨的網絡安全在不斷發生變化，要想做到萬無一失需要人社工作者不斷學習、根據技術發展方向不停地完善網絡安全防護體系。最后，人社部門也應加強與公安、財政、民政等其他政府部門的合作，共同制定針對系統更新與安全漏洞等方面的技術方案，攜手共進、共筑網絡安全防線[9]。

參考文獻：

[1]寧向延,張順頤.網絡安全現狀與技術發展[J].南京郵電大學學報(自然科學版),2012,32(5):49-58.

[2]呂麗娟.金保工程網絡系統安全防護體系建設[J].信息網絡安全,2005(5):13-15.

[3]汪余宏.企業網絡防病毒解決方案與實踐[J].計算機時代,2013(7):24-27.

[4]李炫均,李朝銘.一種基于軟件的安全網閘實現技術[J].信息技術與信息化,2019(1):88-90.

[5]霍艷清.基于PKI技術的電子政務網身份認證系統的設計與實現[D].長春:吉林大學,2014.

[6]駱慧勇.基于云桌面實現網絡安全隔離的應用[J].計算機應用與軟件,2020,37(2):15-17,38.

[7]陳輝.強化金保工程信息安全建設的對策探討[J].軟件導刊,2011,10(3):143-145.

[8]畢海鈺.D市人社數據中心信息安全風險管理研究[D].大連:大連理工大學,2018.

[9]張康林.網絡安全技術的現狀與發展趨勢[J].網絡安全技術與應用,2015(4):176,179.

作者:秦濤 單位:徐州市人力資源和社會保障信息中心