社會保險網上業務辦理系統的安全防護建設

文/王為光

1 目前社保網上業務辦理系統存在的安全隱患

1.1 技術角度存在的隱患

從技術角度，社保網上業務辦理系統面臨從互聯網外部進行攻擊的風險，最近幾年常發生的有五個幾個方面的問題。一是網上業務辦理系統框架問題。網上業務辦理系統的框架漏洞很容易被網絡自動攻擊工具所查找到，框架漏洞會造成整個網上系統被攻破；二是網絡安全鏈路問題。網絡安全鏈路能夠保障整個網絡訪問路徑的安全，其中任何一個環節的缺失或者存在漏洞都有可能造成整個網絡安全鏈路的防護失敗，進而造成信息泄露；三是系統軟件漏洞。隨著信息技術的快速發展，系統軟件出現漏洞是很正常的事情，特別是對于剛被發現的漏洞很容易被利用，如不及時發現并打補丁進行修復，就會存在較大的信息安全隱患；四是Web 漏洞。Web 漏洞包括SQL 注入漏洞、跨站腳本漏洞、弱口令漏洞、Struts2 遠程命令執行漏洞、文件上傳漏洞、未加密登錄請求、HTTP 報頭追蹤漏洞等多種常見方式，任何一個漏洞都是安全隱患；五是數據傳輸問題。社保網上業務辦理系統涉及到數據的傳輸，外網到內網的傳輸，以及與上級部門的信息傳輸等。數據在傳輸過程中，如未進行加密，進行明文傳輸，就會存在數據被劫持、信息泄露的風險。

1.2 管理角度存在的隱患

1.2.1 信息部門管理

信息部門負責整體系統的運行，信息人員如果對網上業務辦理系統的不了解，或者管理不到位可能造成信息安全存在風險。

1.2.2 第三方軟件開發人員及運維人員管理

第三方軟件開發及運維人員對數據庫中數據存在批量導出風險，特別是第三方人員的數據庫DBA（數據庫管理人員）的拖庫風險，同時運維人員違規訪問數據庫等都會造成系統數據的泄露。

1.2.3 測試環境管理

信息系統都涉及到一個測試環境的問題，軟件系統上線前需要在測試環境進行測試、聯調。測試環境的數據不應為真實的生產環境的數據，如果測試環境的數據沒有經過數據處理或者測試環境的數據部分為生產環境的真實數據，都會存在數據泄漏風險。

2 社保網上業務辦理系統安全防護建設

2.1 加強規章制度建設

加強建立信息安全管理規章制度，根據《信息系統安全等級保護基本要求》，《信息系統安全管理要求》，《數據庫安全管理規范》等標準規范要求，結合自己的實際情況在信息安全管理制度、人員管理、系統建設管理、系統運維管理、數據庫安全管理等方面建立健全符合實際需要的安全管理制度。

2.2 提升技術防護建設

2.2.1 漏洞掃描

通過Web 掃描器和漏洞掃描設備進行漏洞掃描，可以針對性的發現漏洞，根據漏洞掃描結果，及時進行漏洞修復。

2.2.2 滲透測試

通過人工模擬惡意攻擊者在不同的位置（比如從內網、從外網等位置）利用各種方式對某個特定網絡進行攻擊測試并發現漏洞的技術和攻擊手段，對網絡鏈路、系統軟件、服務器、應用系統的安全性作深入的探測，發現系統最脆弱的環節，以期發現和挖掘系統中存在的漏洞的過程。完成滲透測試之后，根據結果對漏洞進行及時修復。

2.2.3 系統安全框架防護

在系統建設時根據安全要求，完成安全框架的設計和建設。比如對訪問IP 進行實時監控，根據訪問時長、頻率等進行記錄分析，及時發現攻擊行為并自動添加黑名單，保護系統安全。

2.2.4 安全加固

安全加固包括操作系統加固、數據庫加固、中間件加固等。根據信息安全的相關標準和要求，對系統所涉及網絡結構、網絡設備、主機設備、安全設備、應用系統等進行安全加固。

2.2.5 安全巡檢

安全巡檢包括物理安全、設備安全、主機安全、應用安全等方面的定期巡檢。通過對部署的所有的信息化設備、應用系統、網絡的檢查等，能夠早期發現各設備、應用系統、網絡的故障征兆和性能隱患、以便及時預防和排除，保證和保障所有信息化設備及應用系統正常、安全的運行。

2.2.6 實時監控

通過自動化程序，對社保網上業務辦理系統服務器進行實時監控，及時發現服務器問題。對應用服務通過監控軟件實施7×24 小時全天候監控，對系統存在的異常情況，通過郵件、短信、電話等多種形式及時通知管理人員，以便及時進行維護。

2.2.7 密碼安全防護和密文傳輸

加強用戶密碼的安全認證，避免使用弱密碼；用戶修改密碼時，不允許使用弱密碼。在數據的前后端交互中，對敏感信息進行加密傳輸，保護數據不會輕易被劫取、篡改。

2.2.8 讀寫分離

添加數據訪問層，將對數據庫的操作通過不同用戶權限進行讀寫分離，增強數據安全防護。

2.2.9 使用HTTPS 協議

HTTP 協議信息流為明文傳輸，攻擊者可截取數據報文或偽造站點劫持用戶訪問，造成數據信息泄漏。使用HTTPS 協議訪問，通過對數據進行加密傳輸，加強用戶數據的安全。

2.3 加大人員培訓管理

2.3.1 信息人員隊伍建設

社保經辦機構信息部門負責信息化的整體運行。應該加強對信息部門工作人員的安全培訓，提高技術水平，提升安全防范意識，規避信息安全風險。同時根據系統特征，配備專門網絡維護人員并建立緊急預案，對隨時可能到來的攻擊以及網絡癱瘓等隨機狀況進行有效監督和及時處理。

2.3.2 第三方開發、運維公司隊伍建設

對第三方開發人員及運維人員進行安全培訓，一方面提升開發及運維過程中的系統安全，在程序開發及維護過程中，加強代碼的安全管理和審計，不留漏洞；另一方面對涉及到敏感數據的系統開發人員及維護人員簽訂保密協議，從法律層面對人為故意信息泄露給予預防。

3 結語

以上從多個角度分析了社保網上業務辦理系統存在的風險問題，并給出了系統安全防護措施的一些建議。社保網上業務辦理系統在為公眾提供便利的社保服務的同時，對其系統的安全性、數據的安全性等切實加強保護，可以有力保障社保參保人員的信息安全。