人力資源和社會保障行業省級數據中心網絡安全現狀分析和規劃思路

楊豐挺

摘要：該文分析了人力資源和社會保障行業網絡安全現狀以及存在問題，同時針對問題提出了解決的思路和方案。

關鍵詞：人力資源；社會保障；網絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）36-0021-02

隨著全國人力資源和社會保障信息化的建設，業務專網和應用系統已經具備了一定的安全防護能力，人力資源和社會保障業務正向省集中、全覆蓋、廣服務的方向發展，急需建立系統性的網絡安全防護體系。

1 網絡安全現狀與問題

1.1 網絡安全現狀

一是國際網絡安全形勢日趨復雜，境內外網絡安全威脅日益嚴重。網絡安全問題已成為世界各國共同關注的焦點，發達國家紛紛將網絡安全上升到國家安全戰略的高度，并頒布了網絡空間安全戰略。敵對勢力和黑客組織的網絡惡意攻擊規模和范圍日益擴大。我國對網絡安全也高度重視，早在2003年就提出了“積極防御，綜合防范”的方針。2014年2月27日我國成立中央網絡安全和信息化領導小組，將“網絡安全”提升到國家安全、社會治理和軍隊建設的戰略層面。人力資源社會保障部根據國家及自身行業發展要求也相繼下發了相應文件，對如何落實國家信息安全等級保護制度，加強信息系統安全體系建設，確保信息系統安全穩定運行等網絡安全工作作出了明確要求。

二是近年來人力資源和社會保障行業進入一個快速發展時期，與百姓切身利益密切相關的就業、社會保障、醫療保險等對外公共服務為主的信息系統建設工作不斷推進。對外公共服務的信息系統（如網上申報系統、社保查詢系統等）數量逐年增多；社會公眾對信息系統業務服務的依賴性越來越強；信息系統提供的公共服務類型和方式（如門戶網站、手機APP應用等）不斷增多；信息系統服務覆蓋的人口數量激增導致社會公眾對公共服務質量的要求也愈發突出；同時信息化建設開始由建設階段轉為運維階段，對信息系統安全運維、穩定服務的要求越來越高；這些都對人力資源和社會保障行業的網絡安全提出了更加嚴峻的挑戰。

三是省級數據中心雖配置和制定了相關的網絡安全設備和安全制度規范，但整個行業的網絡安全工作機制還不夠完善，主要表現在網絡安全意識較為落后，缺乏統一規劃，在網絡安全方面長期存在“重設備、輕服務、重建設、輕運維”的問題。

1.2 主要問題

一是尚未形成完善的技術保障體系。目前省級數據中心陸續購買和配備了一些安全產品，對基礎網絡與信息系統起到了一定的保護作用，但尚未形成完善的技術保障體系。尤其在網站安全防護上，由于各部門網站建設分散，目前只能通過在管理制度對網站安全管理作出要求，無法做到技術上統一防范。

二是缺乏網絡安全體系總體規劃，管理體系建設工作緩慢。網絡安全是一個系統工程，不能采取“頭疼醫頭、腳疼醫腳”的被動管理方式，必須全盤統籌、統一規劃，形成完善的網絡安全體系。網絡安全必須從技術和管理兩個方面齊頭并進。大部分基礎網絡和信息系統安全建設從技術保障手段起步，在網絡安全管理方面，其工作尚未系統開展，在風險評估、系統加固、管理體系建設、運維保障體系建設等方面均需要進一步開展工作。

2 建設目標與原則

2.1 建設目標

按照國家及行業網絡安全的相關法律、法規要求，以“統一規劃、綜合防御、技術管理并重”的工作指導思想，通過對物理、網絡、主機、數據和應用各個層面，貫穿保護、檢測、響應、恢復等各個環節的網絡安全保障服務建設，在辦公內網、業務專網、互聯網上構建全面、完整、高效的網絡安全保障體系，為行業信息化發展提供堅實的基礎。

統一規劃建設，是指對以省為單位進行網絡安全統籌規劃，按照統一的技術標準和管理規范實施建設；全面綜合防御，是指在技術層面上綜合使用多種安全機制，將不同安全機制的保護效果有機地結合起來，構成完整的立體防護體系；技術管理并重，是指將安全管理體系與技術防護體系相互配合，實現最佳的保護效果；保障運行安全，是指綜合利用多種安全保障機制，保證網絡和信息系統的運行安全。

2.2 建設原則

人力資源和社會保障行業網絡安全建設應遵循“分域保護、突出重點、縱深防御、集中管理”的建設原則。

2.2.1 分域保護

網絡安全保障體系建設在總體架構上將按照分域保護原則進行，參考IATF《信息保障技術框架》，將網絡劃分為不同的安全區域進行分域控制和防護。各個安全區域內部的網絡設備、服務器、終端、應用系統形成單獨的系統環境；各個安全區域之間的訪問關系形成明確邊界。

2.2.2 突出重點

在全面綜合防御指導思想下，根據系統應用業務重要程度及實際安全需求，突出網絡安全防護重點，實行分級、分類、分階段保護。加強對關鍵基礎網絡和信息系統的安全運維和監管。

2.2.3 縱深防御

網絡安全保障體系主要包括技術、管理和運維三個部分，應針對通信網絡、區域邊界、系統環境，綜合采用訪問控制、入侵檢測、惡意代碼法防范、安全審計、防病毒、數據備份等多種技術和措施，實現業務應用的可用性、完整性和保密性保護。從外到內形成一個縱深的安全防御體系，增強信息系統整體的安全保護能力。

2.2.4 集中管理（部署）

通過建設集中的安全管理平臺和安全管理中心，實現對信息資產、安全事件、安全風險、訪問行為等的統一分析與監管，通過關聯分析技術，使系統管理人員能夠迅速發現問題，定位問題，有效應對安全事件的發生。

3 建設內容

3.1 網絡安全技術保障體系

3.1.1 網絡邊界安全防護體系建設

重新梳理網絡安全架構，劃分安全區域，界定網絡邊界，采取技術措施加強網絡邊界的安全保護。在前期建設完成的邊界訪問控制（防火墻和物理隔離網閘等設備）的基礎上，加強安全區域之間的訪問控制、網絡邊界惡意代碼防范、網絡準入控制、內網用戶非法外聯行為管控、流量控制和上網行為管理、關鍵網絡設備和服務器運維操作安全審計等問題。

3.1.2 數據中心安全防護體系建設

明確省級數據中心需要保護的關鍵資產、數據和應用，對核心數據區域實施重點防護。重點解決數據庫安全審計、數據庫安全防護、異地數據備份與恢復等問題。

3.1.3 應用系統安全防護體系建設

以應用系統持續運行為目標，確保其能夠提供持續穩定的信息服務。在前期PKI CA身份認證的基礎上，加強應用系統訪問控制、數據傳輸安全保密、應用系統漏洞檢測等問題。

3.1.4 信息內容安全保護體系建設

確認信息內容保護重點，制定信息內容發布管理規范。重點解決網站內容保護、郵件內容過濾、文檔失泄密管理、互聯網輿情監控等問題。

3.2 網絡安全管理保障體系

3.2.1 網絡安全管理體系建設

選擇專業的安全服務機構，提供咨詢服務，在專業咨詢服務的基礎上建立適合省級數據中心網絡現狀的網絡安全管理體系，并持續運行和改進。主要包括安全方針政策確立、安全策略制定、安全組織機構管理、人員安全管理、安全建設管理制度、安全運維管理制定等內容。

3.2.2 網絡安全溝通機制建設

建立溝通協作機制，加強與網絡安全主管部門、不同行業、上下級單位、網絡安全專家隊伍、網絡安全服務機構的溝通與協作。

3.2.3 網絡安全教育與培訓

對網絡與信息系統運維管理人員定期開展安全教育與培訓，通過教育培訓和認證考試增強管理人員安全意識，提高安全技術能力和安全管理能力。

3.3 網絡安全運行保障體系

3.3.1 ITSS運維服務體系建設

ITSS（信息技術服務標準）是由國家信息技術服務標準工作組研究制定的一套體系化的信息技術服務標準庫。通過ITSS運維服務體系建設和ITSS認證，實現人員、資源、技術、流程等IT服務組成要素的標準化，實現IT運維服務規劃設計、部署實施、服務運營、服務改進、監督管理的全生命周期管理，從而提升運維服務質量、優化運維服務成本、降低運維服務風險，促進運維服務的標準化和運維服務能力的持續提升。

3.2.2 信息系統安全評估與加固

選擇專業的安全服務機構，依據信息安全等級保護相關政策要求，對關鍵網絡設備、服務器、數據庫、應用系統和中間件等進行定期進行安全評估。通過安全評估，了解信息系統的安全現狀、防護措施以及所面臨的安全風險，并對存在安全風險的信息系統進行漏洞修補和安全加固。

3.3.3 網站安全監測

選擇專業的安全服務機構，對省本級及下屬單位網站提供包括網頁木馬、網頁篡改、網站可用性、網站關鍵詞和網站漏洞在內的安全監測服務，保障網站系統的穩定運行。

3.3.4 災備與應急響應體系建設

建立異地數據備份中心，為重要信息系統提供數據備份服務。建設網絡與網絡安全應急響應體系，包括應急隊伍建設、應急預案制定、應急演練、突發事件應急處置等。

參考文獻：

[1] 康志輝. 計算機網絡安全體系的一種框架結構及其應用[J]. 福建師大福清分校學報， 2016（5）：17-18.

[2] 郝麗蓉. 網絡安全體系結構的設計與實現[J]. 中國新技術新產品， 2015（9）：102-105.