人力資源和社會保障信息系統網絡安全建設研究

◆李哲 厲遠通 申晨晨 周兆楠

（南京市江寧區人力資源和社會保障信息化管理服務中心 江蘇 211100）

隨著南京市金保二期上線以來，人社部門著力于打破原有的信息壁壘，努力建設“互聯網+人社”的網絡新生態。通過和“我的南京”APP互動、發布網上辦事和查詢功能，逐漸實現“數據多跑路、群眾少跑腿”的目標。

但是，不可否認的是，隨著“互聯網+”的推動，網絡安全面臨的風險也在逐漸增加。

人社系統的關鍵業務系統和業務數據，全部位于內網。隨著“互聯網+”的推動，內外網的協作應用越來越多，兩網從最早的完全隔離，到有數據交換，再到應用與數據的實時調用，內外網之間的邊界功能正在變得越來越模糊。因此，從互聯網側向內網發起滲透的可能也越來越高，內網的重要資產面臨更多種類的威脅。

此外，隨著數據的集中，人社系統的信息資產價值也在不斷提升?，F在已有的用戶數據基本囊括了所有參保人員的個人信息、家庭成員、戶籍信息、勞動關系、社保數據、醫保數據，并且與房產、民政、公安等部門實現了互聯……如此龐大數量的信息，一旦被泄露、篡改或者破壞，帶來的影響是災難性的。

綜上所述，人力資源和社會保障信息系統的網絡安全建設重任在肩，絲毫不能懈怠。

1 整體建設思路

如何去實踐網絡安全建設，合理保障人力資源和社會保障信息系統中的數據安全呢？從攻防對抗的角度而言，攻擊者的能力越來越強、攻擊方式越來越智能，以合規為目標的安全建設已經不能完全滿足實際需求，通過網絡安全設備的單純堆疊構成的防護措施面對新型威脅諸如APT 攻擊、勒索病毒和挖礦木馬顯得非常脆弱。

圖1 建設思路圖

當前，人力資源和社會保障部門需要構建縱深防御體系以應對新型安全威脅，控制整體安全風險。

這里，信息保障技術框架（Information Assurance Technical Framework）理論從整體過程的角度看待信息安全問題，值得我們借鑒學習。IATF 是一項專業面向商業和政府機構網絡安全的研究，其代表理論為“深度防御（Defense-in-Depth）”。首次提出了通過人、技術和操作三者的融會貫通來共同實現組織和技術兩個維度的性能提升。其既是組織職能/業務運作的中心思想，同時也是技術/信息基礎設施管理的關鍵三要素。IATF 認為，這種融合能夠為信息保障的策略、過程、技術和機制乃至為整個組織的信息基礎設施的所有層面提供穩健的信息保障[1]。

（1）人（People）

人是信息系統的主體，信息系統生命周期的每個階段都和人息息相關。系統開發單位是信息系統的提供者；采購方是信息系統的擁有者和管理者；而信息系統的使用者更有可能是沒有任何具象特征的普通大眾。人的復雜性和不可預知性決定其是信息保障體系的核心，是系統管理的第一要素，但卻也是最不可控、最脆弱的因素。由于有了如上的認知，為信息系統制定一個完善的安全管理體系就愈發重要。信息安全保障體系，就是一套完善的安全培訓、管理體系，包含了意識培訓、組織管理、技術管理和操作管理等多方面[2]。

然而在信息系統的安全建設中，卻經常忽視人的作用，認為技術手段是解決問題的主要手段，這種思路是偏頗的。對人的管理，需要三個要素，缺一不可。

其一，行政力度?！吨腥A人民共和國網絡安全法》第二十一條“制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任”。根據網絡安全法、等級保護2.0 系列標準和即將施行的關鍵信息基礎設施安全保護條例，明確了各單位網絡安全負責人為該單位的一把手。由上向下的安全管理才可以保證其執行力度，有執行力度的安全管理才能確保有效。

其二，精細條目。如果單純從合規性角度出發，很多管理制度往往流于形式。真正能夠解決問題和適用于本單位的管理制度，一定是精細的、量身制定的。能夠與崗位掛鉤，落實到具體經辦人，并且有可操作性、可記錄性。輔以各類記錄、表單，能夠把各類常態化事務和臨時性事務都做好記錄，便于追溯。

其三，量化考評。在確定管理制度的力度和條目后，還需要通過量化考評，將安全管理制度體系落到實處、嚴格執行。這里需要制定網絡安全領域的KPI，將安全管理制度的執行狀況，通過指標體系轉換為可以量化評估的一系列單元（如關鍵資產在線率、防病毒軟件安裝率、定期任務完成率、應急事件處理成功率等）。如此一來，可以將管理與技術結合起來，實現客觀評估的管理。

（2）技術（Technology）

技術是實現信息保障的重要手段。除了包含以防護為主的靜態技術體系，還包含了主動防御、入侵檢測、異常響應、快速恢復并重的動態的技術體系。一套完備的信息保障體系是由靜態、動態兩套防護機制來實現的[3]。

從技術角度而言，傳統的基于網關設備的靜態的防護能力已經不能夠適應新的安全環境，因為沒有任何防護技術或者安全設備是100%永久有效的。縱深防御的技術路線是假設邊界防護已經不夠安全和隨時可能失效，通過高能力的檢測、細粒度的審計、智能化的分析，最快時間定位安全事件，迅速響應，從而消除影響和控制損失，最終實現更全面的保障效果。這和P2DR 模型的理念也是趨同的——“及時的檢測和響應就是安全”，“及時的檢測和恢復就是安全”。

我們的安全技術路線的方向：提高系統的防護時間Pt，降低檢測時間Dt 和響應時間Rt。

具體的實現方法，就是構建全面態勢感知體系。態勢感知最早被運用在軍事領域，按順序分別為態勢提取、態勢理解和態勢預測三個步驟。隨著互聯網技術日益復雜、互聯網價值日益提升，網絡空間已然為繼海陸空之后的“第四大戰場”。網絡態勢感知（Cyberspace Situation Awareness，CSA）也由此應運而生，通過對海量的網絡數據進行實時監控，動態提取其中會對安全態勢產生重要影響的數據并加以分析，以此來判斷網絡當前狀態。并根據人工智能、大數據等技術，結合資深網絡安全工程師的經驗智慧，來預測網絡未來一段時間內的安全態勢。形象地說，網絡態勢感知的目標就是要準確找出那只能夠掀起網絡安全風暴的蝴蝶，并提前捏住它的翅膀[4]。

2016 年4 月19 日，習近平總書記在與網絡安全業界人士座談會上明確指出：“加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力[5]。”全天候全方位感知網絡安全態勢。知己知彼，才能百戰不殆。沒有意識到風險是最大的風險。

全方位態勢感知的實現流程大致包括4 個步驟，分別是各類安全要素信息的獲取、面向態勢感知的集中數據分析、多維度態勢感知的呈現、預警通告及處置。

一、要素獲取。態勢感知體系通過對接網絡中的各類安全設備、子系統、安全數據源來獲取各類影響網絡安全的因素，包括攻擊類信息、對象弱點類信息、系統運行類信息以及外部威脅情報信息。

二、數據分析。匯集了海量多方位安全要素信息的基礎上，態勢感知體系將綜合這些數據，面向總體安全態勢的認知和監測進行數據的融合、關聯分析和發掘分析。這其中包括對資產及業務對象受到攻擊威脅和自身風險程度的分析、復雜攻擊的攻擊過程及攻擊目標分析、攻擊的危害及影響范圍分析、攻擊威脅溯源分析、外部威脅情報與內部安全信息比對分析等。這些分析處理工作將為上層態勢呈現提供數據和計算任務的支撐。

三、態勢呈現。經過全面的安全要素獲取和數據信息的集中處理分析，態勢感知可以實現全方位的態勢呈現，包括資產感知、攻擊感知、風險感知、漏洞感知、威脅感知、運行感知這六個主要維度和安全態勢總攬。通過這六個維度有助于把龐大復雜的態勢感知信息處理體系進行分維度的理解和構建，所有的安全要素信息的采集和處理都可以圍繞這幾個維度展開，并且在態勢感知過程中所有的數據分析及可視化呈現都可以在對應的維度中進行。

四、預警通告?？梢酝ㄟ^觸發規則來觸發告警或預警，各種類型的安全信息或態勢分析結果作為條件來觸發告警或預警。通過多種通告方式，快速的通知相關責任人員，使相關人員實時得知安全威脅和態勢預警，便于快速做出響應。通過工單流處理的方式，將安全問題放在定義好的處置流程中，由指定的人員和規范的步驟來操作。每類告警、預警或安全問題都可以設定對應的處理流程，工單流程自動處置流轉，直至問題的解決。

綜上所述，態勢感知可以極大提升安全檢測、安全分析能力，輔助提升安全響應能力，從而降低檢測時間 Dt 和響應時間 Rt，從而顯著提升安全保障能力。

（3）操作（Operation）

操作（或稱運行），它構成了安全保障的主動防御體系。正是操作和流程將完全客觀被動的技術和發揮主觀能動性的人緊密結合起來。通過技術高效提升人的效率、降低人的不可靠性。具體來說，操作包括風險評估、安全監控、安全審計、跟蹤告警、入侵檢測、響應恢復等內容[1]。

考慮到人力資源和社會保障信息系統數量多、系統研發周期長、系統生命周期不同步等等性質，單純基于運行階段的安全運維管理不足以滿足人社信息系統的安全保障要求。為了保證信息系統在“規劃-開發-測試-運行-廢棄”階段的全生命周期安全，體現《網絡安全法》要求的“同步規劃、同步建設、同步使用”原則，人力資源和社會保障部門需要引入信息系統全生命周期的安全運維管理。

通過全生命周期的安全運維管理，可以將安全服務與安全技術結合，把信息安全風險管理引入信息系統生命周期的每一階段，從信息系統規劃階段開始進行風險控制，使用最小投入，達到最佳的風險管理效果，最終實現全面的信息安全保障。

一、規劃階段。從規劃階段開始引入安全設計會顯著減少后續的應用漏洞，降低安全運營成本。本階段就開始做等級保護定級與功能設計，可以引入安全架構設計與安全開發培訓。

二、開發階段。開發階段可以通過源代碼審計和風險評估實現軟件質量的控制，提前解決安全隱患，降低風險控制成本。

三、測試階段。應用系統上線之前，需要和運行環境一起，通過漏洞掃描、安全配置核查和滲透測試，確保系統上線前的脆弱性可控。

四、運行階段。通過日常安全運維，定期做策略配置優化、系統更新、補丁和規則庫更新、安全事件分析處理；處理好臨時性事務如應急響應和重大時期保障。和集成商、供應商、服務商、電信運營商和執法機關等外聯單位保持良好溝通以便隨時合作。

五、廢棄階段。做好數據備份和剩余信息清除工作。

2 小結

構建縱深防御體系的三要素之間的關系是——“人”利用“技術”進行“操作”。所以說，三要素之間是一個有機的整體，是需要緊密結合的，缺一不可。對人力資源和社會保障部門而言，構建縱深防御體系是長久大計，不是一朝一夕之功；是上下齊心內外結合，不是孤軍作戰。建議以本單位人員為主，聯合協同單位，建設一套完備的安全梯隊，分工合作，共同成長。