人力資源和社會保障信息化建設數(shù)據(jù)安全研究

摘 要 在信息系統(tǒng)的安全建設是必不可少的關鍵環(huán)節(jié)。人力資源和神會保障信息系統(tǒng)是涉及多地區(qū)、多部門、多業(yè)務、多應用的信息系統(tǒng)，其安全性涉及到公民的切身利益。國家針對社保系統(tǒng)信息化建設提出了“完整、正確、統(tǒng)一、及時、安全”的總要求，加強社保網(wǎng)絡的數(shù)據(jù)庫安全是人力資源和社會保障信息化工程安全建設的重中之重。

【關鍵詞】人力資源 信息化建設 數(shù)據(jù)安全

從網(wǎng)絡誕生以來，網(wǎng)絡安全的威脅就是來自多方面的。其中，受到來自外部的襲擊等威脅固然可怕，但更應該加以防范的是來自內部的安全威脅。調查顯示，超過85%的安全威脅來自內部網(wǎng)絡：16%來自內部未授權存取；14%源于專利信息被竊取；12%是內部人員的財務欺騙；另有11%資料或網(wǎng)絡被破壞，等等。因此，在重金購置防火墻、防毒軟件來防止外界威脅的同時，必須重視防止研究應對社保網(wǎng)絡的內部安全威脅的對策，進而采取有效的防范措施。在這種情況，對于整體系統(tǒng)安全性來說，各個基層的終端接入點最易受到上述攻擊的威脅，需要進行周詳?shù)脑O計。

1 系統(tǒng)安全目標

1.1 訪問控制

（1）只有內部終端設備才能接入網(wǎng)絡，可獲得相應訪問權限。另外，應對接入終端進行安全檢查和認證，安檢認證不合格的終端必須進行升級補丁、修復軟件之后，才可接入網(wǎng)絡。

（2）對終端操作人員進行身份驗證和訪問控制，擁有許可的工作人員才能通過身份驗證。為防止身份冒用問題，應支持基于帳號、MAC、第三方認證系統(tǒng)（如AD、LDAP等）的認證，并設置IP、MAC與帳號綁定的功能。

通過實現(xiàn)嚴格控制終端的接入，可以確保只有系統(tǒng)認可的終端和人員才能接入網(wǎng)絡。

1.2 終端安全檢查

基層終端設備時刻面臨著病毒、黑客入侵、木馬軟件等多種安全隱患。因此，應對接入終端的進行嚴格安檢，只有合格的終端才被允許接入網(wǎng)絡。而終端安全檢查至少應包括以下幾方面：

（1）檢查終端防病毒軟件安裝與否，并是否及時更新。對于終端設備來說，病毒是最大的安全威脅，應作為安檢的重點進行。

（2）檢查終端的互聯(lián)網(wǎng)瀏覽器、操作系統(tǒng)軟件、辦公軟件等是否已及時更新安全漏洞補丁。木馬及病毒最易攻擊的目標就是系統(tǒng)及應用程序漏洞，應及時發(fā)現(xiàn)，并強制更新系統(tǒng)補丁，防患于未然。

（3）終端密碼及賬號信息。應能檢查終端是否啟用屏幕保護、是否設置密碼，以及終端的屏幕保護的啟動時間。另外，應能確定終端指定時間范圍內未登錄的賬戶，便于對閑置帳戶進行管理。

（4）應具備檢查終端軟件信息的功能，對終端上的軟件進行黑白名單管理，限制安裝違規(guī)軟件的終端接入網(wǎng)絡，防止木馬及其他風險對業(yè)務系統(tǒng)造成威脅。

通過終端的安檢，能及時發(fā)現(xiàn)終端的各種安全隱患，及時消除，防患于未然。

1.3 用戶行為管理

基層接入終端相對分散，應制定有效的終端統(tǒng)一安全策略，防止用戶進行非法操作。因此，須要對終端用戶進行相應的行為管理，包括以下幾方面：

（1）支持遠程管理功能。鑒于終端部署分散，管理員應能對遠程終端擁有完全控制權限及監(jiān)控權限，以方便運維管理。

（2）記錄本地硬盤指定文件類型的刪除、編輯、復制等操作，并將審計日志上傳到服務器，保護原始數(shù)據(jù)不被篡改。

（3）應具備統(tǒng)一發(fā)布各類軟件的功能，以保證新業(yè)務的終端軟件靈活部署，并方便對現(xiàn)有軟件進行及時升級。

（4）應具備將用戶終端文件進行遠程備份的功能，以確保對核心文件進行有效備份，防止意外損壞。

通過用戶的行為管理，能夠有效實現(xiàn)遠程安全管理和運維，并保護分散在終端上的部分數(shù)據(jù)安全。

1.4 遠程集中管理

基層終端有部署分散、日常操作人員的單位復雜的特點，對終端的安全管理應具備遠程集中管理的特性，應至少包括以下幾方面：

（1）終端管理軟件應具有防卸載功能，以及強制升級功能，使終端軟件保持新版本，并不會被用戶自行卸載，造成違規(guī)行為而無法審計。

（2）應具備對所有終端進行安全策略下發(fā)和調整的能力。

（3）終端與服務器端通信、管理界面的訪問應支持數(shù)據(jù)加密傳輸，防止被惡意攔截、破解。

（4）審計與報警功能應可視化，及時對全網(wǎng)信息進行收集和報警。

通過遠程集中管理，能有效地將分散的終端統(tǒng)一的進行安全策略下發(fā)和管理，使分散的終端成為可管理的整體。

1.5 選擇可靠備份線路

社保工程需要24小時不間斷提供服務，應設計成本較低的方案，以為各節(jié)點提供備份線路。目前，移動網(wǎng)絡發(fā)展迅速，3G技術成為成本低、部署靈活的最佳線路選擇。但目前，普通的ADSL設備不支持3G備份線路。因此，考慮成本及管理方便的方面，應采用同時支持ADSL與3G線路的接入設備，并且設備可將ADSL作為主線路，3G為備份線路。

1.6 終端設備集成管理

目前，各個基層站點大都采用ADSL設備+PC終端的組合方式。這種方式帶來的非法終端接入風險在前面已經(jīng)進行了分析，不再贅述。以外，這種部署方式還會帶來設備管理不便等問題，特別是網(wǎng)絡設置被更改的情況下，如ADSL的線路被人為改動、設備被重置等。這造成管理人員無法對連接中斷的終端及設備進行有效的遠程管理，而基層終端使用人員又缺乏技術能力，無法判斷當時狀況，使問題解決困難。為此，應采用一體化設備，將終端機與ADSL進行集成，最大程度減少人為造成的鏈路中斷等問題。

2 總結

綜上所述，建議在社保工程基層接入點采取以下技術措施：

（1）在基層客戶端終端部署安全管理類軟件，以達成對終端的接入控制、安全檢查、行為管理等安全功能的實現(xiàn)。另外，通過集中管理功能，確保實現(xiàn)終端安全策略的一致性，以及集中安全審計。

（2）在基層接入點部署高度集成設備。首先，支持終端接入控制的同時，要求能實現(xiàn)ADSL線路和3G線路的同時接入；應具備訪問控制等防火墻功能；支持將接入線路和終端PC集成在一起，實現(xiàn)在每個基層點只需部署一臺設備。

參考文獻

[1]呂麗娟.金保工程中安全防護技術應用芻議[J].信息網(wǎng)絡安全，2007（06）.

[2]常勇斌.人力資源和社會保障的信息化建設探究[J].財經(jīng)界：學術版，2012（02）.

作者簡介

桑卓，女，現(xiàn)為吉林省四平市人力資源和社會保障信息中心副研究員。

作者單位

吉林省四平市人力資源和社會保障信息中心 吉林省四平市 136000endprint