杨丰挺

摘要：该文分析了人力资源和社会保障行业网络安全现状以及存在问题，同时针对问题提出了解决的思路和方案。

关键词：人力资源；社会保障；网络安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）36-0021-02

随着全国人力资源和社会保障信息化的建设，业务专网和应用系统已经具备了一定的安全防护能力，人力资源和社会保障业务正向省集中、全覆盖、广服务的方向发展，急需建立系统性的网络安全防护体系。

1 网络安全现状与问题

1.1 网络安全现状

一是国际网络安全形势日趋复杂，境内外网络安全威胁日益严重。网络安全问题已成为世界各国共同关注的焦点，发达国家纷纷将网络安全上升到国家安全战略的高度，并颁布了网络空间安全战略。敌对势力和黑客组织的网络恶意攻击规模和范围日益扩大。我国对网络安全也高度重视，早在2003年就提出了“积极防御，综合防范”的方针。2014年2月27日我国成立中央网络安全和信息化领导小组，将“网络安全”提升到国家安全、社会治理和军队建设的战略层面。人力资源社会保障部根据国家及自身行业发展要求也相继下发了相应文件，对如何落实国家信息安全等级保护制度，加强信息系统安全体系建设，确保信息系统安全稳定运行等网络安全工作作出了明确要求。

二是近年来人力资源和社会保障行业进入一个快速发展时期，与百姓切身利益密切相关的就业、社会保障、医疗保险等对外公共服务为主的信息系统建设工作不断推进。对外公共服务的信息系统（如网上申报系统、社保查询系统等）数量逐年增多；社会公众对信息系统业务服务的依赖性越来越强；信息系统提供的公共服务类型和方式（如门户网站、手机APP应用等）不断增多；信息系统服务覆盖的人口数量激增导致社会公众对公共服务质量的要求也愈发突出；同时信息化建设开始由建设阶段转为运维阶段，对信息系统安全运维、稳定服务的要求越来越高；这些都对人力资源和社会保障行业的网络安全提出了更加严峻的挑战。

三是省级数据中心虽配置和制定了相关的网络安全设备和安全制度规范，但整个行业的网络安全工作机制还不够完善，主要表现在网络安全意识较为落后，缺乏统一规划，在网络安全方面长期存在“重设备、轻服务、重建设、轻运维”的问题。

1.2 主要问题

一是尚未形成完善的技术保障体系。目前省级数据中心陆续购买和配备了一些安全产品，对基础网络与信息系统起到了一定的保护作用，但尚未形成完善的技术保障体系。尤其在网站安全防护上，由于各部门网站建设分散，目前只能通过在管理制度对网站安全管理作出要求，无法做到技术上统一防范。

二是缺乏网络安全体系总体规划，管理体系建设工作缓慢。网络安全是一个系统工程，不能采取“头疼医头、脚疼医脚”的被动管理方式，必须全盘统筹、统一规划，形成完善的网络安全体系。网络安全必须从技术和管理两个方面齐头并进。大部分基础网络和信息系统安全建设从技术保障手段起步，在网络安全管理方面，其工作尚未系统开展，在风险评估、系统加固、管理体系建设、运维保障体系建设等方面均需要进一步开展工作。

2 建设目标与原则

2.1 建设目标

按照国家及行业网络安全的相关法律、法规要求，以“统一规划、综合防御、技术管理并重”的工作指导思想，通过对物理、网络、主机、数据和应用各个层面，贯穿保护、检测、响应、恢复等各个环节的网络安全保障服务建设，在办公内网、业务专网、互联网上构建全面、完整、高效的网络安全保障体系，为行业信息化发展提供坚实的基础。

统一规划建设，是指对以省为单位进行网络安全统筹规划，按照统一的技术标准和管理规范实施建设；全面综合防御，是指在技术层面上综合使用多种安全机制，將不同安全机制的保护效果有机地结合起来，构成完整的立体防护体系；技术管理并重，是指将安全管理体系与技术防护体系相互配合，实现最佳的保护效果；保障运行安全，是指综合利用多种安全保障机制，保证网络和信息系统的运行安全。

2.2 建设原则

人力资源和社会保障行业网络安全建设应遵循“分域保护、突出重点、纵深防御、集中管理”的建设原则。

2.2.1 分域保护

网络安全保障体系建设在总体架构上将按照分域保护原则进行，参考IATF《信息保障技术框架》，将网络划分为不同的安全区域进行分域控制和防护。各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的系统环境；各个安全区域之间的访问关系形成明确边界。

2.2.2 突出重点

在全面综合防御指导思想下，根据系统应用业务重要程度及实际安全需求，突出网络安全防护重点，实行分级、分类、分阶段保护。加强对关键基础网络和信息系统的安全运维和监管。

2.2.3 纵深防御

网络安全保障体系主要包括技术、管理和运维三个部分，应针对通信网络、区域边界、系统环境，综合采用访问控制、入侵检测、恶意代码法防范、安全审计、防病毒、数据备份等多种技术和措施，实现业务应用的可用性、完整性和保密性保护。从外到内形成一个纵深的安全防御体系，增强信息系统整体的安全保护能力。

2.2.4 集中管理（部署）

通过建设集中的安全管理平台和安全管理中心，实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发生。

3 建设内容

3.1 网络安全技术保障体系

3.1.1 网络边界安全防护体系建设

重新梳理网络安全架构，划分安全区域，界定网络边界，采取技术措施加强网络边界的安全保护。在前期建设完成的边界访问控制（防火墙和物理隔离网闸等设备）的基础上，加强安全区域之间的访问控制、网络边界恶意代码防范、网络准入控制、内网用户非法外联行为管控、流量控制和上网行为管理、关键网络设备和服务器运维操作安全审计等问题。

3.1.2 数据中心安全防护体系建设

明确省级数据中心需要保护的关键资产、数据和应用，对核心数据区域实施重点防护。重点解决数据库安全审计、数据库安全防护、异地数据备份与恢复等问题。

3.1.3 应用系统安全防护体系建设

以应用系统持续运行为目标，确保其能够提供持续稳定的信息服务。在前期PKI CA身份认证的基础上，加强应用系统访问控制、数据传输安全保密、应用系统漏洞检测等问题。

3.1.4 信息内容安全保护体系建设

确认信息内容保护重点，制定信息内容发布管理规范。重点解决网站内容保护、邮件内容过滤、文档失泄密管理、互联网舆情监控等问题。

3.2 网络安全管理保障体系

3.2.1 网络安全管理体系建设

选择专业的安全服务机构，提供咨询服务，在专业咨询服务的基础上建立适合省级数据中心网络现状的网络安全管理体系，并持续运行和改进。主要包括安全方针政策确立、安全策略制定、安全组织机构管理、人员安全管理、安全建设管理制度、安全运维管理制定等内容。

3.2.2 网络安全沟通机制建设

建立沟通协作机制，加强与网络安全主管部门、不同行业、上下级单位、网络安全专家队伍、网络安全服务机构的沟通与协作。

3.2.3 网络安全教育与培训

对网络与信息系统运维管理人员定期开展安全教育与培训，通过教育培训和认证考试增强管理人员安全意识，提高安全技术能力和安全管理能力。

3.3 网络安全运行保障体系

3.3.1 ITSS运维服务体系建设

ITSS（信息技术服务标准）是由国家信息技术服务标准工作组研究制定的一套体系化的信息技术服务标准库。通过ITSS运维服务体系建设和ITSS认证，实现人员、资源、技术、流程等IT服务组成要素的标准化，实现IT运维服务规划设计、部署实施、服务运营、服务改进、监督管理的全生命周期管理，从而提升运维服务质量、优化运维服务成本、降低运维服务风险，促进運维服务的标准化和运维服务能力的持续提升。

3.2.2 信息系统安全评估与加固

选择专业的安全服务机构，依据信息安全等级保护相关政策要求，对关键网络设备、服务器、数据库、应用系统和中间件等进行定期进行安全评估。通过安全评估，了解信息系统的安全现状、防护措施以及所面临的安全风险，并对存在安全风险的信息系统进行漏洞修补和安全加固。

3.3.3 网站安全监测

选择专业的安全服务机构，对省本级及下属单位网站提供包括网页木马、网页篡改、网站可用性、网站关键词和网站漏洞在内的安全监测服务，保障网站系统的稳定运行。

3.3.4 灾备与应急响应体系建设

建立异地数据备份中心，为重要信息系统提供数据备份服务。建设网络与网络安全应急响应体系，包括应急队伍建设、应急预案制定、应急演练、突发事件应急处置等。

参考文献：

[1] 康志辉. 计算机网络安全体系的一种框架结构及其应用[J]. 福建师大福清分校学报， 2016（5）：17-18.

[2] 郝丽蓉. 网络安全体系结构的设计与实现[J]. 中国新技术新产品， 2015（9）：102-105.