■文／费昊



社保信息化中的另类安全问题

■文／费昊

人们对于信息系统漏洞、黑客攻击造成的信息安全问题相对了解和熟悉，并且这些问题已经引起了广泛的关注和重视，而对于顶层设计缺失、管理疏忽大意、安全意识缺乏而导致的信息泄露和安全隐患却知之甚少。如何预防、发现并解决这类问题将成为社保信息化系统建设中的新课题。

“外患”与“内忧”

中国的社保信息化系统具有战略和经济的重要性，众多的跨国医疗服务商或其合作商已经不同程度上“侵入”我国的社保及医疗系统，掌握了数据拷贝、关键人物信息以及特定的统计性信息。这些企业在扩张的同时，通过关闭开放性（即构筑介入壁垒）、提供先期优惠利益甚至预制漏洞等方式，占据并锁定我国的社保及医疗领域相关资源。

较之“外患”，“内忧”则更加令人担忧，即来自系统设计、开发乃至用户自身的问题更加严重，其安全隐患远远大于技术漏洞。具体表现在三个方面：

因需求迫切导致门户大开，引狼入室。社保基金收支失衡、多级统筹以及规范标准等诸多问题一直困扰着社保系统，快速解决问题则成为工作重点。因此，在巨大的任务压力下，有些地方选择快速引进成熟产品，仓促上线应用系统，将功能需求放在第一位，其他诸如系统性能、垄断、标准等问题统统放后。这直接导致后续因开发商垄断（介入壁垒增高）而产生的高成本，即“一家做系统，他人莫进来”。用户在后续的系统升级过程中要么被“绑架”，要么付出更高成本找“替身”。

守传统思维忽略关键岗位和监督职责。在很多政务系统中，多数用户还在传统的思维模式中，对于信息化系统管理仍沿袭着行政职务责任与信息系统权限脱离的管理方法。具体体现为，信息系统中的网络管理员、系统操作员通常职位不高、待遇较差却掌握着系统中至高无上的管理权限，如数据库的DBA权限，诸多信息不需访问应用系统即可获得，而且很多网络管理员还掌握着各级领导的账户名和密码。而负此责任的行政领导经常没有（或忽略）此类权限。

设计理念缺陷导致系统漏洞多。因资源分配的方式、需求来源等因素的影响，众多社保信息化系统的设计师都是用户自己，而开发商往往是实现者。在这类系统中，为了使用方便，系统管理权限与应用权限往往混叠；为了减少支出，网络管理员与系统操作员角色融合；为了查询方便，数据库、应用系统权限开放给操作人员；为了测试方便，数据开放给系统开发商。另外，不对内容模块分级，即由开发商全权负责，通盘掌握信息。这些因理念方法缺失而导致的系统及操作漏洞在现实中带来的风险远远大于黑客攻击。

安全建议

随着大数据时代来临，信息安全的内涵也发生了变化，除了数据本身，控制数据源以及主要获取数据所承载的关键内容也成为威胁社保信息系统安全的主要途径之一。从数据点到数据所承载的规律性内容，都有泄露的风险。例如：在数据点方面，关键部门、关键人物信息以及大众隐私的泄露；在特定群体大数据方面，特定区域病情推断、重大事件预测、生物恐怖事件、特定群体分布等。因此，除了传统信息安全工作外，还应做好以下三点：

管好“人、数、物”。人：对关键人物进行区分和管理，限定人物角色、角色权限、权限范围。数：对系统关键信息分类，甄别信息内容，实行内容分级、分域管理。物：对入网设备分类，建立独立标识，实名管理、实时发现。

坚持系统安全设计。坚持系统设计标准化、开放性、系统性，即数据标准统一、系统结构一致（标准化）；系统源代码对用户开放，至少应用接口开放（开放性）；内容安全分级，系统设计与系统建设分离实施（系统性）。

系统内容安全分级。对社保信息根据内容泄露所造成的潜在影响分级，并设计相应模块。⑴顶级，具有全局性统计、分析功能并含有高度机密性信息或者信息泄露会带来重大灾难性后果；⑵高级，具有局部性统计、分析功能并含有较高机密性信息或者信息泄露会带来灾难性后果；⑶中级，系统易用性、稳定性为主体内容，稳定性出问题有可能引发一系列社会连锁反应；⑷一般,涉及个体用户隐私的相关数据及一般机构的私密性内容；⑸开放，能够充分开放的系统内容。

作者单位：中国科学院计算技术研究所