邓连峰

辽宁省社会保险事业服务中心 辽宁 沈阳 110000

引言

随着科学技术的迅猛发展，计算机越来越多地应用于我们的生产生活之中。云技术、大数据、物联网的相继出现，转型后的政府机构在公共服务上也提出了数据共享、“一网一门一次” 等更多的便民要求，业务系统的信息化和网络化程度不断增大，网络安全在信息化建设中的重要性也逐渐凸显出来。

2014年陈帅等人[1]针对黑龙江省金保工程的信息化局建设，提出了通过SSL VPN技术应用于广域网的金保工程专网中，表明了在金保工程中利用网络安全技术，能够加快金保工程的信息化建设并取得了较好的结果。刘云峰等人[2]对金保工程在软件开发过程中的质量管理研究，也证明了金保工程是以电子计算机网络、服务器、系统软件作为基础，其实施的成败关乎着整个区域，甚至涉及国家经济建设与发展，因此在金保工程中利用新型的网络安全技术也是值得关注的地方。2019年柴立、解建仓等人，通过分析传统"金保工程"的特点，提出了运用虚拟化技术和云计算平台，来搭建“金保工程”云数据中心，并将其用于省级人社“金保工程”的建设中，取得较好的实际应用效果，表明了新型网络技术在金保工程中的应用，具有很强的实用价值。

随着互联网的快速发展，我们的工作、学习等各方面都与互联网紧密联系在一起，而且越来越多的用户都可以在足不出户的情况下，通过互联网以及各政府部门开放的应用系统和平台办理各种业务，但随之具来的就是数据丢失、财产被盗，系统被恶意破坏，机密信息被窃取等各种风险，为业务经办创造一个安全可靠的网络环境刻不容缓。网络安全没有绝对的安全，攻击和防守都是在不断的新科技应用中进行博弈，网络安全新技术在攻击和防守中逐步崭露头角，发挥越来越重要的作用。近年来为保障网络安全，维护网络空间主权和国家安全、社会公共利益，促进经济社会信息化健康发展，各种网络安全方面的立法及规章制度纷纷出台。2017年我国颁布了《网络安全法》。 2019年在网络安全领域等级保护2.0以及《关键信息基础设施安全保护条例》的正式实施，从责任制度、信息系统、物理环境、网络安全以及人员管理上规范和加强信息系统的安全建设工作[5]。

1 金保工程及其网络现状

金保工程是国家十三金工程之一，是通过利用先进的信息化技术，以部、省、市、区县四级网络作为依托，涵盖各级经办机构、社区街道、医院药店等基层组织，支持劳动和社会保障业务经办（社会保险、就业人才、劳动关系）、公共服务、基金监管以及宏观决策等核心应用，是覆盖全国的劳动和社会保障信息化建设的重要民生工程。

金保工程专网是人力资源和社会保障部推行的与互联网完全物理隔离的业务专网，纵向上辽宁省人力资源和社会保障厅向上连接人力资源和社会保障部，向下通过主备专线与14个地市的人力资源和社会保障局数据中心进行互联；本级内部通过专线连接省就业中心、省社保中心两大中心，横向通过专线与公安、地税、财政、银行、金融、统计等部门互联。具有覆盖面广，承载业务系统多，网络结构复杂等特点。从2015年开始，辽宁省开展了金保工程二期建设，按照“数据向上集中，业务向下延伸”的总体要求开展省集中建设，按照“让信息多跑路，百姓少跑腿”的要求开展了全面的公共服务建设，业务经办开始向网上经办进行了全面转型。

人力资源和社会保障部系统的公共服务建设所涉及的网络总体上划分为2个网络：业务专网（内网）和公共服务网（外网），内外网之间通过网闸进行物理逻辑隔离，保障内外网之间的信息交换。将现有网络划分为不同区域，各区域之间开展边界安全防护，核心区域网络安全设备采用主备方式，业务专网出口部署冗余路由器，通过运营商链路连接全省14地市、省本级经办机构和国家人社部，同时，通过电子政务内网连接公安、地税、财政等政府部门，路由器和核心交换机之间部署了入侵防御、防火墙等网络安全设备；公共服务网的分为电子政务外网和互联网，电子政务外网主要用于公共服务平台的系统维护工作，互联网主要用于为百姓提供公共服务。在内外网的核心交换机之间部署了网闸，进行逻辑隔离，同时部署VPN网关、防火墙、防毒墙、入侵防御等安全防护设备。

2 网络安全新技术在金保工程专网建设中的应用

辽宁省金保工程承载着全省就业、社会保障、人事人才、劳动关系等业务板块，向下一直延伸到街道社区及村镇，涉及全省所有老百姓的切身利益。具有网络覆盖广，结构复杂，网络时时性要求高等特点。2013年金保工程二期的建设中，辽宁省人社厅按照等级保护三级要求的标准全面开展了网络环境建设，在传统的安全建设的基础上引进了一些网络安全新技术，将安全防护工作上升到一个新的高度。

在安全规划中，按照“纵深防御，重点保护”的策略，对网络中的不同等级保护级别的资源实现不同程度的防护措施：数据传输加密方面，在机房对机房的数据传输采用了VPN数据加密技术，从浏览器到服务器端将HTTP转变成HTTPS，防止信息在网络传输中被窃取和破坏；边界防护方面，通过部署防火墙、IPS、终端安全管理、防病毒网关等安全防护设备，防止非法访问，部署网闸负责内外网之间的数据交互；信息安全监测方面，部署态势感知、IDS和漏洞扫描系统，加强对网络非法活动的监测，及时发现网络层面和操作系统的安全漏洞；安全审计方面，部署数据库审计、日志审计、网络审计、入侵检测和桌面管理等系统，实现全面的网络安全审计体系，对于行为记录，事故溯源做到有据可查；病毒防护方面，构建各网络全方位的病毒防范体系，采用包括杀毒软件、邮件安全网关以及防病毒硬件网关等系列产品构筑强大有效的网络防病毒体系；容灾备份方面，三级以上重要应用系统建立数据备份，包括同城灾备、异地容灾系统建设，以保证关键业务的系统和数据有效备份；身份认证方面，加强身份认证系统和授权系统保证数据的真实有效和不可抵赖性。访问控制方面，建立不同权限的管理员用户，做到管理权限最小化，避免管理员权限过大导致无法对管理员的行为进行监管、制约。

在金保工程网络安全的建设中，我们从人员观念、网络环境、流程制度、安全监测等方面进行全面的设计，通过一段时间的验证，起到了不错的效果，金保工程的网络安全新技术应用中有几个明显的转变：

2.1 黑名单到白名单的转变

传统的网络安全，是默认服务器环境安全，基于边界展开防护工作，通过防火墙、IDS等网络安全设备的拦截，也就是设置“黑名单”，禁止我们认为具有威胁的访问和端口开放。但是黑客通常可以利用一些平时不常用的端口或者漏洞渗透到系统网络中，造成系统严重的安全隐患。新一代的安全防护体系“白名单”讲究的是“最小必须”的原则，在全面禁止访问的前提下，将需要的IP和端口允许访问，也就是“白名单”的体系，防护范围也从边界的防护中上升到了服务器与服务器之间的“东西向防护”体系建设中。

2.2 被动防护到主动监测的转变

传统的网络安全防护手段都是防火墙、IDS、网页防篡改、数据库审计等等防御手段，设置好的安全防守等待进攻，但在日常的工作中我们也发现了一些问题，传统的防御手段，发生入侵事件很难发现，一般都是造成后果后去回查才能够发现入侵的痕迹，缺少主动发现预警的机制。为改变这种状态，人社厅在专网环境下引入了网络安全态势感知、漏洞扫描以及“天眼”等各类网络安全防护系统，通过主动监测和时时监测对专网环境加强安全防护，定期出具威胁报告，按照安全级别分成高风险、中风险和低风险，并组织开展信息安全整改，有效地加强了主动监测能力和手段。

2.3 简单密码到人员认证的转变

账户密码这一传统的登录方式在我们信息化建设中占据了相当长的时间，一定的时期中我们还在为10位综合型密码的安全管理进行狠抓不懈。但2020年《密码法》的颁布实施，对数据加密和人员身份认证的问题提出了更高的要求。为了保障人员登录安全性和不可抵赖性，人力资源和社会保障部的信息系统引入了动态口令的认证机制，通过手机绑定电子社会保障卡来完成实名认证，通过手机扫描二维码来获取登录的动态口令的方式在广大业务系统中陆续展开了应用，有效地解决了密码不安全和终端人员认证的难题。

2.4 数据明文传输到密文传输的转变

一些老旧系统在系统开发中大部分采用的是明文传输和存储，这样在软件开发和应用上以及一些后台操作上都有很大的便利，但这样也给黑客提供了方面的条件。目前按照《密码法》的要求，在数据传输和存储过程要进行数据加密，包括鉴别信息、个人敏感信息或重要业务敏感信息等。人社厅系统在传输过程中使用网络层SSL VPN加密协议，在终端访问上使用应用层HTTPS等加密传输协议，达到数据传输和存储的完整性以及保密性。

3 金保工程网络安全实施中遇到的难点问题

网络安全防护就是一个木桶的效应，不能存在短板，必须综合发力，全面防护。在人社厅金保工程网络安全建设中，我们在实施中也发现了一些难点问题：

3.1 管理人员的安全意识薄弱

计算机信息化技术在业务经办过程中的发展，经历了一个由无到有，由弱变强的过程，业务系统的安全性也越来越重要，很多人关注度一直停留在业务经办上，没有认识到安全的重要性，被动的开展网络安全工作，甚至有一些安全管理人员不知道安全都要做什么，怎么做，对网络安全危害认识不清，网络安全意识模糊。

3.2 网络安全规范化、系统化程度不完善

安全的防护是相互的，在予以信息系统提供更多安全，给黑客入侵造成更大的阻碍的同时，也给软件开发人员的操作上带来许多不便，既“他不方便的同时，你也不方便”。一个普遍的定为还存在偏差，那就是很多安全管理人员的认识不到位，还是从操作的角度思考安全，认为有的安全要求影响了维护操作的顺畅，从自身上就消极抵制安全管理的落实。

3.3 运维人员账号管理繁杂，无法有效管理

由于设备的增多，造成在系统和设备维护过程中，需要记录和维护的工作强度增大。对于系统进行维护的人员，其登录方式以及登录密码因为维护的设备增多而成了一个工作难题，管理账号人员对账号的有效管理也增加难度，出现问题时无法及时根据审计记录查询到相关责任所在。

4 解决措施

4.1 加强人员的网络安全意识培养

平均每年至少召开一次全厅范围的信息安全培训，将网络安全教育工作常态化。人社厅多次邀请省公安厅网络安全专家、软件公司的网络安全专家、等保测评公司的专家，全方位对网络安全进行全面的解读。通过解读网络安全法律法规，对网络安全工作人员的权利义务以及工作内容进行了详细得到解读，通过警示教育案例的严重后果给大家敲响警钟，筑牢网络安全的堤坝；通过等级保护测评和密码应用安全评估的培训，让我们知道我们系统安全建设的标准；通过安全专家将一些前沿科技，开拓我们的视野。

4.2 严格规范工作流程及管理制度

按照等级保护要求结合金保工程信息系统特点，全面制定了《辽宁省人力资源和社会保障厅网络安全等级保护管理制度》和《辽宁省人力资源和社会保障厅密码应用安全管理制度》。包括：总体方针、安全策略、人员管理制度、系统管理制度、运维管理制度等内容。并组织各业务系统负责人针对本业务系统开展全流程梳理，将安全制度落到实处。

4.3 加强账号的权限分配和监督管理

通过部署堡垒机集中管理，多系统统一登录，分权限管理。运维人员将繁多的账号密码绑定在堡垒机中的个人账户下，只需记录并及时变更堡垒机的账户密码就满足安全需求，管理者通过堡垒机的账户使用下发和回收权限。通过堡垒机对人员的操作行为进行全程记录，对不允许的操作通过堡垒机进行屏蔽，实现运维人员的操作的全面规范管理。

5 结束语

金保工程网络是金保工程的重要组成部分，是数据向上集中，服务向下延伸的渠道，是实现同人同城同库的基础条件，网络安全关系着数据安全，网络安全直接关系到金保工程建设的成败。本文首先通过对金保工程及其网络结构分析，明确金保工程以及网络安全的重要性；其次通过描述金保工程新技术在网络安全建设中的应用，表明了网络安全新技术应用到金保工程专网建设中能够取得显著的效果；最后通过技术实施过程中发现问题并对问题进行分析解决，为网络安全新技术应用到金保工程专网中提供了丰富的经验。