王 遠

（煙臺市福山區(qū)社會保險服務(wù)中心，山東 煙臺 265500）

當(dāng)前我國在信息安全方面頒布實施了一系列法規(guī)及技術(shù)標準，如《通信網(wǎng)絡(luò)安全防護管理辦法》《信息安全等級保護管理辦法》等，這些規(guī)定均對信息網(wǎng)絡(luò)安全作出了明確的規(guī)定。但是具體到社保系統(tǒng)來看，還未建立起相應(yīng)的信息安全管理制度，以致于社保信息系統(tǒng)存在較多的安全隱患。

1 社保系統(tǒng)的管理現(xiàn)狀

從我國社保系統(tǒng)管理的現(xiàn)狀來看，仍然存在許多系統(tǒng)漏洞，這反映出了我國關(guān)于國計民生的重要信息系統(tǒng)在安全防護上存在不足。社保系統(tǒng)漏洞主要表現(xiàn)在以下幾個方面：

1.1 結(jié)構(gòu)化查詢語言注入漏洞

結(jié)構(gòu)化查詢語言（SQL）注入系統(tǒng)中，可以達到欺騙服務(wù)器執(zhí)行惡意的命令后果，表現(xiàn)為不安全的數(shù)據(jù)庫配置、不合適的轉(zhuǎn)義字符處理、不當(dāng)?shù)腻e誤處理等，這一漏洞的存在，給予攻擊者在數(shù)據(jù)庫惡意執(zhí)行命令的機會，且可以探測到數(shù)據(jù)庫中重要的敏感信息。

1.2 越權(quán)訪問漏洞

越權(quán)訪問也是社保系統(tǒng)漏洞的一大表現(xiàn)，指的是在系統(tǒng)檢查授權(quán)時存在紕漏，以致于攻擊者通過不正當(dāng)?shù)氖艿嚼@過權(quán)限檢查，從而訪問或操作服務(wù)器的代碼，這樣攻擊者便可以直接獲取所有用戶的信息，進而造成大量的信息泄露。

1.3 框架注入漏洞

框架注入指的是在網(wǎng)站站點中通過創(chuàng)建一個未命名的框架，且這個框架中內(nèi)容可以是任何瀏覽器程序窗口的內(nèi)容。如果存在框架注入漏洞，攻擊者便可以同創(chuàng)設(shè)一個看似無害的網(wǎng)站站點，并每隔一段時間自動運行腳本，雖然它的外觀與設(shè)備網(wǎng)站框架的常規(guī)內(nèi)容相同，但是其中包含木馬功能，一旦有用戶輸入就會將所有輸入的數(shù)據(jù)提交給攻擊者。

1.4 弱口令漏洞

弱口令漏洞是當(dāng)前社保系統(tǒng)中最簡單的漏洞之一，指的是容易被破解的口令，主要表現(xiàn)為部分地區(qū)社保系統(tǒng)管理人員安全意識較薄弱，在設(shè)置高權(quán)限數(shù)據(jù)庫用戶時使用了弱密碼，這給系統(tǒng)敏感性泄漏創(chuàng)造了有利條件。

2 社保系統(tǒng)信息化管理模式的探討

2.1 各系統(tǒng)漏洞的解決方法

首先，針對社保系統(tǒng)存在的SPL注入漏洞，可從使用參數(shù)化過濾性語句、檢查用戶輸入合法性、加密處理用戶登錄名稱和密碼、控制數(shù)據(jù)庫訪問權(quán)限等措施，以此降低SOL注入的風(fēng)險。其次，針對越權(quán)訪問漏洞，主要是通過優(yōu)化程序設(shè)計的方式得以防范，即根據(jù)不同的應(yīng)用場景設(shè)計對應(yīng)的檢驗邏輯，并對數(shù)據(jù)的安全域進行劃分，以此對不同的安全域進行隔離。再次，針對框架注入漏洞，也需要優(yōu)化程序設(shè)計，但考慮每個會話中會有不同的命名框架，且難以預(yù)測框架名稱，為此可在每個框架名稱后附加用戶的會話令牌，以此實現(xiàn)有效防范。最后，針對弱口令漏洞，則需要加強系統(tǒng)管理員和用戶的安全教育，提升他們的安全意識，應(yīng)設(shè)置復(fù)雜度強的密碼，并定期修改。對于重要信息，應(yīng)單獨進行設(shè)置，避免與個人其他信息關(guān)聯(lián)。

2.2 加快信息安全防御體系的完善

要想提高社保系統(tǒng)信息安全管理水平，還需要從安全技術(shù)和管理制度兩個層面不斷完善。首先，在技術(shù)層面，在完善信息安全防御體系時，應(yīng)注重計算機網(wǎng)絡(luò)安全技術(shù)、防火墻技術(shù)、病毒防護技術(shù)、入侵檢測技術(shù)等技術(shù)的綜合運用，以此構(gòu)建出完整的網(wǎng)絡(luò)安全防護體系。其次，在管理制度方面，則需要加快完善信息安全方面的法規(guī)和技術(shù)標準，以此為社保系統(tǒng)安全管理和技術(shù)作用有效發(fā)揮提供可靠的制度支持。

2.3 優(yōu)化系統(tǒng)的架構(gòu)設(shè)計

為解決社保系統(tǒng)漏洞的問題，需要從全局的角度考慮，以此探索出科學(xué)有效的信息化管理模式。首先，在大數(shù)據(jù)背景下，可通過構(gòu)建大數(shù)據(jù)分析平臺，以此進行大數(shù)據(jù)監(jiān)管、大數(shù)據(jù)服務(wù)、大數(shù)據(jù)統(tǒng)一等工作，可有效對社保系統(tǒng)中相關(guān)業(yè)務(wù)進行管理分析，并為系統(tǒng)管理提供有效的技術(shù)支持。比如，可通過云結(jié)構(gòu)設(shè)計，將一切數(shù)據(jù)信息存放在云上，達到共享訪問的目的。同時通過多級權(quán)限設(shè)計，讓系統(tǒng)形成一個統(tǒng)一的認證接口，保證數(shù)據(jù)訪問無障礙的同時，確保系統(tǒng)信息安全。其次，應(yīng)建立一個統(tǒng)一的社保信息系統(tǒng)，將各地獨立運營的局限打破，然后在此基礎(chǔ)基礎(chǔ)上配置專業(yè)的運維隊伍，實現(xiàn)對社保信息系統(tǒng)的運維管理，確保社保信息系統(tǒng)漏洞修復(fù)及安全檢測工作專業(yè)化開展。再次，綜合運用各種數(shù)據(jù)分析技術(shù)，實現(xiàn)數(shù)據(jù)交換、基礎(chǔ)計算、管理分析、實時分析等集為一體的社保信息平臺，并使用OGG相關(guān)技術(shù)捕獲系統(tǒng)中增量信息，使用流程調(diào)度平臺實現(xiàn)系統(tǒng)的維護及調(diào)用，實現(xiàn)對社保系統(tǒng)數(shù)據(jù)的統(tǒng)一管理。最后，建立健全國家公民信息安全體系，將社保信息、醫(yī)療信息、戶籍信息等進行統(tǒng)一管理，避免信息重復(fù)建設(shè)和資源浪費，也能夠在政府和社會化管理的基礎(chǔ)上實現(xiàn)智能化管理和聯(lián)動分析，從而減少分散管理和獨立運營過程中存在的信息泄露風(fēng)險。

3 結(jié)語

綜上，雖然我國加強了網(wǎng)絡(luò)信息安全防護的關(guān)注，并頒布實施了一系列政策法規(guī)及技術(shù)標準，但是從實際運行的情況來看，對于社保系統(tǒng)等敏感信息系統(tǒng)的涉及還不足，還需要針對社保信息系統(tǒng)中存在的問題及漏洞，加快完善相應(yīng)的信息安全管理制度，同時要加大技術(shù)層面的投入，通過建立一體化的信息安全防御體系，以此加強社保系統(tǒng)的安全防護，進而保證個人信息的安全。