社會保險網絡信息安全問題分析與建議

亓愛玲

社會保險是社會保障制度的重要部分，在市場經濟條件下加強和完善適合我國國情的社會保障制度，對維護社會穩定、促進深化改革和經濟建設具有重要作用。但是在當前計算機科學技術飛速發展的環境下，社會保險工作不可避免的和網絡結合到了一起，相應的網絡安全問題也就成為保證社會保險系統正常運行，確保網絡數據安全的首要問題。社保作為我國基本保障制度之一，其網絡信息安全防護工作同樣值得重視。

網絡環境為信息共享、信息交流、信息服務創造了理想空間，同時也產生了許多安全問題如信息泄漏、信息污染、信息不易受控等。網絡運用的趨勢是全社會廣泛參與，但隨之而來的是控制權分散的政府電子政務管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現脫節和真空，從而使社保信息安全問題變得廣泛而復雜。在網絡環境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透，甚至通過網絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統有可能面臨更大的威脅。

一、網絡安全風險分析

我國政府電子政務網絡安全問題日益突出的主要標志是：一是計算機系統遭受病毒感染和破壞的情況相當嚴重；二是電腦黑客活動已形成重要威脅；三是信息基礎設施面臨網絡安全的挑戰；四是網絡政治顛覆活動頻繁。

電子政務運行管理是過程管理，是實現全網安全和動態安全的關鍵。有關電子政務信息安全的政策、計劃和管理手段等最終都會在政府電子政務運行管理機制上體現出來。就目前的電子政務運行管理機制來看，有以下幾方面的缺陷和不足。

1、政府電子政務網絡安全管理方面人才匱乏。由于互聯網通信成本極低，分布式客戶服務器和不同種類配置不斷更新和發展及技術應用的擴展，技術的管理也應同步擴展，但從事系統管理的人員卻往往并不具備安全管理所需的技能、資源和利益導向。政府電子政務信息安全技術管理方面的人才無論是數量還是水平，都無法適應政府電子政務信息安全形勢的需要。

2、安全措施不到位。互聯網越來越具有綜合性和動態性特點，這同時也是互聯網不安全因素的原因所在。然而，網絡用戶對此缺乏認識，未進入安全就緒狀態就急于操作，結果導致敏感數據暴露，使系統遭受風險。配置不當或過時的操作系統、郵件程序和內部網絡都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就無法發現和及時查堵安全漏洞。當廠商發布補丁或升級軟件來解決安全問題時，許多用戶的系統卻不進行同步升級，主要是管理者未充分意識到網絡不安全的風險所在，未引起重視。

3、缺乏綜合性的解決方案。面對復雜的不斷變化的互聯網世界，大多數政府電子政務部門缺乏綜合性的安全管理解決方案，使這些政府電子政務部門就此產生了虛假的安全感，漸漸喪失警惕。實際上，一次性使用一種方案并不能保證系統一勞永逸和高枕無憂，網絡安全問題遠遠不是防毒軟件和防火墻能夠解決的，也不是大量標準安全產品簡單堆砌就能解決的。近年來，國外的一些互聯網安全產品廠商及時應變，由防病毒軟件供應商轉變為企業安全解決方案的提供者，他們相繼在我國推出多種全面的企業安全解決方案，包括風險評估和漏洞檢測、入侵檢測、防火墻和虛擬專用網、防病毒和內容過濾解決方案等一整套綜合性安全管理解決方案。

4、缺乏制度化的防范機制。不少政府電子政務部門單位沒有從管理制度上建立相應的安全防范機制，在整個運行過程中，缺乏行之有效的安全檢查和應對保護制度。不完善的制度滋長了網絡管理者和內部人士自身的違法行為。許多網絡犯罪行為（尤其是非法操作）都是因為內部聯網電腦和系統管理制度疏于管理而造成的。同時，政策法規難以適應網絡發展的需要，政府電子政務部門信息立法還存在相當多的空白。個人隱私保護法、數據庫保護法、數字媒體法、數字簽名認證法、計算機犯罪法以及計算機安全監管法等信息空間正常運作所需的配套法規尚不健全。由于網絡作案手段新、時間短、不留痕跡等特點，給偵破和審理網上犯罪案件帶來極大困難。

二、對解決社會保險網絡安全問題的幾點建議

一是不斷加強信息網絡安全管理工作，進一步加強網絡安全抗風險能力。社會保險系統涉及養老保險、醫療保險、失業保險等多種業務，管理著每個職工的個人帳戶資金，因此，做好網絡安全管理與信息安全保護是本系統建設的首要前提，建立層次性多重安全保護體系是實現系統系統安全性目標的基礎。本系統屬單位內部網，它與國家公網或其他行業網絡系統等外部網必須從物理上斷開連接。內網的安全保護是通過設立虛擬網絡（VLAN）或網絡分段（物理分段通過交換連接，邏輯分段通過路由相連）形成相對獨立的不同子網，子網內部可以自由訪問和使用網絡資源，子網之間的互通需經過嚴格的安全訪問控制，在從網絡層到應用層不同層次的設置上確保網絡的安全性。信息資源的安全保護可采取的措施有：在信息的傳輸過程中，對“信息邊界”中的有關部件實施用戶身份識別、身份認證，鏈路層和網絡層上采取包過濾、存取控制，傳輸層上使用代理服務，表示層上進行數據加密和數字簽名，應用層上實現安全審計等。

二是加快出臺相關法律法規。改變目前一些相關法律法規太籠統、缺乏操作性的現狀，對各種政府電子政務信息主體的權利、義務和法律責任，做出明確的法律界定。

三是在信息技術尤其是政府電子政務信息安全關鍵產品的研發方面，提供全局性的具有超前意識的發展目標和相關產業政策，保障政府電子政務信息技術產業和政府電子政務信息安全產品市場有序發展。

四是加強我國政府電子政務信息安全基礎設施建設，建立一個功能齊備、全局協調的安全技術平臺（包括應急響應、技術防范和公共密鑰基礎設施等系統），與政府電子政務信息安全管理體系相互支撐和配合。

網絡安全關系到國家安全、關鍵信息基礎設施安全、社會公共安全和公民個人信息安全，在維護國家安全、促進經濟發展和社會進步的進程中至關重要，維護好網絡空間安全和網絡社會秩序是全社會共同的責任。互聯網發展到今天與現實社會緊密關聯、密不可分。現實社會是法制社會，網絡社會也必須是法制社會。為此全社會應自我約束和主動履行義務，嚴格按照“依法管網、綜合治理”的原則，有效保護互聯網健康發展，促進國家經濟、文化的繁榮發展和社會進步。