淺談網絡安全等級保護建設對住房公積金業務系統的意義

董慶軍 陳強

中國石化集團江漢石油管理局有限公司住房公積金管理中心 湖北 潛江 433123

隨著國家社會保障體系的不斷建立、健全及公積金制度覆蓋范圍不斷擴大，各地方住房公積金管理中心的業務也相應地迅速拓展。目前，住房公積金已覆蓋到機關、事業單位和國有、集體、外資、私營企業、社會團體等各種性質單位，住房公積金歸集、貸款、管理工作逐漸步入持續增長、健康發展的軌道。

在信息化的不斷發展，信息化建設的不斷深入的背景下，網絡信息安全的問題也逐步引起大家的重視，進而安全建設也顯得愈發重要。近年來，維護和保障網絡信息安全已經成為各國領導人的共識，并且已經上升到了國家安全的戰略高度。網絡安全等級保護是我國信息安全保障的一項基本制度和方法，開展網絡安全等級保護工作是促進信息化發展，保障國家信息安全的重要舉措。

根據《中華人民共和國網絡安全法》（第二十一條）、《中華人民共和國計算機信息系統安全保護條例》、《信息安全等級保護管理辦法》和《關于信息安全等級保護工作的實施意見》和《GB/T 22239-2019 網絡安全等級保護基本要求》的相關規定及要求，各地方公積金單位核心業務系統需要及時開展網絡安全等級保護（以下簡稱“等保”）建設整改和測評工作，切實保障核心業務系統的安全穩定運行[1]。隨著等級保護2.0制度的逐步落實和實施，以應對日漸嚴峻和復雜多變的網絡安全形勢。

1 信息系統被入侵破壞的危害

公積金業務系統主要服務涵蓋范圍有[2]：繳存登記、賬戶提現、貸款辦理、信息查詢、政策咨詢、投訴建議等服務內容；主要服務對象多為在崗職工且受眾人群數量龐大。由此可見公積金業務服務范圍眾多，服務形式流程較為復雜，與銀行、經濟、金融等產業相關，關系社會民生問題。一旦業務信息系統遭到入侵破壞，將對公積金管理中心的社會形象造成特別嚴重影響，同時影響正常社會秩序，出現較嚴重的法律問題，造成嚴重社會不良影響。因此，對這公積金系統開展等級保護建設是必要的，不僅有利于公積金管理中心自身安全體系建設，而且更能保障業務的正常開展。

2 技術安全層面

安全技術管理，主要通過技術化的手段對信息系統進行綜合分析、加固、巡檢、防范，以確保信息系統的安全，降低系統所面臨的風險，把風險的可能性降到最低。

2.1 物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；確保計算機系統有一個良好的電磁兼容工作環境；從物理環境角度講，地震、水災、火災、雷擊等環境事故，電源故障，人為操作失誤或錯誤，電磁干擾，線路截獲等，都對信息系統的安全構成威脅，保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理層的安全設計應從三個方面考慮：環境安全、設備安全、線路安全。采取的措施包括：機房屏蔽，電源接地，布線隱蔽，傳輸加密。

2.2 訪問控制策略

訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

2.3 數據儲存和備份恢復

由于住房公積金管理中心的網絡中有大量的服務器和數據庫。數據庫和服務器是網絡安全中具有戰略性的資產，通常都保存著重要的隱私信息及機密信息, 這些信息需要被保護起來，以防止競爭者和其他非法者獲取。互聯網的急速發展使得企業數據庫信息的價值及可訪問性得到了提升，同時，也致使數據庫信息資產面臨嚴峻的挑戰。為了預防數據遭到攻擊或者人為損壞，公積金中心需要特別重視數據儲存和備份恢復，確保遇到突發事件時可以快速恢復。

2.4 加強對系統信息安全的審計

信息安全審計可以通過上網行為監控審計、網絡內容監控審計、異常行為監控審計等手段，對管理對象的操作行為進行審計，有效的屏蔽黃、賭、毒、邪教、黑客等敏感信息，保護信息系統，進而達到提升政府形象、避免潛在的危害信息流傳、提高企業用戶的工作效率、營造綠色網絡環境的目的。

2.5 健全入侵檢測機制

入侵檢測機制主要是為了防范來自內部和外部攻擊，作為防火墻的補充，建議住房公積金管理中心電子政務內網和呼叫中心網絡部署入侵檢測系統，通過對網絡行為的監視，來識別網絡的入侵的行為，并與防火墻實行聯動設置，增強網絡安全系數。

2.6 加強防病毒網關建設

在所有計算機安全威脅中，計算機病毒是最為嚴重的，它往往是發生的頻率高、損失大、潛伏性強、覆蓋面廣。計算機病毒直接涉及每一個計算機使用人員，是每一個使用人員經常會碰到和感到頭痛的事。計算機病毒事實上是一種計算機程序，具有可自我復制性、傳染性、潛伏性、破壞性等。對于公積金管理中心的網絡安全系統我們部署網關型的全硬件防病毒設備，實時進行網絡病毒的查殺，隔離。

2.7 信息加密策略

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。

2.8 加強安全巡檢

安全巡檢服務是指使用多種手段，對公積金管理中心的網絡設備、服務器、操作系統、應用系統進行周期性的安全掃描、手工檢查、專家分析，并提交制定評估報告及加固建議。安全巡檢服務每周一次提供包括住房公積金管理中心網絡維護和評估、安全審計、監控和配置管理、對相關報告和分析活動的現場支持、分析并解決問題等服務。

3 安全管理層面

在安全管理層面，主要是對人員和制度的管理，信息安全管理領域一直有“三分技術，七分管理”的原則，技術固然重要，但是管理才是核心，在信息安全管理過程中我們可以借助先進的技術手段輔助我們進行多層次、全方位的管理。

3.1 人員管理

人員安全管理是信息安全管理的重中之重，人員安全管理就是讓員工能正確使用和處理信息、系統保障信息系統的安全。如何對公積金管理中心的人員進行有效的管理是安全管理的重要內容，主要措施如下：

（1）建立有效的安全管理組織機構。安全管理組織機構是信息安全管理的基礎。是否擁有健全的安全組織機構與網絡信息的安全與保密密切相關。這種安全組織機構不應隸屬于諸如網絡或信息之類的部門，而應由從中心層面成立信息安全領導小組,職責包括制度的審批、批準發布及定期組織對安全管理制度進行更新、審定，并形成評審記錄或在管理制度文檔中填寫版本修改歷史信息。安全組織機構的目的是為了統一規劃公積金中心信息安全組織機構的建立，明確了信息安全管理的目標，保障信息安全有關的決策和實施。

（2）加強對人員崗位的管理。首先是明確人員的職責范圍和權限，做到責任到人，根據人員的工作經驗、能力、業務要求等決定員工需要能夠掌握的信息范圍及權限，員工日常的信息安全管理必須做到細致與日志記錄。

（3）定期對人員進行安全培訓。信息安全是動態發展的，黑客攻擊手段在不斷更新，新的病毒程序也不斷產生。安全培訓可以幫助及時掌握 新的安全技術。同時工作人員還要求充分了解公積金業務中的安全方針政策、相關法律法規，另外還要專門針對技術管理人員進行培訓，提高管理和執行組織的安全解決方案的制定能力。

（4）加強工作人員安全意識。現實管理中，有很多信息風險是因為操作人員安全意識薄弱所造成的，而加強工作人員安全意識是降低內部系統安全隱患的 好的、投入回報比 高的措施。通過培養管理人員的安全意識，會提高管理人員發現安全問題的敏銳性和自覺性。

（5）加強對人員安全管理。建議與招聘人員簽署保密協議，并與從事關鍵崗位的工作人員簽署崗位安全協議，在崗位安全協議中對離職后的保密義務進行約定。并對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核，考核內容及考核方式應與其他崗位人員進行區別，記錄考核結果，并將結果進行歸檔保存。

3.2 制度管理

（1）制度建設。完善制度體系建設，按照信息保密級別的不同，對機關、部門、組織甚至個人，設定信息安全防范等級標準，而每個級別的標準要求具體化。避免定密過寬過高，以及不定密等情況的發生。根據業務需求，梳理、重塑業務流程，制定整套成體系的管理制度。安全管理制度集內應至少包含以下安全管理制度：對機構信息化工作的總體目標、范圍、原則和安全框架等進行說明的《信息安全管理辦法》以及針對管理活動中的各類管理內容進行規范的《機房安全管理制度》、《網絡安全管理制度》、《系統運行維護管理制度》、《數據及信息安全管理制度》、《信息資產管理制度》、《用戶登記與用戶管理制度》、《備份與恢復管理制度》、《密碼管理制度》、《安全責任制度》、《崗位與人員管理制度》、《信息安全產品采購、使用管理制度》、《安全事件報告和處置管理制度》、《信息系統安全應急處置預案》等[3]。

（2）落實責任。根據赫次伯格的激勵-保健理論，管理中，要通過改變人的精神力量或狀態，起到加強、激發和推動作用，并且指導和引導人們的行為指向目標，其中，責任是一種重要的激勵方式。把責任落實到人，關鍵是要制定符合實際的管理制度。有相關學者提出，信息安全保密管理要向“精細化管理”轉變，其實質就是要以管理制度為基礎，并落實好制度。

（3）建立應急預案制度。應急預案制度，要求按照安全事件相關標準，結合信息系統的實際情況，通過預測、評估和分析事件對信息系統的破壞程度，以及所造成后果嚴重程度，將安全事件依次進行等級劃分，通過對安全事件的等級分析，在統一的應急預案框架下制定不同安全事件的應急預案。并在統一的應急預案框架下，明確應急預案中各部門的職責，并協調各部門間的合作和分工。要制定安全事件的報告程序，對接報的安全事件進行分析，明確安全事件等級、影響程度以及優先級等，確定是否應對安全事件啟動應急預案。對于應該啟動應急預案的安全事件按照應急預案響應機制進行安全事件處置。對未知安全事件的處置，應根據安全事件的等級，制定安全事件處置方案，包括安全事件處置方法以及應采取的措施等；并按照安全事件處置流程和方案對安全事件進行處置。

一旦安全事件得到解決，對于未知的安全事件進行事件記錄，分析記錄信息并補充所需信息，使安全事件成為已知事件，并文檔化；對安全事件處置過程進行總結，制定安全事件處置報告，并對相關的文檔資料進行歸檔保存。

4 結束語

隨著信息化建設步伐的加快，信息安全管理顯得愈發重要，因此全面加強公積金管理中心信息安全管理，信息系統建設和安全管理的基礎，也是實現公積金安全發展的迫切需要，是新時期管理工作的一個重大課題。網絡安全等級的保護的建設只是一個基礎的開始，公積金管理中心的信息網絡安全管理工作，是一個長期、艱巨的工作，它涉及每一個員工以及日常運行維護的每一個環節。信息安全管理體系本身并不能帶來信息安全，只有靠每一個員工的身體力行，積極參與，把安全體系一步步落實到信息化建設的每一個環節，才能給信息管理帶來真正的安全。