人社信息系统网络安全防护体系研究

导语：人社信息系统网络安全防护体系研究一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

摘要：近年来，人力资源和社会保障专网建设取得了长足发展，部省市三级网络进一步贯通，实现了各类就业管理机构、社会保险经办机构、定点医院、定点药店的互通互联，并进一步向下延伸至各街道、乡镇、社区、行政村，建立起了庞大的人社信息化专网。然而，信息化技术的发展日新月异，网络安全已经成为人社信息化发展的绊脚石。因此，构建完善的人社信息系统网络安全防护体系，保障人社事业蓬勃发展，已是当务之急。

关键词：人力资源；社会保障；网络安全；防护体系

1引言

随着网络技术的不断发展和移动终端的快速普及，互联网以其智能、普惠、便捷的突出优势，有力推动了互联网和电子政务的深度融合，已经成为建设信息化公共服务平台的必备工具。人力资源和社会保障信息系统是提供社会保险、人事人才、劳动关系、公共就业等一系列综合业务的平台。系统部署较为广泛，向上连接部省人社部门，向下连接成千上万的社区、医院、单位等，横向跨部门连接到税务、公安、民政、银行等，接入终端千差万别、接入网络各式各样、使用主体不计其数，网络安全已经阻碍了人力资源和社会保障信息化的发展，时展对于人社网络安全提出了更高的要求，构建完善的人社信息系统网络安全防护体系是保障人社事业快速发展的必要手段[1]。

2人力资源和社会保障网络特征

目前，我国人社信息系统主要以地市级业务集中模式为主，并处于向省级系统集中的过渡时期，少部分省份建成了省级集中式的业务信息化系统。因此当前我国人社网络主要以地市为核心向上连接部省人社机构，向下延伸连接到县区、街道、社区，网络呈现出了规模庞大、结构复杂、网络开放、易受攻击等一系列特征[2]。图1以市级人社网络为核心描述了当前我国人社网络的典型拓扑结构。2.1规模庞大，结构复杂。人社网络纵向连接部、省、市、县区、街道（乡镇）、社区（村），横向连接民政、公安、税务等其他政府部门，扩展连接到银行、定点医院、定点零售药店等各类社保待遇享受及经办场所。同时，网络对外开放供各类外网用户查询社保和就业相关信息、办理各类人社相关业务，因此人社网络地域跨度大、覆盖范围广、用户数量多，网络整体规模非常庞大。人社网络具有结构复杂特性。首先，接入网络的设备各式各样，包括各类社保卡读卡器、自助服务终端、医疗机构和银行结算相关设备、各类手机和电脑等终端设备；其次，接入的网络性质差异大，接入网络分为内网、专网、因特网三套网络，网络安全与保密要求不同、网络地址划分相对隔离。最后，接入网络的线路类型多样，有专线直连、VPN、MSTP等多种线路类型。2.2网络开放，易受攻击。人社业务类型多、复杂度高，为保障各类人社业务的顺利开展，人社信息化系统普遍采取大而集中的开放式系统架构，系统接口数量庞大、接入难度较低、系统漏洞易被发现。尽管人社部门采取了各种不同的安全措施、网络安全访问控制机制，但无法从根本上解决系统固有隐患。同时，网络黑客和病毒攻击较为常见，网络安全防御难度非常大[3]。防火墙可以很大程度上防范外部攻击，但很难防范内部网络间的访问控制，难于防范内部网络间的恶意攻击。计算机网络以资源共享为目的，但攻击者很有可能利用共享资源来对人社系统进行入侵和破坏。2.3安全措施被动，过度依赖硬件。人社专网自建立之初，普遍部署了各类安全硬件设备，比如防火墙、网闸、堡垒机等，并根据当前人社所遇到的主要威胁预定义各类防护设备的防护规则。然而，信息化技术发展日新月异，各类入侵手段层出不穷，很难依靠固定传统软硬件手段做到有效防护。在依靠传统防护方法的同时，也应该不断调整网络体系架构、做好数据审计、及时更新各类防护软件、强化人员能力水平和安全意识，做到全方位防护。

3网络安全防护体系建设

3.1强化准入和访问控制机制。实施网络和设备准入制度，严格限制各类网络和设备接入人社专网，对于已经接入的网络和终端设备应该定期进行核查，对于违规接入的网络进行清理，对不符合准入标准的设备通报整改。建立完善的访问控制机制，首先对各类访问进行有效管控，特别是对于分散部署的各类终端设备，必须采取一些较为安全的访问控制策略，防止各类终端用户的非法操作。其次建立访问日志制度，将访问日志单独存储以便备查。最后做好入侵检测工作，将入侵检测设备部署在防火墙之后，并设置合理的安全控制策略，对于网络边界进行检查，对传输数据进行有效识别。3.2实施外网访问单向隔离措施。近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。电子政务与国家和个人的利益密切相关，在人社信息系统建设中，互联网连接着广大企事业单位和民众，业务专网连接着政务工作人员桌面办公系统和金保、就业、人事人才等信息系统，在互联网、业务专网之间交换信息是基本要求。人社信息系统网络建设中应该采取单向逻辑隔离方式，只开放业务专网到互联网一侧的单向访问，关闭所有互联网向业务专网一侧的访问接口，在内外网同时建立交换数据库、数据库之间配备软件式安全交互网关，实现内网数据的实时同步，以此解决从民众到人社的网络畅通、资源共享、实时交互的问题，同时又可以有效保护人社内网数据的安全[4]。3.3建立基于PKI的人社服务渠道。PKI（PublicKeyInfrastructure）即“公钥基础设施”，是提供一整套完善、可靠安全机制的软硬件系统和安全策略集合，包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书系统和PKI应用等[5]。人社网上业务类型多、安全性要求高，业务涵盖养老保险、失业保险、工伤保险、创业申报等，业务办理过程需要对办理人进行身份核查、操作权限审核、确保数据安全传输、数据内容保密、不可抵赖、事后可追责。基于上述需求，采用PKI/CA技术，涉及工资待遇、基础信息、参保基数的关键性业务，在用户端使用USBKey进行网上办理。非关键性业务或者是安全性要求低的业务采取用户名和密码登录方式办理，这样既可以最大限度地拓展人社网上业务办理范围，又能为办事群众提供更加便捷的服务渠道[6]。3.4提高安全防护意识。人社专网不仅是人社部门内部人员使用的网络，除人社工作人员外还有医院、药店、参保人员等，只有不断地提升人们的网络安全防范意识、充分认识网络安全重要性，才能够确保人社网络的安全运行。首先，在人社内部进行定期教育活动，强化工作人员安全防范意识，不在电脑上安装双网卡、不随意接入不明来路或者有安全隐患的移动磁盘或U盘等设备、不将用户账号透露给他人等。其次，规范各类定点医疗机构行为，定期对各类医疗机构进行检查，并对系统和网络管理进行考核、设置岗位技能评审，提升定点机构的信息系统和网络管理能力[7]。最后，将各类涉及人社信息系统的违法案例装订成册向广大参保人员进行宣传，以此提升广大群众规范、合法使用人社信息系统和网络的意识。3.5建立等级保护制度。首先对人社信息系统进行风险评估，风险评估的目的是对目前和未来可能发生的风险以及这些风险可能带来的威胁和影响程度，为后续系统安全策略的制定、建设方案的选择、系统的运行维护提供必要依据。因此，人社信息系统风险评估是信息安全等级保护工作的重要前提和必要流程。其次，各级人力资源和社会保障部门依据国家信息安全等级保护政策和标准规范，开展等级保护工作，作为一项基础性、制度性、保障性的长期工作。以等级保护工作为中心，全面开展信息系统和网络安全建设工作，建立人社信息系统等级保护体系，有效提高信息系统整体安全防护能力[8]。

4结语

网络技术的应用使得人社工作效率得到了有效提升，但信息系统安全问题也对人社工作产生了巨大威胁，如何强化人社信息系统网络安全成为人们关注的重点。首先，人社信息系统网络安全涉及技术、管理等多个方面，任何一项短板都会形成木桶效应，造成整个系统的安全大幅度的下降，因此需要构建全方位的信息系统网络安全防护体系。其次，信息技术的发展日新月异，人社信息系统面临的网络安全在不断发生变化，要想做到万无一失需要人社工作者不断学习、根据技术发展方向不停地完善网络安全防护体系。最后，人社部门也应加强与公安、财政、民政等其他政府部门的合作，共同制定针对系统更新与安全漏洞等方面的技术方案，携手共进、共筑网络安全防线[9]。

参考文献：

[1]宁向延,张顺颐.网络安全现状与技术发展[J].南京邮电大学学报(自然科学版),2012,32(5):49-58.

[2]吕丽娟.金保工程网络系统安全防护体系建设[J].信息网络安全,2005(5):13-15.

[3]汪余宏.企业网络防病毒解决方案与实践[J].计算机时代,2013(7):24-27.

[4]李炫均,李朝铭.一种基于软件的安全网闸实现技术[J].信息技术与信息化,2019(1):88-90.

[5]霍艳清.基于PKI技术的电子政务网身份认证系统的设计与实现[D].长春:吉林大学,2014.

[6]骆慧勇.基于云桌面实现网络安全隔离的应用[J].计算机应用与软件,2020,37(2):15-17,38.

[7]陈辉.强化金保工程信息安全建设的对策探讨[J].软件导刊,2011,10(3):143-145.

[8]毕海钰.D市人社数据中心信息安全风险管理研究[D].大连:大连理工大学,2018.

[9]张康林.网络安全技术的现状与发展趋势[J].网络安全技术与应用,2015(4):176,179.

作者:秦涛 单位:徐州市人力资源和社会保障信息中心