金保工程專網中網絡安全新技術的應用

鄧連峰

遼寧省社會保險事業服務中心 遼寧 沈陽 110000

引言

隨著科學技術的迅猛發展，計算機越來越多地應用于我們的生產生活之中。云技術、大數據、物聯網的相繼出現，轉型后的政府機構在公共服務上也提出了數據共享、“一網一門一次” 等更多的便民要求，業務系統的信息化和網絡化程度不斷增大，網絡安全在信息化建設中的重要性也逐漸凸顯出來。

2014年陳帥等人[1]針對黑龍江省金保工程的信息化局建設，提出了通過SSL VPN技術應用于廣域網的金保工程專網中，表明了在金保工程中利用網絡安全技術，能夠加快金保工程的信息化建設并取得了較好的結果。劉云峰等人[2]對金保工程在軟件開發過程中的質量管理研究，也證明了金保工程是以電子計算機網絡、服務器、系統軟件作為基礎，其實施的成敗關乎著整個區域，甚至涉及國家經濟建設與發展，因此在金保工程中利用新型的網絡安全技術也是值得關注的地方。2019年柴立、解建倉等人，通過分析傳統"金保工程"的特點，提出了運用虛擬化技術和云計算平臺，來搭建“金保工程”云數據中心，并將其用于省級人社“金保工程”的建設中，取得較好的實際應用效果，表明了新型網絡技術在金保工程中的應用，具有很強的實用價值。

隨著互聯網的快速發展，我們的工作、學習等各方面都與互聯網緊密聯系在一起，而且越來越多的用戶都可以在足不出戶的情況下，通過互聯網以及各政府部門開放的應用系統和平臺辦理各種業務，但隨之具來的就是數據丟失、財產被盜，系統被惡意破壞，機密信息被竊取等各種風險，為業務經辦創造一個安全可靠的網絡環境刻不容緩。網絡安全沒有絕對的安全，攻擊和防守都是在不斷的新科技應用中進行博弈，網絡安全新技術在攻擊和防守中逐步嶄露頭角，發揮越來越重要的作用。近年來為保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，促進經濟社會信息化健康發展，各種網絡安全方面的立法及規章制度紛紛出臺。2017年我國頒布了《網絡安全法》。 2019年在網絡安全領域等級保護2.0以及《關鍵信息基礎設施安全保護條例》的正式實施，從責任制度、信息系統、物理環境、網絡安全以及人員管理上規范和加強信息系統的安全建設工作[5]。

1 金保工程及其網絡現狀

金保工程是國家十三金工程之一，是通過利用先進的信息化技術，以部、省、市、區縣四級網絡作為依托，涵蓋各級經辦機構、社區街道、醫院藥店等基層組織，支持勞動和社會保障業務經辦（社會保險、就業人才、勞動關系）、公共服務、基金監管以及宏觀決策等核心應用，是覆蓋全國的勞動和社會保障信息化建設的重要民生工程。

金保工程專網是人力資源和社會保障部推行的與互聯網完全物理隔離的業務專網，縱向上遼寧省人力資源和社會保障廳向上連接人力資源和社會保障部，向下通過主備專線與14個地市的人力資源和社會保障局數據中心進行互聯；本級內部通過專線連接省就業中心、省社保中心兩大中心，橫向通過專線與公安、地稅、財政、銀行、金融、統計等部門互聯。具有覆蓋面廣，承載業務系統多，網絡結構復雜等特點。從2015年開始，遼寧省開展了金保工程二期建設，按照“數據向上集中，業務向下延伸”的總體要求開展省集中建設，按照“讓信息多跑路，百姓少跑腿”的要求開展了全面的公共服務建設，業務經辦開始向網上經辦進行了全面轉型。

人力資源和社會保障部系統的公共服務建設所涉及的網絡總體上劃分為2個網絡：業務專網（內網）和公共服務網（外網），內外網之間通過網閘進行物理邏輯隔離，保障內外網之間的信息交換。將現有網絡劃分為不同區域，各區域之間開展邊界安全防護，核心區域網絡安全設備采用主備方式，業務專網出口部署冗余路由器，通過運營商鏈路連接全省14地市、省本級經辦機構和國家人社部，同時，通過電子政務內網連接公安、地稅、財政等政府部門，路由器和核心交換機之間部署了入侵防御、防火墻等網絡安全設備；公共服務網的分為電子政務外網和互聯網，電子政務外網主要用于公共服務平臺的系統維護工作，互聯網主要用于為百姓提供公共服務。在內外網的核心交換機之間部署了網閘，進行邏輯隔離，同時部署VPN網關、防火墻、防毒墻、入侵防御等安全防護設備。

2 網絡安全新技術在金保工程專網建設中的應用

遼寧省金保工程承載著全省就業、社會保障、人事人才、勞動關系等業務板塊，向下一直延伸到街道社區及村鎮，涉及全省所有老百姓的切身利益。具有網絡覆蓋廣，結構復雜，網絡時時性要求高等特點。2013年金保工程二期的建設中，遼寧省人社廳按照等級保護三級要求的標準全面開展了網絡環境建設，在傳統的安全建設的基礎上引進了一些網絡安全新技術，將安全防護工作上升到一個新的高度。

在安全規劃中，按照“縱深防御，重點保護”的策略，對網絡中的不同等級保護級別的資源實現不同程度的防護措施：數據傳輸加密方面，在機房對機房的數據傳輸采用了VPN數據加密技術，從瀏覽器到服務器端將HTTP轉變成HTTPS，防止信息在網絡傳輸中被竊取和破壞；邊界防護方面，通過部署防火墻、IPS、終端安全管理、防病毒網關等安全防護設備，防止非法訪問，部署網閘負責內外網之間的數據交互；信息安全監測方面，部署態勢感知、IDS和漏洞掃描系統，加強對網絡非法活動的監測，及時發現網絡層面和操作系統的安全漏洞；安全審計方面，部署數據庫審計、日志審計、網絡審計、入侵檢測和桌面管理等系統，實現全面的網絡安全審計體系，對于行為記錄，事故溯源做到有據可查；病毒防護方面，構建各網絡全方位的病毒防范體系，采用包括殺毒軟件、郵件安全網關以及防病毒硬件網關等系列產品構筑強大有效的網絡防病毒體系；容災備份方面，三級以上重要應用系統建立數據備份，包括同城災備、異地容災系統建設，以保證關鍵業務的系統和數據有效備份；身份認證方面，加強身份認證系統和授權系統保證數據的真實有效和不可抵賴性。訪問控制方面，建立不同權限的管理員用戶，做到管理權限最小化，避免管理員權限過大導致無法對管理員的行為進行監管、制約。

在金保工程網絡安全的建設中，我們從人員觀念、網絡環境、流程制度、安全監測等方面進行全面的設計，通過一段時間的驗證，起到了不錯的效果，金保工程的網絡安全新技術應用中有幾個明顯的轉變：

2.1 黑名單到白名單的轉變

傳統的網絡安全，是默認服務器環境安全，基于邊界展開防護工作，通過防火墻、IDS等網絡安全設備的攔截，也就是設置“黑名單”，禁止我們認為具有威脅的訪問和端口開放。但是黑客通常可以利用一些平時不常用的端口或者漏洞滲透到系統網絡中，造成系統嚴重的安全隱患。新一代的安全防護體系“白名單”講究的是“最小必須”的原則，在全面禁止訪問的前提下，將需要的IP和端口允許訪問，也就是“白名單”的體系，防護范圍也從邊界的防護中上升到了服務器與服務器之間的“東西向防護”體系建設中。

2.2 被動防護到主動監測的轉變

傳統的網絡安全防護手段都是防火墻、IDS、網頁防篡改、數據庫審計等等防御手段，設置好的安全防守等待進攻，但在日常的工作中我們也發現了一些問題，傳統的防御手段，發生入侵事件很難發現，一般都是造成后果后去回查才能夠發現入侵的痕跡，缺少主動發現預警的機制。為改變這種狀態，人社廳在專網環境下引入了網絡安全態勢感知、漏洞掃描以及“天眼”等各類網絡安全防護系統，通過主動監測和時時監測對專網環境加強安全防護，定期出具威脅報告，按照安全級別分成高風險、中風險和低風險，并組織開展信息安全整改，有效地加強了主動監測能力和手段。

2.3 簡單密碼到人員認證的轉變

賬戶密碼這一傳統的登錄方式在我們信息化建設中占據了相當長的時間，一定的時期中我們還在為10位綜合型密碼的安全管理進行狠抓不懈。但2020年《密碼法》的頒布實施，對數據加密和人員身份認證的問題提出了更高的要求。為了保障人員登錄安全性和不可抵賴性，人力資源和社會保障部的信息系統引入了動態口令的認證機制，通過手機綁定電子社會保障卡來完成實名認證，通過手機掃描二維碼來獲取登錄的動態口令的方式在廣大業務系統中陸續展開了應用，有效地解決了密碼不安全和終端人員認證的難題。

2.4 數據明文傳輸到密文傳輸的轉變

一些老舊系統在系統開發中大部分采用的是明文傳輸和存儲，這樣在軟件開發和應用上以及一些后臺操作上都有很大的便利，但這樣也給黑客提供了方面的條件。目前按照《密碼法》的要求，在數據傳輸和存儲過程要進行數據加密，包括鑒別信息、個人敏感信息或重要業務敏感信息等。人社廳系統在傳輸過程中使用網絡層SSL VPN加密協議，在終端訪問上使用應用層HTTPS等加密傳輸協議，達到數據傳輸和存儲的完整性以及保密性。

3 金保工程網絡安全實施中遇到的難點問題

網絡安全防護就是一個木桶的效應，不能存在短板，必須綜合發力，全面防護。在人社廳金保工程網絡安全建設中，我們在實施中也發現了一些難點問題：

3.1 管理人員的安全意識薄弱

計算機信息化技術在業務經辦過程中的發展，經歷了一個由無到有，由弱變強的過程，業務系統的安全性也越來越重要，很多人關注度一直停留在業務經辦上，沒有認識到安全的重要性，被動的開展網絡安全工作，甚至有一些安全管理人員不知道安全都要做什么，怎么做，對網絡安全危害認識不清，網絡安全意識模糊。

3.2 網絡安全規范化、系統化程度不完善

安全的防護是相互的，在予以信息系統提供更多安全，給黑客入侵造成更大的阻礙的同時，也給軟件開發人員的操作上帶來許多不便，既“他不方便的同時，你也不方便”。一個普遍的定為還存在偏差，那就是很多安全管理人員的認識不到位，還是從操作的角度思考安全，認為有的安全要求影響了維護操作的順暢，從自身上就消極抵制安全管理的落實。

3.3 運維人員賬號管理繁雜，無法有效管理

由于設備的增多，造成在系統和設備維護過程中，需要記錄和維護的工作強度增大。對于系統進行維護的人員，其登錄方式以及登錄密碼因為維護的設備增多而成了一個工作難題，管理賬號人員對賬號的有效管理也增加難度，出現問題時無法及時根據審計記錄查詢到相關責任所在。

4 解決措施

4.1 加強人員的網絡安全意識培養

平均每年至少召開一次全廳范圍的信息安全培訓，將網絡安全教育工作常態化。人社廳多次邀請省公安廳網絡安全專家、軟件公司的網絡安全專家、等保測評公司的專家，全方位對網絡安全進行全面的解讀。通過解讀網絡安全法律法規，對網絡安全工作人員的權利義務以及工作內容進行了詳細得到解讀，通過警示教育案例的嚴重后果給大家敲響警鐘，筑牢網絡安全的堤壩；通過等級保護測評和密碼應用安全評估的培訓，讓我們知道我們系統安全建設的標準；通過安全專家將一些前沿科技，開拓我們的視野。

4.2 嚴格規范工作流程及管理制度

按照等級保護要求結合金保工程信息系統特點，全面制定了《遼寧省人力資源和社會保障廳網絡安全等級保護管理制度》和《遼寧省人力資源和社會保障廳密碼應用安全管理制度》。包括：總體方針、安全策略、人員管理制度、系統管理制度、運維管理制度等內容。并組織各業務系統負責人針對本業務系統開展全流程梳理，將安全制度落到實處。

4.3 加強賬號的權限分配和監督管理

通過部署堡壘機集中管理，多系統統一登錄，分權限管理。運維人員將繁多的賬號密碼綁定在堡壘機中的個人賬戶下，只需記錄并及時變更堡壘機的賬戶密碼就滿足安全需求，管理者通過堡壘機的賬戶使用下發和回收權限。通過堡壘機對人員的操作行為進行全程記錄，對不允許的操作通過堡壘機進行屏蔽，實現運維人員的操作的全面規范管理。

5 結束語

金保工程網絡是金保工程的重要組成部分，是數據向上集中，服務向下延伸的渠道，是實現同人同城同庫的基礎條件，網絡安全關系著數據安全，網絡安全直接關系到金保工程建設的成敗。本文首先通過對金保工程及其網絡結構分析，明確金保工程以及網絡安全的重要性；其次通過描述金保工程新技術在網絡安全建設中的應用，表明了網絡安全新技術應用到金保工程專網建設中能夠取得顯著的效果；最后通過技術實施過程中發現問題并對問題進行分析解決，為網絡安全新技術應用到金保工程專網中提供了豐富的經驗。