簡析社保系統漏洞及信息化管理模式

2020-02-26 06:14:01王遠

卷宗 2020年34期

王遠

（煙臺市福山區社會保險服務中心，山東煙臺 265500）

當前我國在信息安全方面頒布實施了一系列法規及技術標準，如《通信網絡安全防護管理辦法》《信息安全等級保護管理辦法》等，這些規定均對信息網絡安全作出了明確的規定。但是具體到社保系統來看，還未建立起相應的信息安全管理制度，以致于社保信息系統存在較多的安全隱患。

1 社保系統的管理現狀

從我國社保系統管理的現狀來看，仍然存在許多系統漏洞，這反映出了我國關于國計民生的重要信息系統在安全防護上存在不足。社保系統漏洞主要表現在以下幾個方面：

1.1 結構化查詢語言注入漏洞

結構化查詢語言（SQL）注入系統中，可以達到欺騙服務器執行惡意的命令后果，表現為不安全的數據庫配置、不合適的轉義字符處理、不當的錯誤處理等，這一漏洞的存在，給予攻擊者在數據庫惡意執行命令的機會，且可以探測到數據庫中重要的敏感信息。

1.2 越權訪問漏洞

越權訪問也是社保系統漏洞的一大表現，指的是在系統檢查授權時存在紕漏，以致于攻擊者通過不正當的受到繞過權限檢查，從而訪問或操作服務器的代碼，這樣攻擊者便可以直接獲取所有用戶的信息，進而造成大量的信息泄露。

1.3 框架注入漏洞

框架注入指的是在網站站點中通過創建一個未命名的框架，且這個框架中內容可以是任何瀏覽器程序窗口的內容。如果存在框架注入漏洞，攻擊者便可以同創設一個看似無害的網站站點，并每隔一段時間自動運行腳本，雖然它的外觀與設備網站框架的常規內容相同，但是其中包含木馬功能，一旦有用戶輸入就會將所有輸入的數據提交給攻擊者。

1.4 弱口令漏洞

弱口令漏洞是當前社保系統中最簡單的漏洞之一，指的是容易被破解的口令，主要表現為部分地區社保系統管理人員安全意識較薄弱，在設置高權限數據庫用戶時使用了弱密碼，這給系統敏感性泄漏創造了有利條件。

2 社保系統信息化管理模式的探討

2.1 各系統漏洞的解決方法

首先，針對社保系統存在的SPL注入漏洞，可從使用參數化過濾性語句、檢查用戶輸入合法性、加密處理用戶登錄名稱和密碼、控制數據庫訪問權限等措施，以此降低SOL注入的風險。其次，針對越權訪問漏洞，主要是通過優化程序設計的方式得以防范，即根據不同的應用場景設計對應的檢驗邏輯，并對數據的安全域進行劃分，以此對不同的安全域進行隔離。再次，針對框架注入漏洞，也需要優化程序設計，但考慮每個會話中會有不同的命名框架，且難以預測框架名稱，為此可在每個框架名稱后附加用戶的會話令牌，以此實現有效防范。最后，針對弱口令漏洞，則需要加強系統管理員和用戶的安全教育，提升他們的安全意識，應設置復雜度強的密碼，并定期修改。對于重要信息，應單獨進行設置，避免與個人其他信息關聯。

2.2 加快信息安全防御體系的完善

要想提高社保系統信息安全管理水平，還需要從安全技術和管理制度兩個層面不斷完善。首先，在技術層面，在完善信息安全防御體系時，應注重計算機網絡安全技術、防火墻技術、病毒防護技術、入侵檢測技術等技術的綜合運用，以此構建出完整的網絡安全防護體系。其次，在管理制度方面，則需要加快完善信息安全方面的法規和技術標準，以此為社保系統安全管理和技術作用有效發揮提供可靠的制度支持。

2.3 優化系統的架構設計

為解決社保系統漏洞的問題，需要從全局的角度考慮，以此探索出科學有效的信息化管理模式。首先，在大數據背景下，可通過構建大數據分析平臺，以此進行大數據監管、大數據服務、大數據統一等工作，可有效對社保系統中相關業務進行管理分析，并為系統管理提供有效的技術支持。比如，可通過云結構設計，將一切數據信息存放在云上，達到共享訪問的目的。同時通過多級權限設計，讓系統形成一個統一的認證接口，保證數據訪問無障礙的同時，確保系統信息安全。其次，應建立一個統一的社保信息系統，將各地獨立運營的局限打破，然后在此基礎基礎上配置專業的運維隊伍，實現對社保信息系統的運維管理，確保社保信息系統漏洞修復及安全檢測工作專業化開展。再次，綜合運用各種數據分析技術，實現數據交換、基礎計算、管理分析、實時分析等集為一體的社保信息平臺，并使用OGG相關技術捕獲系統中增量信息，使用流程調度平臺實現系統的維護及調用，實現對社保系統數據的統一管理。最后，建立健全國家公民信息安全體系，將社保信息、醫療信息、戶籍信息等進行統一管理，避免信息重復建設和資源浪費，也能夠在政府和社會化管理的基礎上實現智能化管理和聯動分析，從而減少分散管理和獨立運營過程中存在的信息泄露風險。

3 結語

綜上，雖然我國加強了網絡信息安全防護的關注，并頒布實施了一系列政策法規及技術標準，但是從實際運行的情況來看，對于社保系統等敏感信息系統的涉及還不足，還需要針對社保信息系統中存在的問題及漏洞，加快完善相應的信息安全管理制度，同時要加大技術層面的投入，通過建立一體化的信息安全防御體系，以此加強社保系統的安全防護，進而保證個人信息的安全。