南京勞動(dòng)保障信息系統(tǒng)安全運(yùn)行風(fēng)險(xiǎn)防范對(duì)策

摘 要：本篇探索南京勞動(dòng)保障信息系統(tǒng)（以下簡(jiǎn)稱(chēng)：“南京系統(tǒng)”）安全風(fēng)險(xiǎn)防范工作的新思路、新方法，提出南京系統(tǒng)存在的問(wèn)題及解決問(wèn)題的對(duì)策，確保南京系統(tǒng)正常平穩(wěn)運(yùn)行。

關(guān)鍵詞：勞動(dòng)保障； 信息系統(tǒng)； 安全； 對(duì)策

中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-3315（2012）06-162-001

一、引言

南京系統(tǒng)的設(shè)計(jì)規(guī)劃、開(kāi)發(fā)建設(shè)，一直到系統(tǒng)的運(yùn)行維護(hù)管理等各個(gè)環(huán)節(jié)，都將安全問(wèn)題置于首要位置予以考慮，結(jié)合我市勞動(dòng)保障工作實(shí)際，從系統(tǒng)網(wǎng)絡(luò)、主機(jī)設(shè)備、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、人員管理、承建單位協(xié)調(diào)管理、區(qū)縣包括街道社區(qū)勞動(dòng)保障信息化建設(shè)管理等各方面，制定實(shí)行了一系列比較全面、詳細(xì)、具體的有關(guān)管理制度和規(guī)定。

本文提出了南京系統(tǒng)的安全風(fēng)險(xiǎn)防范工作的新思路、新方法，并列出了系統(tǒng)風(fēng)險(xiǎn)防范的各種對(duì)策、機(jī)制。

1.南京勞動(dòng)保障信息系統(tǒng)當(dāng)前安全運(yùn)行風(fēng)險(xiǎn)防范機(jī)制

南京系統(tǒng)從開(kāi)發(fā)至今，始終將安全體系建設(shè)置于最重要位置，建立起包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、系統(tǒng)網(wǎng)絡(luò)、物理環(huán)境、入網(wǎng)單位、入網(wǎng)人員等各個(gè)層面、多方位的安全風(fēng)險(xiǎn)防范機(jī)制。

1.1應(yīng)用系統(tǒng)安全防范機(jī)制：應(yīng)用系統(tǒng)設(shè)置有三層管理機(jī)制，用戶(hù)級(jí)、任務(wù)級(jí)和系統(tǒng)級(jí)，嚴(yán)格控制系統(tǒng)操作權(quán)限和范圍，確保每一用戶(hù)的使用權(quán)限和操作合法性。

1.2數(shù)據(jù)庫(kù)系統(tǒng)安全防范機(jī)制：通過(guò)系統(tǒng)權(quán)限、角色權(quán)限、數(shù)據(jù)權(quán)限的管理，建立了數(shù)據(jù)庫(kù)系統(tǒng)的權(quán)限控制機(jī)制。

1.3系統(tǒng)網(wǎng)絡(luò)安全防范機(jī)制：關(guān)閉不需要開(kāi)放的服務(wù)端口，限制用戶(hù)的操作權(quán)限，使用網(wǎng)管軟件，加強(qiáng)網(wǎng)絡(luò)安全管理。

1.4勞動(dòng)和社會(huì)保障卡安全防范機(jī)制：卡密鑰系統(tǒng)為一卡一密，防止偽造。

1.5物理環(huán)境安全防范機(jī)制：存儲(chǔ)信息的備份介質(zhì)達(dá)到防塵、防潮、防毒變要求；主機(jī)房安裝自動(dòng)防火設(shè)備。

1.6各區(qū)縣局域網(wǎng)安全管理情況：各區(qū)（縣）勞動(dòng)保障信息系統(tǒng)的建設(shè)與安全管理統(tǒng)一規(guī)劃、統(tǒng)一部署、統(tǒng)一建設(shè)。

1.7入網(wǎng)機(jī)構(gòu)和個(gè)人的安全管理：實(shí)行上崗前安全操作培訓(xùn)，對(duì)外機(jī)構(gòu)：如定點(diǎn)醫(yī)療機(jī)構(gòu)、全市各街道和社區(qū)等單位需要接入南京勞動(dòng)和社會(huì)保障信息網(wǎng)的，建立了一套較完備的入網(wǎng)資格認(rèn)證方案。

2.南京勞動(dòng)保障信息系統(tǒng)安全運(yùn)行方面存在的風(fēng)險(xiǎn)

2.1管理層面。南京系統(tǒng)安全運(yùn)行文件內(nèi)容側(cè)重點(diǎn)主要是如何避免南京系統(tǒng)客戶(hù)端的安全運(yùn)行風(fēng)險(xiǎn)，忽略后臺(tái)的安全運(yùn)行風(fēng)險(xiǎn)，且文件執(zhí)行力度不夠。

2.2技術(shù)應(yīng)用層面。

2.2.1主機(jī)網(wǎng)絡(luò)設(shè)備缺乏有效機(jī)制進(jìn)行管理與維護(hù)。

2.2.2應(yīng)用系統(tǒng)程序眾多，功能繁雜，開(kāi)發(fā)技術(shù)相對(duì)落后，系統(tǒng)架構(gòu)缺乏先進(jìn)性。

2.2.3只重視系統(tǒng)網(wǎng)絡(luò)核心的技術(shù)支撐，弱化了系統(tǒng)輔助設(shè)備以及客戶(hù)端的技術(shù)管理。

2.2.4系統(tǒng)的容災(zāi)恢復(fù)技術(shù)嚴(yán)重缺乏。

2.2.5缺乏動(dòng)態(tài)口令認(rèn)證系統(tǒng)。

2.3操作層面。對(duì)一些出現(xiàn)的故障沒(méi)有做到“能發(fā)現(xiàn)”，“有證據(jù)”。

2.4人員層面。對(duì)信息技術(shù)人員培養(yǎng)投入不到位。

3.南京勞動(dòng)保障信息系統(tǒng)安全運(yùn)行風(fēng)險(xiǎn)防范對(duì)策

3.1安全防范技術(shù)對(duì)策。

3.1.1網(wǎng)絡(luò)拓?fù)浞治鰧?duì)策。對(duì)策內(nèi)容：根據(jù)網(wǎng)絡(luò)的實(shí)際情況，繪制網(wǎng)絡(luò)拓?fù)鋱D；分析網(wǎng)絡(luò)中存在的安全缺陷并提出整改建議意見(jiàn)。

對(duì)策作用：針對(duì)網(wǎng)絡(luò)的整體情況，進(jìn)行總體、框架性分析。一方面，通過(guò)網(wǎng)絡(luò)拓?fù)浞治觯軌蛐纬删W(wǎng)絡(luò)整體拓?fù)鋱D，為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)日常管理等管理行為提供必要的技術(shù)資料；另一方面，通過(guò)整體的安全性分析，能夠找出網(wǎng)絡(luò)設(shè)計(jì)上的安全缺陷，找到各種網(wǎng)絡(luò)設(shè)備在協(xié)同工作中可能產(chǎn)生的安全問(wèn)題。

3.1.2防病毒軟件病毒庫(kù)定期升級(jí)對(duì)策。對(duì)策內(nèi)容：防病毒服務(wù)器通過(guò)INTERNET更新病毒庫(kù)；防病毒服務(wù)器強(qiáng)制所有在線客戶(hù)端更新病毒庫(kù)。

對(duì)策作用：通過(guò)不斷升級(jí)病毒庫(kù)確保防病毒軟件能夠及時(shí)發(fā)現(xiàn)新的病毒。

3.1.3服務(wù)器定期掃描、加固對(duì)策。對(duì)策內(nèi)容：使用專(zhuān)用的掃描工具，在用戶(hù)網(wǎng)絡(luò)管理人員的配合下，對(duì)主要的服務(wù)器進(jìn)行掃描。

對(duì)策作用：找出對(duì)應(yīng)服務(wù)器操作系統(tǒng)中存在的系統(tǒng)漏洞；找出服務(wù)器對(duì)應(yīng)應(yīng)用服務(wù)中存在的問(wèn)題。

3.1.4信息備份系統(tǒng)。對(duì)策內(nèi)容：定期備份電子信息。

對(duì)策作用：防止核心服務(wù)器崩潰導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓。

3.2安全防范管理對(duì)策

3.2.1管理制度對(duì)策。對(duì)策內(nèi)容：編制詳實(shí)的涵蓋系統(tǒng)建設(shè)各個(gè)層面的規(guī)章制度，建立制度的實(shí)施辦法與流程，建立健全制度實(shí)施、監(jiān)督的流程與辦法。

對(duì)策作用：使系統(tǒng)安全體系制度化、標(biāo)準(zhǔn)化，規(guī)范了系統(tǒng)的運(yùn)行行為與操作行為，在管理上保證系統(tǒng)的安全運(yùn)行，降低風(fēng)險(xiǎn)發(fā)生的幾率。

3.2.2建立系統(tǒng)安全風(fēng)險(xiǎn)防范評(píng)估機(jī)制對(duì)策。對(duì)策內(nèi)容：進(jìn)行自評(píng)估和他評(píng)估服務(wù)兩類(lèi);進(jìn)行安全檢查;進(jìn)行系統(tǒng)安全保障等級(jí)評(píng)估;安全認(rèn)證與認(rèn)可。

對(duì)策作用：安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)評(píng)估是應(yīng)用比較廣泛的一種安全評(píng)估方法，是系統(tǒng)風(fēng)險(xiǎn)管理的前期活動(dòng)，風(fēng)險(xiǎn)評(píng)估具有基礎(chǔ)性作用，為信息系統(tǒng)安全建設(shè)指明方向。

3.2.3人員對(duì)策。對(duì)策內(nèi)容：制訂針對(duì)系統(tǒng)管理者、系統(tǒng)使用者、系統(tǒng)決策者等不同層面的培訓(xùn)內(nèi)容與培訓(xùn)計(jì)劃，并形成制度化、標(biāo)準(zhǔn)化；建立動(dòng)態(tài)、長(zhǎng)效的信息化技術(shù)和勞動(dòng)保障業(yè)務(wù)的研究機(jī)制。

對(duì)策作用：提高人員素質(zhì)，增強(qiáng)系統(tǒng)維護(hù)開(kāi)發(fā)的力度，保證系統(tǒng)被正確的使用，從而從“人”這個(gè)因素上防范系統(tǒng)風(fēng)險(xiǎn)的發(fā)生。

二、結(jié)束語(yǔ)

南京勞動(dòng)保障信息系統(tǒng)的安全不是一朝一夕的工作，而是一項(xiàng)長(zhǎng)期的、艱巨的任務(wù)，需要全局的參與和努力。同時(shí)要加大投入，建立全新的系統(tǒng)運(yùn)行風(fēng)險(xiǎn)安全防范體系，并在管理上、制度上保證該體系的實(shí)現(xiàn)。

參考文獻(xiàn)：

[1]黃志澄.電子政務(wù)的內(nèi)涵及發(fā)展.中國(guó)信息導(dǎo)報(bào)，2002(4)

[2]馮杰，李會(huì)欣.我國(guó)電子政府安全運(yùn)行分析.新視野，2005(5)

[3]湯志偉.電子政府的信息網(wǎng)絡(luò)安全及防范對(duì)策.電子科技大學(xué)學(xué)報(bào)(社科版)，2010(1)