社保系統漏洞與信息化管理模式探索

王芹 定州市社會保險事業管理局

隨著信息時代的到來，互聯網經濟的發展日益改變著公眾的日常生活。在看到互聯網經濟帶來的利好的同時，也要看到公眾對個人信息的安全越來越重視，加強信息漏洞防護，采取有效的措施最大限度保障信息安全，成為當前社保管理工作的重點。可以看到每年各地區媒體針對社保系統存在個人敏感信息風險漏洞等方面的報道不斷增多，社保信息化管理系統需要不斷優化，這樣才能更好地提升社會保障整體服務價值。加強社保系統漏洞與信息化管理模式研究，意義重大。

一、社保系統漏洞類型及形成的原因分析

社保系統漏洞，是指社保信息系統中出現的SQL注入攻擊、BAC越權訪問、框架注入、弱口令等方面的技術故障。這些技術風險如果不加以防范，將會導致出現個人信息的泄露，嚴重時還會影響社會穩定和國家安全。

SQL注入攻擊主要是指惡意SQL命令侵入Web表單遞交、輸入域名或頁面請求的查詢字符串系統中，從而導致出現惡意命令執行等情況導致信息的非法訪問。產生該漏洞的原因主要和數據庫系統自身的安全防護性能偏低以及數據不合理處置等有關。BAC越權訪問是指在進行授權時發現的漏洞，一些攻擊者通過非法的方式獲得相關權限進入不應當訪問的區域進行訪問并盜取信息的過程。這類漏洞往往檢測難度比較大，且容易導致大面積的信息泄露或丟失風險。框架注入是指攻擊者應用一些程序在一個Web站點創建命名框架，一旦相同瀏覽器打開，所有進程的窗口都可以進行框架內容的寫入，從而導致信息泄露，這種漏洞攻擊往往隱蔽性比較強，所以應當注重防范。此外還有容易被猜測到或被破解工具破解口令引起的弱口令風險，這主要是一些管理人員在密碼設定等方面不夠注意，導致防護系統性能下降，進而導致信息被盜取。

二、加強社保系統漏洞防護及信息化管理的具體措施分析

為了進一步提升社保系統安全防護水平，構建完善的信息化管理模式，建議做好以下幾個方面的工作：

1.針對不同的漏洞風險或者類型，探索針對性的安全防護措施。不同的社保系統漏洞引發的原因不同，可能引發的問題不相同，導致出現的后果也難以預測，所以需要從源頭上進行原因排查，了解不同社保系統漏洞可能存在的原因以及出現的根源，并通過建立完善的信息防護機制來進行技術處理和防范。針對SQL注入攻擊，可以通過應用參數化過濾性語句，加強用戶輸入、登錄、密碼以及訪問權限的訪問檢驗和防御等方式來進行應對。針對越權訪問導致的漏洞，可以通過劃分安全域并結合各自場景設定相應的后端API/Service及安全域隔離防護的方式來進行風險防范。針對框架注入方面引發的風險，可以進行每一個程序會話針對性框架命名并建立不能預測框架名稱的方式來進行防護。針對弱口令引發的風險，可以通過加強系統安全防護，優化系統資源安全配置等方式來進行信息的加密處理。

2.完善信息安全綜合防護技術體系。無論社保系統出現哪種漏洞都有可能導致信息出現泄露等風險，造成的損失難以估量，加強信息的安全防護對于社保系統的運行而言具有重要的保障意義，所以應當形成完善的綜合性信息防御機制。國家有關部門要在深入了解社保業務的基礎上，結合信息技術平臺應用現狀，構建安全操作、防火墻防護、入侵防御、安全掃描以及病毒防護等全面綜合信息化處置模式。建立分級監控機制，加強后臺的關聯分析，一旦發現問題或者漏洞啟動應急響應程序，并做好備份系統管理，確保社保系統穩定運行。國家還要在立法層面加強信息化安全機制建設，盡快出臺完善的社保信息漏洞防御與安全管理機制，明確各級部門相關的責權，并注重加強培訓和隊伍建設，切實提高風險防護能力。

3.優化社保信息系統，加強大數據管理和公民信息安全體系建設。一方面國家要從整體的層面建立統一負責的專業化社保信息運維管理機制，通過專業化的力量加強社保信息系統的專業化維護和全面監控，提高風險漏洞及時發現和防御水平，另一方面要完善社保信息大數據庫體系，根據不同的風險劃分等級，加強隱患排查和監督，積極探索新技術和新方法，提高社保數據分析利用價值，此外還應當完善公民信息安全體系，加強社保部門和戶籍管理、醫療信息管理系統的融合，避免信息重復建設，并設定層層加密處理機制，切實提高信息安全保障水平。

總之，社保系統漏洞對于社保信息的維護管理而言影響非常大，所以應當加強社保信息系統建設，積極引入新技術，做好漏洞的全面監控，并完善基礎保障機制，形成信息化綜合服務平臺，不斷提高社保管理人員的綜合素質和能力，加強和其他部門的聯動，減少信息的重復建設等可能引發的風險，這樣才能更好地提高社保信息安全保障能力，為推動國家社會保障事業持續健康發展提供強大的動力支持。