淺談網(wǎng)絡(luò)安全等級保護建設(shè)對住房公積金業(yè)務(wù)系統(tǒng)的意義

董慶軍 陳強

中國石化集團江漢石油管理局有限公司住房公積金管理中心 湖北 潛江 433123

隨著國家社會保障體系的不斷建立、健全及公積金制度覆蓋范圍不斷擴大，各地方住房公積金管理中心的業(yè)務(wù)也相應(yīng)地迅速拓展。目前，住房公積金已覆蓋到機關(guān)、事業(yè)單位和國有、集體、外資、私營企業(yè)、社會團體等各種性質(zhì)單位，住房公積金歸集、貸款、管理工作逐漸步入持續(xù)增長、健康發(fā)展的軌道。

在信息化的不斷發(fā)展，信息化建設(shè)的不斷深入的背景下，網(wǎng)絡(luò)信息安全的問題也逐步引起大家的重視，進而安全建設(shè)也顯得愈發(fā)重要。近年來，維護和保障網(wǎng)絡(luò)信息安全已經(jīng)成為各國領(lǐng)導(dǎo)人的共識，并且已經(jīng)上升到了國家安全的戰(zhàn)略高度。網(wǎng)絡(luò)安全等級保護是我國信息安全保障的一項基本制度和方法，開展網(wǎng)絡(luò)安全等級保護工作是促進信息化發(fā)展，保障國家信息安全的重要舉措。

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（第二十一條）、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息安全等級保護管理辦法》和《關(guān)于信息安全等級保護工作的實施意見》和《GB/T 22239-2019 網(wǎng)絡(luò)安全等級保護基本要求》的相關(guān)規(guī)定及要求，各地方公積金單位核心業(yè)務(wù)系統(tǒng)需要及時開展網(wǎng)絡(luò)安全等級保護（以下簡稱“等保”）建設(shè)整改和測評工作，切實保障核心業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運行[1]。隨著等級保護2.0制度的逐步落實和實施，以應(yīng)對日漸嚴(yán)峻和復(fù)雜多變的網(wǎng)絡(luò)安全形勢。

1 信息系統(tǒng)被入侵破壞的危害

公積金業(yè)務(wù)系統(tǒng)主要服務(wù)涵蓋范圍有[2]：繳存登記、賬戶提現(xiàn)、貸款辦理、信息查詢、政策咨詢、投訴建議等服務(wù)內(nèi)容；主要服務(wù)對象多為在崗職工且受眾人群數(shù)量龐大。由此可見公積金業(yè)務(wù)服務(wù)范圍眾多，服務(wù)形式流程較為復(fù)雜，與銀行、經(jīng)濟、金融等產(chǎn)業(yè)相關(guān)，關(guān)系社會民生問題。一旦業(yè)務(wù)信息系統(tǒng)遭到入侵破壞，將對公積金管理中心的社會形象造成特別嚴(yán)重影響，同時影響正常社會秩序，出現(xiàn)較嚴(yán)重的法律問題，造成嚴(yán)重社會不良影響。因此，對這公積金系統(tǒng)開展等級保護建設(shè)是必要的，不僅有利于公積金管理中心自身安全體系建設(shè)，而且更能保障業(yè)務(wù)的正常開展。

2 技術(shù)安全層面

安全技術(shù)管理，主要通過技術(shù)化的手段對信息系統(tǒng)進行綜合分析、加固、巡檢、防范，以確保信息系統(tǒng)的安全，降低系統(tǒng)所面臨的風(fēng)險，把風(fēng)險的可能性降到最低。

2.1 物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；從物理環(huán)境角度講，地震、水災(zāi)、火災(zāi)、雷擊等環(huán)境事故，電源故障，人為操作失誤或錯誤，電磁干擾，線路截獲等，都對信息系統(tǒng)的安全構(gòu)成威脅，保證計算機信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理層的安全設(shè)計應(yīng)從三個方面考慮：環(huán)境安全、設(shè)備安全、線路安全。采取的措施包括：機房屏蔽，電源接地，布線隱蔽，傳輸加密。

2.2 訪問控制策略

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。

2.3 數(shù)據(jù)儲存和備份恢復(fù)

由于住房公積金管理中心的網(wǎng)絡(luò)中有大量的服務(wù)器和數(shù)據(jù)庫。數(shù)據(jù)庫和服務(wù)器是網(wǎng)絡(luò)安全中具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的隱私信息及機密信息, 這些信息需要被保護起來，以防止競爭者和其他非法者獲取。互聯(lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫信息的價值及可訪問性得到了提升，同時，也致使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)。為了預(yù)防數(shù)據(jù)遭到攻擊或者人為損壞，公積金中心需要特別重視數(shù)據(jù)儲存和備份恢復(fù)，確保遇到突發(fā)事件時可以快速恢復(fù)。

2.4 加強對系統(tǒng)信息安全的審計

信息安全審計可以通過上網(wǎng)行為監(jiān)控審計、網(wǎng)絡(luò)內(nèi)容監(jiān)控審計、異常行為監(jiān)控審計等手段，對管理對象的操作行為進行審計，有效的屏蔽黃、賭、毒、邪教、黑客等敏感信息，保護信息系統(tǒng)，進而達到提升政府形象、避免潛在的危害信息流傳、提高企業(yè)用戶的工作效率、營造綠色網(wǎng)絡(luò)環(huán)境的目的。

2.5 健全入侵檢測機制

入侵檢測機制主要是為了防范來自內(nèi)部和外部攻擊，作為防火墻的補充，建議住房公積金管理中心電子政務(wù)內(nèi)網(wǎng)和呼叫中心網(wǎng)絡(luò)部署入侵檢測系統(tǒng)，通過對網(wǎng)絡(luò)行為的監(jiān)視，來識別網(wǎng)絡(luò)的入侵的行為，并與防火墻實行聯(lián)動設(shè)置，增強網(wǎng)絡(luò)安全系數(shù)。

2.6 加強防病毒網(wǎng)關(guān)建設(shè)

在所有計算機安全威脅中，計算機病毒是最為嚴(yán)重的，它往往是發(fā)生的頻率高、損失大、潛伏性強、覆蓋面廣。計算機病毒直接涉及每一個計算機使用人員，是每一個使用人員經(jīng)常會碰到和感到頭痛的事。計算機病毒事實上是一種計算機程序，具有可自我復(fù)制性、傳染性、潛伏性、破壞性等。對于公積金管理中心的網(wǎng)絡(luò)安全系統(tǒng)我們部署網(wǎng)關(guān)型的全硬件防病毒設(shè)備，實時進行網(wǎng)絡(luò)病毒的查殺，隔離。

2.7 信息加密策略

信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。

2.8 加強安全巡檢

安全巡檢服務(wù)是指使用多種手段，對公積金管理中心的網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)、應(yīng)用系統(tǒng)進行周期性的安全掃描、手工檢查、專家分析，并提交制定評估報告及加固建議。安全巡檢服務(wù)每周一次提供包括住房公積金管理中心網(wǎng)絡(luò)維護和評估、安全審計、監(jiān)控和配置管理、對相關(guān)報告和分析活動的現(xiàn)場支持、分析并解決問題等服務(wù)。

3 安全管理層面

在安全管理層面，主要是對人員和制度的管理，信息安全管理領(lǐng)域一直有“三分技術(shù)，七分管理”的原則，技術(shù)固然重要，但是管理才是核心，在信息安全管理過程中我們可以借助先進的技術(shù)手段輔助我們進行多層次、全方位的管理。

3.1 人員管理

人員安全管理是信息安全管理的重中之重，人員安全管理就是讓員工能正確使用和處理信息、系統(tǒng)保障信息系統(tǒng)的安全。如何對公積金管理中心的人員進行有效的管理是安全管理的重要內(nèi)容，主要措施如下：

（1）建立有效的安全管理組織機構(gòu)。安全管理組織機構(gòu)是信息安全管理的基礎(chǔ)。是否擁有健全的安全組織機構(gòu)與網(wǎng)絡(luò)信息的安全與保密密切相關(guān)。這種安全組織機構(gòu)不應(yīng)隸屬于諸如網(wǎng)絡(luò)或信息之類的部門，而應(yīng)由從中心層面成立信息安全領(lǐng)導(dǎo)小組,職責(zé)包括制度的審批、批準(zhǔn)發(fā)布及定期組織對安全管理制度進行更新、審定，并形成評審記錄或在管理制度文檔中填寫版本修改歷史信息。安全組織機構(gòu)的目的是為了統(tǒng)一規(guī)劃公積金中心信息安全組織機構(gòu)的建立，明確了信息安全管理的目標(biāo)，保障信息安全有關(guān)的決策和實施。

（2）加強對人員崗位的管理。首先是明確人員的職責(zé)范圍和權(quán)限，做到責(zé)任到人，根據(jù)人員的工作經(jīng)驗、能力、業(yè)務(wù)要求等決定員工需要能夠掌握的信息范圍及權(quán)限，員工日常的信息安全管理必須做到細(xì)致與日志記錄。

（3）定期對人員進行安全培訓(xùn)。信息安全是動態(tài)發(fā)展的，黑客攻擊手段在不斷更新，新的病毒程序也不斷產(chǎn)生。安全培訓(xùn)可以幫助及時掌握 新的安全技術(shù)。同時工作人員還要求充分了解公積金業(yè)務(wù)中的安全方針政策、相關(guān)法律法規(guī)，另外還要專門針對技術(shù)管理人員進行培訓(xùn)，提高管理和執(zhí)行組織的安全解決方案的制定能力。

（4）加強工作人員安全意識。現(xiàn)實管理中，有很多信息風(fēng)險是因為操作人員安全意識薄弱所造成的，而加強工作人員安全意識是降低內(nèi)部系統(tǒng)安全隱患的 好的、投入回報比 高的措施。通過培養(yǎng)管理人員的安全意識，會提高管理人員發(fā)現(xiàn)安全問題的敏銳性和自覺性。

（5）加強對人員安全管理。建議與招聘人員簽署保密協(xié)議，并與從事關(guān)鍵崗位的工作人員簽署崗位安全協(xié)議，在崗位安全協(xié)議中對離職后的保密義務(wù)進行約定。并對關(guān)鍵崗位的人員進行全面、嚴(yán)格的安全審查和技能考核，考核內(nèi)容及考核方式應(yīng)與其他崗位人員進行區(qū)別，記錄考核結(jié)果，并將結(jié)果進行歸檔保存。

3.2 制度管理

（1）制度建設(shè)。完善制度體系建設(shè)，按照信息保密級別的不同，對機關(guān)、部門、組織甚至個人，設(shè)定信息安全防范等級標(biāo)準(zhǔn)，而每個級別的標(biāo)準(zhǔn)要求具體化。避免定密過寬過高，以及不定密等情況的發(fā)生。根據(jù)業(yè)務(wù)需求，梳理、重塑業(yè)務(wù)流程，制定整套成體系的管理制度。安全管理制度集內(nèi)應(yīng)至少包含以下安全管理制度：對機構(gòu)信息化工作的總體目標(biāo)、范圍、原則和安全框架等進行說明的《信息安全管理辦法》以及針對管理活動中的各類管理內(nèi)容進行規(guī)范的《機房安全管理制度》、《網(wǎng)絡(luò)安全管理制度》、《系統(tǒng)運行維護管理制度》、《數(shù)據(jù)及信息安全管理制度》、《信息資產(chǎn)管理制度》、《用戶登記與用戶管理制度》、《備份與恢復(fù)管理制度》、《密碼管理制度》、《安全責(zé)任制度》、《崗位與人員管理制度》、《信息安全產(chǎn)品采購、使用管理制度》、《安全事件報告和處置管理制度》、《信息系統(tǒng)安全應(yīng)急處置預(yù)案》等[3]。

（2）落實責(zé)任。根據(jù)赫次伯格的激勵-保健理論，管理中，要通過改變?nèi)说木窳α炕驙顟B(tài)，起到加強、激發(fā)和推動作用，并且指導(dǎo)和引導(dǎo)人們的行為指向目標(biāo)，其中，責(zé)任是一種重要的激勵方式。把責(zé)任落實到人，關(guān)鍵是要制定符合實際的管理制度。有相關(guān)學(xué)者提出，信息安全保密管理要向“精細(xì)化管理”轉(zhuǎn)變，其實質(zhì)就是要以管理制度為基礎(chǔ)，并落實好制度。

（3）建立應(yīng)急預(yù)案制度。應(yīng)急預(yù)案制度，要求按照安全事件相關(guān)標(biāo)準(zhǔn)，結(jié)合信息系統(tǒng)的實際情況，通過預(yù)測、評估和分析事件對信息系統(tǒng)的破壞程度，以及所造成后果嚴(yán)重程度，將安全事件依次進行等級劃分，通過對安全事件的等級分析，在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同安全事件的應(yīng)急預(yù)案。并在統(tǒng)一的應(yīng)急預(yù)案框架下，明確應(yīng)急預(yù)案中各部門的職責(zé)，并協(xié)調(diào)各部門間的合作和分工。要制定安全事件的報告程序，對接報的安全事件進行分析，明確安全事件等級、影響程度以及優(yōu)先級等，確定是否應(yīng)對安全事件啟動應(yīng)急預(yù)案。對于應(yīng)該啟動應(yīng)急預(yù)案的安全事件按照應(yīng)急預(yù)案響應(yīng)機制進行安全事件處置。對未知安全事件的處置，應(yīng)根據(jù)安全事件的等級，制定安全事件處置方案，包括安全事件處置方法以及應(yīng)采取的措施等；并按照安全事件處置流程和方案對安全事件進行處置。

一旦安全事件得到解決，對于未知的安全事件進行事件記錄，分析記錄信息并補充所需信息，使安全事件成為已知事件，并文檔化；對安全事件處置過程進行總結(jié)，制定安全事件處置報告，并對相關(guān)的文檔資料進行歸檔保存。

4 結(jié)束語

隨著信息化建設(shè)步伐的加快，信息安全管理顯得愈發(fā)重要，因此全面加強公積金管理中心信息安全管理，信息系統(tǒng)建設(shè)和安全管理的基礎(chǔ)，也是實現(xiàn)公積金安全發(fā)展的迫切需要，是新時期管理工作的一個重大課題。網(wǎng)絡(luò)安全等級的保護的建設(shè)只是一個基礎(chǔ)的開始，公積金管理中心的信息網(wǎng)絡(luò)安全管理工作，是一個長期、艱巨的工作，它涉及每一個員工以及日常運行維護的每一個環(huán)節(jié)。信息安全管理體系本身并不能帶來信息安全，只有靠每一個員工的身體力行，積極參與，把安全體系一步步落實到信息化建設(shè)的每一個環(huán)節(jié)，才能給信息管理帶來真正的安全。