浅述人力资源和社会保障工作中网络应用及个人信息的安全与维护
2016-03-13射阳县机关事业单位养老保险中心孙永刚
射阳县机关事业单位养老保险中心 孙永刚
浅述人力资源和社会保障工作中网络应用及个人信息的安全与维护
射阳县机关事业单位养老保险中心 孙永刚
随着网络应用的越来越普遍,人力资源和社会保障方方面面工作在网络的应用下越来越高效,近期我们地区在网络应用的稳定性及安全性遇到点问题,本文就这两个方面如何防护等方面谈谈个人的观点。
人力资源社会保障;网络应用;个人信息;安全维护
通常人们认为自己的数据和网络目前有一种虚假的安全感:在系统安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据,另外各大网络安全公司不断增强安全工具和补丁程序……似乎可以松口气了,但果真如此吗?
许多人还认为,自己的Mac系统跟老系统一样,也不容易遭到黑客的攻击。但是,许多Mac机运行微软Office等Windows程序,或者与Windows机器联网。这样一来,Mac机同样难免遇到Windows用户面临的漏洞。正如安全专家Cigital公司的CTO Gary McGraw所说:出现针对Win32和OS X的跨平台病毒“只是迟早的事”。Mac OS X环境也容易受到攻击,即便不是在运行Windows软件。赛门铁克公司最近发布的一份报告发现,2004年查明Mac OS X存在37种漏洞。该公司警告,这类漏洞可能会日渐成为黑客的目标,特别是因为Mac系统开始日渐流行。譬如在2004年10月,黑客编写了名为Opener的一款脚本病毒。该脚本可以让Mac OS X防火墙失效、获取个人信息和口令、开后门以便可以远程控制Mac机,此外还可能会删除数据。
另外,对数据进行加密是保护数据的一个重要环节,但不是绝无差错。Jon Orbeton是开发ZoneAlarm防火墙软件的Zone Labs的高级安全研究员,他支持加密技术,不过警告说:如今黑客采用嗅探器可是越来越完善,能够截获SSL和SSL交易信号,窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取,但加密标准却存在着几个漏洞。黑客只要拥有适当工具,就能够钻这些漏洞的空子。Orbeton说:“黑客在想方设法避开安全机制。
一、做好业务专网与互联网物理隔离
今年国庆期间,我市部分县(市、区)金保工程网络发生通讯故障,医保刷卡短时中断,经排查发现是部分县(区)机房断电和业务专网与互联网混用等原因引起的。经了解,普遍存在部分单位和窗口业务专网与互联网混网运行现象(同一台电脑既可以上业务系统又可以上互联网),存在极大的安全隐患。
互联网应用对经济社会发展和公共服务带来了广泛和深刻的影响。与此同时,网络与信息安全的问题也日益突出,据统计,75%的安全问题都来自于互联网应用层。金保工程等人社信息系统包含了大量的公民隐私信息,根据信息系统建设规范和部、省关于金保工程系统安全保护的相关要求,上述系统必须与互联网严格物理隔离。
1、明确要求。我局现有的金保系统、就业系统、新农保系统、劳动关系仲裁与监察系统、社会保障卡管理信息系统、全民参保登记、高校毕业生登记、省异地就医平台等均为专网运行的业务系统,各处室、单位人员使用业务内网的电脑只允许接入业务内网,不允许接入互联网,也不允许将内网系统接入无线网络。
2、强化责任。各单位主要负责人为信息系统安全的第一责任人。市局信息中心主要负责全市信息系统安全管理和维护工作。各县(市、区)人社部门信息中心为本单位信息安全责任部门,应做好机关处室及下属经办机构、延伸的服务窗口的内外网隔离等信息安全工作;市局各处室、直属单位的信息科(或办公室)为本区域的安全责任部门,负责本单位及延伸的服务窗口内外网隔离等安全工作。
3、加快整改。各单位、窗口和个人应做好自查和整改工作,边查边该,自查和整改工作在规定时间内结束。市局将不定期组织安全巡查,对整改情况进行督查、考核和通报。
二、加强网络工程的运维
1、检修通信设备。各地区信息中心要对机房设备、网络线路、中断设备等进行全面的故障排查,及时更换损坏设备,排出网络运行故障,确保金保信息系统运行快捷畅通。
2、加强环境监测。各地区信息中心要明确专人定期巡检设备和用电线路,彻底整改插座松动破损、线路散落交叉、用电过载等问题,并做好重点部位的温湿度检测和通风散热,谨防用电短路、电线烧灼、设备超负荷运作等安全隐患。
3、保证业务正常。为保证金保系统等各项业务正常运行,各县(市、区)机房内的市县联网交换机、电信汇聚交换机以及运营商光纤传输设备必须接入不间断UPS电源,还没单独配备UPS的县(市、区)要尽快到位。
4、梳理网络结构。各地区信息中心要准确把握机房和经办机构网络互联情况,统计各经办机构金保工程内网IP地址分配情况,并最终形成网络拓扑图,以方便网络检修和故障排除。
5、明确专职人员。各地区应明确一名专职的机房运维人员,无论是上班还是节假日期间,一定要保持电话畅通,确保能在第一时间赶到故障发生地配合检查。同时做好日常防护和上级部门的沟通汇报工作。
三、网络安全规范
1、为保证网络安全,应加强应用人员的遵纪守法教育和信息安全教育,提高安全防范意识,使操作人员具有良好的工作作风和职业道德。
2、机关事业单位局域网内各部门应设立网络安全员,负责本部门网络的安全保护工作,制定安全防范责任制,信息中心部门将定期进行检查,及时通报有关信息和网络安全管理经验。
3、信息中心部门提供公开服务的web站点。应有专人负责web站的信息发布,一般应用人员只有浏览权。
4、机关事业局域网内各部门新增用户应向中心提出申请,获准后由中心分配IP地址并提供接入服务,不得擅自私拉乱接。
5、信息中心部门负责网络设备的运行管理、负责网络资源、用户账户和安全性管理,系统管理员口令绝对保密,根据用户需求严格控制。合理分配用户权限。
6、网络用户应经常更新网络防杀病毒软件,从根源上避免病毒的传播。
7、信息中心网站信息发布以自行发布为主,信息来源及处理方式经专门负责人审定,系统软件应对访问权限严格限制,对不同的操作人员、不同的信息等级分设口令。
8、信息中心进行定期备份,对备份数据有专人进行妥善保管,确保发生意外情况时能及时恢复运行。
9、中心机房采用防静电和防火装修,平时应注意定期检查维护硬件设备,消除事故隐患。局域网内的光缆及其他网络设施应妥善保护,避免人为损坏。
10、加强监督管理工作,将使用过程中的重要信息记录到审计文件中,便于掌握全面情况,发现可疑现象,及时追查安全事故责任。
11、各入网部门应积极配合公安部门的安全检查,自觉接受公安机关的监督。发现可疑情况应及时向有关部门反映。
四、个人信息安全
坚守“三要三不要”定律护航隐私安全。
如何保护个人信用信息安全?用“三要三不要”原则护航隐私安全,可有效堵塞个人信用信息泄露的各种出口。
所谓“三要”是,一要妥善保管身份证及复印件,复印件交予他人时要注明用途;二要保管好信用报告,以及互联网查询信用报告的用户名和密码,不将金融信息告知他人;三要收藏央行征信中心官网,避免坠入钓鱼网站,一步错,步步错,最终掉入骗子连环布局的圈套,遭遇经济损失。顺应着金融互联网化的趋势,网络已成为骗子行骗新阵地,各种银行的钓鱼网站层出不穷,而央行征信中心也未能免俗。
而“三不要”则是,不将身份证件借给他人;不在网吧使用公共wifi查询征信报告,保存信用报告;不点击陌生电子邮件和手机短信中的链接网址,当心系统中病毒,导致隐私外泄。
五、提高员工信息安全意识
1、在不影响正常工作的前提下,合理利用员工碎片化时间进行宣贯工作。企业内部IT或信息安全部门,在企业内部开展员工信息安全意识宣教工作时,员工往往会觉得:一定又要耽误很多工作时间来配合。如果这项工作在开展初期就让员工产生这样的想法,那基本上已经算是失败了。
由此可见,开展这项工作时,利用员工的碎片化时间非常重要。那么,哪些是员工的碎片化时间呢?上下班地铁、公交车上;等待和上下电梯时;走路经过办公楼大厅或走廊时;工作开始前电脑开机时等。这些都是能够被利用起来,开展信息安全意识宣传教育工作的碎片化时间。
2、注重与员工工作、生活息息相关的信息安全知识点
我们在前接触国内较早开展员工信息安全意识教育工作的企业时,有个很深的感受是,不少企业在选择向员工推送的知识点时,只会选择和员工工作相关的内容,而生活方面的知识则被全部排除在外。
但随着安全意识宣教工作的不断推进,尤其是在加入与员工生活相关的信息安全知识点后,我们发现员工对信息安全宣教工作关注度反而有所提高。员工对生活相关内容的关注,反而更容易拉近信息安全宣教工作本身与员工之间的距离。
3、选择不易引起员工反感的宣传教育形式
选择了恰当的时间和员工更关注的知识点,接下来要确定的就是采用什么样的形式。基本原则就是,采用不易引起员工反感的形式。员工普遍不喜欢被动的强制教育,例如组织一场培训后强制考试。那么在开展宣教工作的时候,就一定要避免这一点。
在某些办公场所展示信息安全宣教内容,例如会议室、茶水间、打印房等,张贴相关提示的海报,开会前后或者中场休息的间隙,播放信息安全意识的宣传教育短片,这些都是不易引起员工反感,润物细无声的宣教方式。
4、新颖的表现形式,引起员工注意力
如何将信息安全知识更好地呈现给员工,是尤其需要注意并且花心思的事情。如果将内容白纸黑纸的直接呈现在员工面前,那基本上就可以不用期待多高关注度了。普通员工绝大部分不是做IT或者信息安全的,因此“将知识本身转换成为员工能懂的语言”这一点至关重要。同时还要以员工更易接受的形式输出,例如赏心悦目的海报、生动幽默的动画片、震撼冲击力强的教育宣传片,或者随时可翻阅的手机图片等,都是不错的选择。
5、短期与长期计划相结合
选择好了宣教的对象、知识点和内容及其表现形式,接下来就需要制定实际适合企业的信息安全意识宣教计划。一般建议企业先制定一个长期计划和目标,再将长期计划分解成具体、可执行的短期计划。例如,制定一份员工信息安全意识宣教的3年计划,通过每年连续举办信息安全宣传周来实现;另外,除了每年信息安全宣传周的其它时间,则可以每月通过邮件或手机微信等方式,向员工推送信息安全期刊等宣教材料。