人社領域信息安全與架構設計

摘 要本文分析了人社信息網絡安全發展的歷程和現狀，討論了“互聯網+人社”公共服務的背景下，人社領域信息安全面臨的形勢和遇到的挑戰，從網絡架構設計、邊界防護、通信加密、代碼審核、日志監控和密碼管理等方面，分別給出了具體措施和解決方案，達到了既提供高效便捷的公共服務，又有效防護人社敏感信息的目的。

【關鍵詞】互聯網+人社 網絡架構 通信加密 代碼審核 密碼管理

1 引言

隨著信息網絡技術迅猛發展和移動智能終端廣泛普及，移動互聯網以其泛在、連接、智能、普惠等突出優勢，有力推動了互聯網和電子政務深度融合，已經成為創新發展新領域、公共服務新平臺、信息分享新渠道。國家人力資源和社會保障部在“金保二期”的基礎上提出并制定了 “互聯網+人社”的口號和行動計劃，是加快人力資源社會保障領域簡政放權、放管結合、優化服務改革的重要舉措，對于增強人力資源社會保障工作效能，提升公共服務水平和能力，具有重要意義。同時，隨著信息技術的日新月異和“互聯網+人社”業務快速發展，人社部門不得不去面對日益嚴峻網絡安全問題，網絡黑客和病毒的存在使得網絡數據信息的安全得不到有效的保障，給整個社會或個人帶來較大損失。網絡安全成為懸在“互聯網+人社”頭上的達摩克利斯之劍，迫切需要通過合理的架構設計和防御策略保證網絡系統的安全，使互聯網技術能夠更好的應用到人社領域。

2 人社網絡安全現狀和面臨的安全問題

2.1 從專網向互聯網模式轉變

自人社金保專網建立以來，經過金保一期、二期的不斷升級，業務網絡發展到了覆蓋全國、聯通城鄉的多級分層網絡，趨于業務覆蓋面、信息安全和穩定的考慮，網絡和業務全部基于專網、專線、專用的架構，在這一封閉的結構中，網絡安全得到基本保證。

隨著社會和政策業務的不斷發展，這種架構顯現了越來越多的局限性，因此在金保專網的基礎上，逐步推進互聯網應用，業務向互聯網模式轉變。但是由于前期的深度封閉化運行，人社業務在網絡安全方面明顯落后于互聯網開放水平，在由專網運行向互聯網轉變的過程中出現了較為棘手的問題。2016年度，人社領域在互聯網應用集中爆發了諸如業務邏輯漏洞、數據泄漏、網絡滲透等一系列安全事件。

2.2 目前面臨的網絡安全問題分析

2.2.1 網絡基礎結構安全性脆弱，容易被滲透

人社互聯網應用布署完全基于原有專網結構改造，僅僅在原有基礎上增加業務區域，整體網絡結構缺乏全面性的網絡安全考慮和設計。網絡結構模型通透、簡單，安全防護層級較少，安全策略設計因考慮不周失守后，極易全網滲透。

2.2.2 軟件升級和漏洞補丁修復滯后

出于對業務系統穩定性的考慮，前置應用、中間件等基礎容器升級滯后，版本較為老舊，軟件漏洞未能及時修復。

2.2.3 安全措施被動，過度依賴常規安全硬件

金保專網從建立初期至今，普遍依據現有相關法律規定購置和布署了各類安全硬件設備，例如早期網絡物理隔離GAP（網閘）、防火墻、病毒防護等，基本依靠預定義規則防護，如今入侵破壞手段層出不窮，此類設備難以動態、完整的分析網絡數據流，無法做到有效防護。網絡設備本身可能有一些安全問題，缺少對硬件設備的防護措施。

2.2.4 互聯網應用（業務）入口過于臃腫開放，關鍵入口保護不夠

人社系統業務邏輯復雜，為保證覆蓋各類事務和業務流，普遍使用大而集中的開發架構，很難做到最小化布署，無關業務接口和軟件代碼容易外泄。

在原有人社專網保護環境下，業務系統僅對預定的機構、窗口和相關人員開放，使用人訪問控制較為容易，封閉的網絡和應用環境致使開發過程中對代碼審核、字符I/O過濾控制相對薄弱，應用本身可能出現BUG缺陷。在互聯網安全系統中都會存在一定的漏洞，有的是設計人員故意為之，為了能夠再出現意外的時候，管理人員順利進入系統中。但是這樣的漏洞常常被黑客利用起來，許多非法入侵的人有了更多攻擊系統的便利條件。有的時候破壞者會通過這些漏洞發出較多的鏈接，以此來增加系統的負荷，出現請求超時的情況，從而嚴重影響網絡系統的正常使用。

互聯網應用發展初期普遍采用較為原始的HTTP協議布署，信息流明文傳輸，攻擊者可截取數據報文或偽造站點劫持用戶訪問，造成數據信息泄漏。部分需明確訪問群體的關鍵應用難以控制。

2.2.5 缺少有效的日志監控策略

現有業務應用日志、安全日志、設備日志等信息僅發揮排錯作用，未形成集中的日志審核措施，關鍵問題無法做到實時發現和處置。

3 針對問題的應對措施

3.1 全面審視網絡結構，合理規劃設計區域和層級，做到多層次防護

如圖1所示，在保證原有金保網絡和人社業務系統穩定運行的基礎上，綜合考慮了互聯網應用對網絡結構方面的新要求，把整個業務流模型按處理邏輯區分為“前置應用-數據交換應用-中間件-核心數據”四個區域，細化區域間交互接口邏輯，邊界和各區域之間布署安全防護設備和策略。網絡準入方面依據“僅允許”思維設計，細化業務訪問URL和路徑，最小化開放。區域間接口調用路徑采用雙向地址轉換技術隱藏各區域真實IP，各區域IP、路由信息獨立同時設置黑洞路由，未匹配到轉換策略的數據報文一律丟棄。

3.2 安全防護多樣化、透明化，布署可動態識別、完整分析的防護措施，杜絕設備缺陷

如圖2所示，邊界、前置應用及中間件區域側采用雙層防火墻，兩臺防火墻各自IP、路由信息獨立不關聯，僅識別直聯網絡，安全策略采用“僅允許”模式設計，數據報文通信需經過DNAT←→SNAT←→DNAT雙向、多次NAT轉換，阻斷直接網絡訪問并隱藏網絡細節；防火墻采用不同品牌，杜絕設備可能的相同底層缺陷。

設置應用識別分發代理，用戶訪問應用一律經由代理應用精確匹配URL和二級路徑，觸發式響應用戶訪問；未匹配至策略流量引導至蜜罐系統記錄分析，杜絕惡意掃描，亦可設置聯動選擇性屏蔽惡意訪問的源IP。

防火墻間透明化布署IPS動態識別入侵防御和WAF應用安全防護，對應用層入侵手段諸如SQL注入、溢出攻擊、暴力破解等識別阻斷，同時配置僅允許NAT后的數據報文通過；保護防火墻設備本身不被入侵。

中間件、數據交換和核心數據區域間布署防火墻，依據控制需要設計安全策略；對區域內和區域間流量進行鏡像存儲，交予IDS系統對流量拼接重組，綜合識別并分析，檢測發現可疑流量記錄告警。

3.3 互聯網應用訪問通信全程加密，杜絕數據泄漏；關鍵應用雙向加密認證，控制訪問群體

如圖3所示，互聯網+人社業務應用全部實現基于用戶、密碼認證。普通公眾類查詢服務用戶群體廣泛，采用單向SSL認證加密，使用全球可信證書頒發機構頒發的數字證書配合布署應用，實現站點可信認證、通信過程加密；交易、經辦類業務等關鍵服務訪問模式相對可控，采用雙向SSL認證加密，搭建私有CA體系，針對特定應用用戶或終端頒發私有證書，在接口調用、用戶和終端訪問時要求對方提供證書，實現站點可信認證、通信過程加密的基礎上進一步對接口使用者、用戶或終端的身份、有效期進行認證。

3.4 嚴格把關軟件代碼審核，最小化布署；定時升級軟件，及時修復漏洞

互聯網應用嚴格最小化布署，剔除無用代碼及組件，把控好代碼審核，盡可能減少軟件本身缺陷；制定軟件升級和修復計劃，在做足兼容性、穩定性測試的條件下按計劃升級軟件版本，及時修復漏洞。

3.5 集中日志，定義規則實時審核狀態，做到問題早發現，及時處置

建立集中監控告警系統，所有應用、軟件、操作系統、設備日志集中管理，設計日志分析規則，實時分析所有對象在可用性、安全性方面狀態；配置多樣化告警，針對不同級別告警實現窗體消息、郵件、短信甚至聯動等自動化安全預警。

3.6 密碼管理，制定密碼管理策略，確定密碼更新周期

改變每個新的和現有系統中的所有默認密碼，密碼應使用隨機密碼生成軟件生成，每三十天更新密碼一次；所有內網主機關閉遠程登錄功能，屏蔽telnet應用，將嘗試登錄認證失敗的次數設置為一個特定的值，當超過規定的次數時將自動關閉該賬戶。

4 人社網絡安全的發展趨勢

如今，攻擊者可以肆意利用的工具多于以往。而且，他們還會狡猾地適時選用各種工具，牟取最大利益。移動終端和在線流量激增，讓攻擊者如虎添翼。他們不僅有更大的行動空間，所能利用的攻擊目標和攻擊手段也更加廣泛。

面對日益擴大的威脅形勢，人社部門可采用大量的策略來應對這些挑戰。一方面，可以購買各種獨立工作的同類最佳解決方案，來獲得信息和保護。另一方面，可以招募人才成立安全團隊。要完全阻止所有攻擊是不現實的。但是，我們可以通過限制攻擊者的行動空間，來抑制其對人社信息的危害，從而最大限度降低風險和威脅的影響。作為一種可行的措施，我們可以將所有安全工具簡化為一套互聯的集成安全架構。在自動化的架構中配合使用集成安全工具，可簡化檢測和緩解威脅的過程。

網絡安全技術不再是單一技術壁壘，它會存在于互聯網全面性發展的整個過程中。各類安全問題層出不窮，以往個體式的安全防護已經無法滿足需要。互聯網發展提倡數據共享，通過收集和分析數據等，最終所有網絡安全信息、知識庫集中于云安全，借助大數據精確分析匹配，針對性的安全防護策略和聯動機制將會成為主流。

5 結束語

“互聯網+人社”戰略為人社網絡安全領域帶來從觀念意識，到技術、管理、監管等多個層面的全新挑戰。面對“互聯網+”環境下信息安全需求的大幅提高和升級，如何把握時代機遇，為“互聯網+”時代整個社會經濟安全、健康發展保駕護航，是信息安全領域需要思考的新課題。

本文討論了“互聯網+人社”公共服務的背景下人社領域信息安全面臨的問題，從網絡架構設計、邊界防護、通信加密、代碼審核和日志監控等方面，分別提出具體的網絡安全策略，給出了人社網絡安全架構設計方案。本方案能夠有效降低入侵攻擊的風險，為互聯網+人社公共服務提供了一種安全的訪問手段。但是，網絡安全技術不斷發展，黑客入侵手段層出不窮，網絡防護的策略和架構設計也要不斷迭代和完善。

參考文獻

[1]寧向延，張順頤.網絡安全現狀與技術發展[J].南京郵電大學學報（自然科學版），2012（05）：49-58.

[2]陳鑫杰.淺談如何構建安全計算機網絡[J].數字技術與應用，2012.

[3]孫小芳，李妍緣，朱勁松，時存.網絡安全現狀分析與發展趨勢[J].電子制作，2014（20）：135.

[4]張康林.網絡安全技術的現狀與發展趨勢[J].網絡安全技術與應用，2015（04）：176+179.

[5]張衛清.網絡安全與網絡安全文化[D].南華大學，2006.

作者簡介

朱忠池（1974-），男，山東省濰坊市人。碩士研究生?，F供職于濰坊市人力資源和社會保障信息中心，從事信息化管理工作。

作者單位

濰坊市人力資源和社會保障信息中心 山東省濰坊市 261041