淺述人力資源和社會保障工作中網絡應用及個人信息的安全與維護

射陽縣機關事業單位養老保險中心 孫永剛

淺述人力資源和社會保障工作中網絡應用及個人信息的安全與維護

射陽縣機關事業單位養老保險中心 孫永剛

隨著網絡應用的越來越普遍，人力資源和社會保障方方面面工作在網絡的應用下越來越高效，近期我們地區在網絡應用的穩定性及安全性遇到點問題，本文就這兩個方面如何防護等方面談談個人的觀點。

人力資源社會保障；網絡應用；個人信息；安全維護

通常人們認為自己的數據和網絡目前有一種虛假的安全感：在系統安裝了防火墻、在桌面上安裝了防病毒和防間諜軟件工具、使用加密技術發送和保存數據，另外各大網絡安全公司不斷增強安全工具和補丁程序……似乎可以松口氣了，但果真如此嗎？

許多人還認為，自己的Mac系統跟老系統一樣，也不容易遭到黑客的攻擊。但是，許多Mac機運行微軟Office等Windows程序，或者與Windows機器聯網。這樣一來，Mac機同樣難免遇到Windows用戶面臨的漏洞。正如安全專家Cigital公司的CTO Gary McGraw所說：出現針對Win32和OS X的跨平臺病毒“只是遲早的事”。Mac OS X環境也容易受到攻擊，即便不是在運行Windows軟件。賽門鐵克公司最近發布的一份報告發現，2004年查明Mac OS X存在37種漏洞。該公司警告，這類漏洞可能會日漸成為黑客的目標，特別是因為Mac系統開始日漸流行。譬如在2004年10月，黑客編寫了名為Opener的一款腳本病毒。該腳本可以讓Mac OS X防火墻失效、獲取個人信息和口令、開后門以便可以遠程控制Mac機，此外還可能會刪除數據。

另外，對數據進行加密是保護數據的一個重要環節，但不是絕無差錯。Jon Orbeton是開發ZoneAlarm防火墻軟件的Zone Labs的高級安全研究員，他支持加密技術，不過警告說：如今黑客采用嗅探器可是越來越完善，能夠截獲SSL和SSL交易信號，竊取經過加密的數據。雖然加密有助于保護遭到竊取的數據被人讀取，但加密標準卻存在著幾個漏洞。黑客只要擁有適當工具，就能夠鉆這些漏洞的空子。Orbeton說：“黑客在想方設法避開安全機制。

一、做好業務專網與互聯網物理隔離

今年國慶期間，我市部分縣（市、區）金保工程網絡發生通訊故障，醫保刷卡短時中斷，經排查發現是部分縣（區）機房斷電和業務專網與互聯網混用等原因引起的。經了解，普遍存在部分單位和窗口業務專網與互聯網混網運行現象（同一臺電腦既可以上業務系統又可以上互聯網），存在極大的安全隱患。

互聯網應用對經濟社會發展和公共服務帶來了廣泛和深刻的影響。與此同時，網絡與信息安全的問題也日益突出，據統計，75%的安全問題都來自于互聯網應用層。金保工程等人社信息系統包含了大量的公民隱私信息，根據信息系統建設規范和部、省關于金保工程系統安全保護的相關要求，上述系統必須與互聯網嚴格物理隔離。

1、明確要求。我局現有的金保系統、就業系統、新農保系統、勞動關系仲裁與監察系統、社會保障卡管理信息系統、全民參保登記、高校畢業生登記、省異地就醫平臺等均為專網運行的業務系統，各處室、單位人員使用業務內網的電腦只允許接入業務內網，不允許接入互聯網，也不允許將內網系統接入無線網絡。

2、強化責任。各單位主要負責人為信息系統安全的第一責任人。市局信息中心主要負責全市信息系統安全管理和維護工作。各縣（市、區）人社部門信息中心為本單位信息安全責任部門，應做好機關處室及下屬經辦機構、延伸的服務窗口的內外網隔離等信息安全工作；市局各處室、直屬單位的信息科（或辦公室）為本區域的安全責任部門，負責本單位及延伸的服務窗口內外網隔離等安全工作。

3、加快整改。各單位、窗口和個人應做好自查和整改工作，邊查邊該，自查和整改工作在規定時間內結束。市局將不定期組織安全巡查，對整改情況進行督查、考核和通報。

二、加強網絡工程的運維

1、檢修通信設備。各地區信息中心要對機房設備、網絡線路、中斷設備等進行全面的故障排查，及時更換損壞設備，排出網絡運行故障，確保金保信息系統運行快捷暢通。

2、加強環境監測。各地區信息中心要明確專人定期巡檢設備和用電線路，徹底整改插座松動破損、線路散落交叉、用電過載等問題，并做好重點部位的溫濕度檢測和通風散熱，謹防用電短路、電線燒灼、設備超負荷運作等安全隱患。

3、保證業務正常。為保證金保系統等各項業務正常運行，各縣（市、區）機房內的市縣聯網交換機、電信匯聚交換機以及運營商光纖傳輸設備必須接入不間斷UPS電源，還沒單獨配備UPS的縣（市、區）要盡快到位。

4、梳理網絡結構。各地區信息中心要準確把握機房和經辦機構網絡互聯情況，統計各經辦機構金保工程內網IP地址分配情況，并最終形成網絡拓撲圖，以方便網絡檢修和故障排除。

5、明確專職人員。各地區應明確一名專職的機房運維人員，無論是上班還是節假日期間，一定要保持電話暢通，確保能在第一時間趕到故障發生地配合檢查。同時做好日常防護和上級部門的溝通匯報工作。

三、網絡安全規范

1、為保證網絡安全，應加強應用人員的遵紀守法教育和信息安全教育，提高安全防范意識，使操作人員具有良好的工作作風和職業道德。

2、機關事業單位局域網內各部門應設立網絡安全員，負責本部門網絡的安全保護工作，制定安全防范責任制，信息中心部門將定期進行檢查，及時通報有關信息和網絡安全管理經驗。

3、信息中心部門提供公開服務的web站點。應有專人負責web站的信息發布，一般應用人員只有瀏覽權。

4、機關事業局域網內各部門新增用戶應向中心提出申請，獲準后由中心分配IP地址并提供接入服務，不得擅自私拉亂接。

5、信息中心部門負責網絡設備的運行管理、負責網絡資源、用戶賬戶和安全性管理，系統管理員口令絕對保密，根據用戶需求嚴格控制。合理分配用戶權限。

6、網絡用戶應經常更新網絡防殺病毒軟件，從根源上避免病毒的傳播。

7、信息中心網站信息發布以自行發布為主，信息來源及處理方式經專門負責人審定，系統軟件應對訪問權限嚴格限制，對不同的操作人員、不同的信息等級分設口令。

8、信息中心進行定期備份，對備份數據有專人進行妥善保管，確保發生意外情況時能及時恢復運行。

9、中心機房采用防靜電和防火裝修，平時應注意定期檢查維護硬件設備，消除事故隱患。局域網內的光纜及其他網絡設施應妥善保護，避免人為損壞。

10、加強監督管理工作，將使用過程中的重要信息記錄到審計文件中，便于掌握全面情況，發現可疑現象，及時追查安全事故責任。

11、各入網部門應積極配合公安部門的安全檢查，自覺接受公安機關的監督。發現可疑情況應及時向有關部門反映。

四、個人信息安全

堅守“三要三不要”定律護航隱私安全。

如何保護個人信用信息安全？用“三要三不要”原則護航隱私安全，可有效堵塞個人信用信息泄露的各種出口。

所謂“三要”是，一要妥善保管身份證及復印件，復印件交予他人時要注明用途；二要保管好信用報告，以及互聯網查詢信用報告的用戶名和密碼，不將金融信息告知他人；三要收藏央行征信中心官網，避免墜入釣魚網站，一步錯，步步錯，最終掉入騙子連環布局的圈套，遭遇經濟損失。順應著金融互聯網化的趨勢，網絡已成為騙子行騙新陣地，各種銀行的釣魚網站層出不窮，而央行征信中心也未能免俗。

而“三不要”則是，不將身份證件借給他人；不在網吧使用公共wifi查詢征信報告，保存信用報告；不點擊陌生電子郵件和手機短信中的鏈接網址，當心系統中病毒，導致隱私外泄。

五、提高員工信息安全意識

1、在不影響正常工作的前提下，合理利用員工碎片化時間進行宣貫工作。企業內部IT或信息安全部門，在企業內部開展員工信息安全意識宣教工作時，員工往往會覺得：一定又要耽誤很多工作時間來配合。如果這項工作在開展初期就讓員工產生這樣的想法，那基本上已經算是失敗了。

由此可見，開展這項工作時，利用員工的碎片化時間非常重要。那么，哪些是員工的碎片化時間呢？上下班地鐵、公交車上；等待和上下電梯時；走路經過辦公樓大廳或走廊時；工作開始前電腦開機時等。這些都是能夠被利用起來，開展信息安全意識宣傳教育工作的碎片化時間。

2、注重與員工工作、生活息息相關的信息安全知識點

我們在前接觸國內較早開展員工信息安全意識教育工作的企業時，有個很深的感受是，不少企業在選擇向員工推送的知識點時，只會選擇和員工工作相關的內容，而生活方面的知識則被全部排除在外。

但隨著安全意識宣教工作的不斷推進，尤其是在加入與員工生活相關的信息安全知識點后，我們發現員工對信息安全宣教工作關注度反而有所提高。員工對生活相關內容的關注，反而更容易拉近信息安全宣教工作本身與員工之間的距離。

3、選擇不易引起員工反感的宣傳教育形式

選擇了恰當的時間和員工更關注的知識點，接下來要確定的就是采用什么樣的形式。基本原則就是，采用不易引起員工反感的形式。員工普遍不喜歡被動的強制教育，例如組織一場培訓后強制考試。那么在開展宣教工作的時候，就一定要避免這一點。

在某些辦公場所展示信息安全宣教內容，例如會議室、茶水間、打印房等，張貼相關提示的海報，開會前后或者中場休息的間隙，播放信息安全意識的宣傳教育短片，這些都是不易引起員工反感，潤物細無聲的宣教方式。

4、新穎的表現形式，引起員工注意力

如何將信息安全知識更好地呈現給員工，是尤其需要注意并且花心思的事情。如果將內容白紙黑紙的直接呈現在員工面前，那基本上就可以不用期待多高關注度了。普通員工絕大部分不是做IT或者信息安全的，因此“將知識本身轉換成為員工能懂的語言”這一點至關重要。同時還要以員工更易接受的形式輸出，例如賞心悅目的海報、生動幽默的動畫片、震撼沖擊力強的教育宣傳片，或者隨時可翻閱的手機圖片等，都是不錯的選擇。

5、短期與長期計劃相結合

選擇好了宣教的對象、知識點和內容及其表現形式，接下來就需要制定實際適合企業的信息安全意識宣教計劃。一般建議企業先制定一個長期計劃和目標，再將長期計劃分解成具體、可執行的短期計劃。例如，制定一份員工信息安全意識宣教的3年計劃，通過每年連續舉辦信息安全宣傳周來實現；另外，除了每年信息安全宣傳周的其它時間，則可以每月通過郵件或手機微信等方式，向員工推送信息安全期刊等宣教材料。