文/王為光

1 目前社保網(wǎng)上業(yè)務(wù)辦理系統(tǒng)存在的安全隱患

1.1 技術(shù)角度存在的隱患

從技術(shù)角度，社保網(wǎng)上業(yè)務(wù)辦理系統(tǒng)面臨從互聯(lián)網(wǎng)外部進行攻擊的風(fēng)險，最近幾年常發(fā)生的有五個幾個方面的問題。一是網(wǎng)上業(yè)務(wù)辦理系統(tǒng)框架問題。網(wǎng)上業(yè)務(wù)辦理系統(tǒng)的框架漏洞很容易被網(wǎng)絡(luò)自動攻擊工具所查找到，框架漏洞會造成整個網(wǎng)上系統(tǒng)被攻破；二是網(wǎng)絡(luò)安全鏈路問題。網(wǎng)絡(luò)安全鏈路能夠保障整個網(wǎng)絡(luò)訪問路徑的安全，其中任何一個環(huán)節(jié)的缺失或者存在漏洞都有可能造成整個網(wǎng)絡(luò)安全鏈路的防護失敗，進而造成信息泄露；三是系統(tǒng)軟件漏洞。隨著信息技術(shù)的快速發(fā)展，系統(tǒng)軟件出現(xiàn)漏洞是很正常的事情，特別是對于剛被發(fā)現(xiàn)的漏洞很容易被利用，如不及時發(fā)現(xiàn)并打補丁進行修復(fù)，就會存在較大的信息安全隱患；四是Web 漏洞。Web 漏洞包括SQL 注入漏洞、跨站腳本漏洞、弱口令漏洞、Struts2 遠程命令執(zhí)行漏洞、文件上傳漏洞、未加密登錄請求、HTTP 報頭追蹤漏洞等多種常見方式，任何一個漏洞都是安全隱患；五是數(shù)據(jù)傳輸問題。社保網(wǎng)上業(yè)務(wù)辦理系統(tǒng)涉及到數(shù)據(jù)的傳輸，外網(wǎng)到內(nèi)網(wǎng)的傳輸，以及與上級部門的信息傳輸?shù)?。?shù)據(jù)在傳輸過程中，如未進行加密，進行明文傳輸，就會存在數(shù)據(jù)被劫持、信息泄露的風(fēng)險。

1.2 管理角度存在的隱患

1.2.1 信息部門管理

信息部門負責(zé)整體系統(tǒng)的運行，信息人員如果對網(wǎng)上業(yè)務(wù)辦理系統(tǒng)的不了解，或者管理不到位可能造成信息安全存在風(fēng)險。

1.2.2 第三方軟件開發(fā)人員及運維人員管理

第三方軟件開發(fā)及運維人員對數(shù)據(jù)庫中數(shù)據(jù)存在批量導(dǎo)出風(fēng)險，特別是第三方人員的數(shù)據(jù)庫DBA（數(shù)據(jù)庫管理人員）的拖庫風(fēng)險，同時運維人員違規(guī)訪問數(shù)據(jù)庫等都會造成系統(tǒng)數(shù)據(jù)的泄露。

1.2.3 測試環(huán)境管理

信息系統(tǒng)都涉及到一個測試環(huán)境的問題，軟件系統(tǒng)上線前需要在測試環(huán)境進行測試、聯(lián)調(diào)。測試環(huán)境的數(shù)據(jù)不應(yīng)為真實的生產(chǎn)環(huán)境的數(shù)據(jù)，如果測試環(huán)境的數(shù)據(jù)沒有經(jīng)過數(shù)據(jù)處理或者測試環(huán)境的數(shù)據(jù)部分為生產(chǎn)環(huán)境的真實數(shù)據(jù)，都會存在數(shù)據(jù)泄漏風(fēng)險。

2 社保網(wǎng)上業(yè)務(wù)辦理系統(tǒng)安全防護建設(shè)

2.1 加強規(guī)章制度建設(shè)

加強建立信息安全管理規(guī)章制度，根據(jù)《信息系統(tǒng)安全等級保護基本要求》，《信息系統(tǒng)安全管理要求》，《數(shù)據(jù)庫安全管理規(guī)范》等標(biāo)準(zhǔn)規(guī)范要求，結(jié)合自己的實際情況在信息安全管理制度、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理、數(shù)據(jù)庫安全管理等方面建立健全符合實際需要的安全管理制度。

2.2 提升技術(shù)防護建設(shè)

2.2.1 漏洞掃描

通過Web 掃描器和漏洞掃描設(shè)備進行漏洞掃描，可以針對性的發(fā)現(xiàn)漏洞，根據(jù)漏洞掃描結(jié)果，及時進行漏洞修復(fù)。

2.2.2 滲透測試

通過人工模擬惡意攻擊者在不同的位置（比如從內(nèi)網(wǎng)、從外網(wǎng)等位置）利用各種方式對某個特定網(wǎng)絡(luò)進行攻擊測試并發(fā)現(xiàn)漏洞的技術(shù)和攻擊手段，對網(wǎng)絡(luò)鏈路、系統(tǒng)軟件、服務(wù)器、應(yīng)用系統(tǒng)的安全性作深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞的過程。完成滲透測試之后，根據(jù)結(jié)果對漏洞進行及時修復(fù)。

2.2.3 系統(tǒng)安全框架防護

在系統(tǒng)建設(shè)時根據(jù)安全要求，完成安全框架的設(shè)計和建設(shè)。比如對訪問IP 進行實時監(jiān)控，根據(jù)訪問時長、頻率等進行記錄分析，及時發(fā)現(xiàn)攻擊行為并自動添加黑名單，保護系統(tǒng)安全。

2.2.4 安全加固

安全加固包括操作系統(tǒng)加固、數(shù)據(jù)庫加固、中間件加固等。根據(jù)信息安全的相關(guān)標(biāo)準(zhǔn)和要求，對系統(tǒng)所涉及網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、主機設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等進行安全加固。

2.2.5 安全巡檢

安全巡檢包括物理安全、設(shè)備安全、主機安全、應(yīng)用安全等方面的定期巡檢。通過對部署的所有的信息化設(shè)備、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)的檢查等，能夠早期發(fā)現(xiàn)各設(shè)備、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)的故障征兆和性能隱患、以便及時預(yù)防和排除，保證和保障所有信息化設(shè)備及應(yīng)用系統(tǒng)正常、安全的運行。

2.2.6 實時監(jiān)控

通過自動化程序，對社保網(wǎng)上業(yè)務(wù)辦理系統(tǒng)服務(wù)器進行實時監(jiān)控，及時發(fā)現(xiàn)服務(wù)器問題。對應(yīng)用服務(wù)通過監(jiān)控軟件實施7×24 小時全天候監(jiān)控，對系統(tǒng)存在的異常情況，通過郵件、短信、電話等多種形式及時通知管理人員，以便及時進行維護。

2.2.7 密碼安全防護和密文傳輸

加強用戶密碼的安全認證，避免使用弱密碼；用戶修改密碼時，不允許使用弱密碼。在數(shù)據(jù)的前后端交互中，對敏感信息進行加密傳輸，保護數(shù)據(jù)不會輕易被劫取、篡改。

2.2.8 讀寫分離

添加數(shù)據(jù)訪問層，將對數(shù)據(jù)庫的操作通過不同用戶權(quán)限進行讀寫分離，增強數(shù)據(jù)安全防護。

2.2.9 使用HTTPS 協(xié)議

HTTP 協(xié)議信息流為明文傳輸，攻擊者可截取數(shù)據(jù)報文或偽造站點劫持用戶訪問，造成數(shù)據(jù)信息泄漏。使用HTTPS 協(xié)議訪問，通過對數(shù)據(jù)進行加密傳輸，加強用戶數(shù)據(jù)的安全。

2.3 加大人員培訓(xùn)管理

2.3.1 信息人員隊伍建設(shè)

社保經(jīng)辦機構(gòu)信息部門負責(zé)信息化的整體運行。應(yīng)該加強對信息部門工作人員的安全培訓(xùn)，提高技術(shù)水平，提升安全防范意識，規(guī)避信息安全風(fēng)險。同時根據(jù)系統(tǒng)特征，配備專門網(wǎng)絡(luò)維護人員并建立緊急預(yù)案，對隨時可能到來的攻擊以及網(wǎng)絡(luò)癱瘓等隨機狀況進行有效監(jiān)督和及時處理。

2.3.2 第三方開發(fā)、運維公司隊伍建設(shè)

對第三方開發(fā)人員及運維人員進行安全培訓(xùn)，一方面提升開發(fā)及運維過程中的系統(tǒng)安全，在程序開發(fā)及維護過程中，加強代碼的安全管理和審計，不留漏洞；另一方面對涉及到敏感數(shù)據(jù)的系統(tǒng)開發(fā)人員及維護人員簽訂保密協(xié)議，從法律層面對人為故意信息泄露給予預(yù)防。

3 結(jié)語

以上從多個角度分析了社保網(wǎng)上業(yè)務(wù)辦理系統(tǒng)存在的風(fēng)險問題，并給出了系統(tǒng)安全防護措施的一些建議。社保網(wǎng)上業(yè)務(wù)辦理系統(tǒng)在為公眾提供便利的社保服務(wù)的同時，對其系統(tǒng)的安全性、數(shù)據(jù)的安全性等切實加強保護，可以有力保障社保參保人員的信息安全。