鄧連峰

遼寧省社會(huì)保險(xiǎn)事業(yè)服務(wù)中心 遼寧 沈陽(yáng) 110000

引言

隨著科學(xué)技術(shù)的迅猛發(fā)展，計(jì)算機(jī)越來越多地應(yīng)用于我們的生產(chǎn)生活之中。云技術(shù)、大數(shù)據(jù)、物聯(lián)網(wǎng)的相繼出現(xiàn)，轉(zhuǎn)型后的政府機(jī)構(gòu)在公共服務(wù)上也提出了數(shù)據(jù)共享、“一網(wǎng)一門一次” 等更多的便民要求，業(yè)務(wù)系統(tǒng)的信息化和網(wǎng)絡(luò)化程度不斷增大，網(wǎng)絡(luò)安全在信息化建設(shè)中的重要性也逐漸凸顯出來。

2014年陳帥等人[1]針對(duì)黑龍江省金保工程的信息化局建設(shè)，提出了通過SSL VPN技術(shù)應(yīng)用于廣域網(wǎng)的金保工程專網(wǎng)中，表明了在金保工程中利用網(wǎng)絡(luò)安全技術(shù)，能夠加快金保工程的信息化建設(shè)并取得了較好的結(jié)果。劉云峰等人[2]對(duì)金保工程在軟件開發(fā)過程中的質(zhì)量管理研究，也證明了金保工程是以電子計(jì)算機(jī)網(wǎng)絡(luò)、服務(wù)器、系統(tǒng)軟件作為基礎(chǔ)，其實(shí)施的成敗關(guān)乎著整個(gè)區(qū)域，甚至涉及國(guó)家經(jīng)濟(jì)建設(shè)與發(fā)展，因此在金保工程中利用新型的網(wǎng)絡(luò)安全技術(shù)也是值得關(guān)注的地方。2019年柴立、解建倉(cāng)等人，通過分析傳統(tǒng)"金保工程"的特點(diǎn)，提出了運(yùn)用虛擬化技術(shù)和云計(jì)算平臺(tái)，來搭建“金保工程”云數(shù)據(jù)中心，并將其用于省級(jí)人社“金保工程”的建設(shè)中，取得較好的實(shí)際應(yīng)用效果，表明了新型網(wǎng)絡(luò)技術(shù)在金保工程中的應(yīng)用，具有很強(qiáng)的實(shí)用價(jià)值。

隨著互聯(lián)網(wǎng)的快速發(fā)展，我們的工作、學(xué)習(xí)等各方面都與互聯(lián)網(wǎng)緊密聯(lián)系在一起，而且越來越多的用戶都可以在足不出戶的情況下，通過互聯(lián)網(wǎng)以及各政府部門開放的應(yīng)用系統(tǒng)和平臺(tái)辦理各種業(yè)務(wù)，但隨之具來的就是數(shù)據(jù)丟失、財(cái)產(chǎn)被盜，系統(tǒng)被惡意破壞，機(jī)密信息被竊取等各種風(fēng)險(xiǎn)，為業(yè)務(wù)經(jīng)辦創(chuàng)造一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境刻不容緩。網(wǎng)絡(luò)安全沒有絕對(duì)的安全，攻擊和防守都是在不斷的新科技應(yīng)用中進(jìn)行博弈，網(wǎng)絡(luò)安全新技術(shù)在攻擊和防守中逐步嶄露頭角，發(fā)揮越來越重要的作用。近年來為保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展，各種網(wǎng)絡(luò)安全方面的立法及規(guī)章制度紛紛出臺(tái)。2017年我國(guó)頒布了《網(wǎng)絡(luò)安全法》。 2019年在網(wǎng)絡(luò)安全領(lǐng)域等級(jí)保護(hù)2.0以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的正式實(shí)施，從責(zé)任制度、信息系統(tǒng)、物理環(huán)境、網(wǎng)絡(luò)安全以及人員管理上規(guī)范和加強(qiáng)信息系統(tǒng)的安全建設(shè)工作[5]。

1 金保工程及其網(wǎng)絡(luò)現(xiàn)狀

金保工程是國(guó)家十三金工程之一，是通過利用先進(jìn)的信息化技術(shù)，以部、省、市、區(qū)縣四級(jí)網(wǎng)絡(luò)作為依托，涵蓋各級(jí)經(jīng)辦機(jī)構(gòu)、社區(qū)街道、醫(yī)院藥店等基層組織，支持勞動(dòng)和社會(huì)保障業(yè)務(wù)經(jīng)辦（社會(huì)保險(xiǎn)、就業(yè)人才、勞動(dòng)關(guān)系）、公共服務(wù)、基金監(jiān)管以及宏觀決策等核心應(yīng)用，是覆蓋全國(guó)的勞動(dòng)和社會(huì)保障信息化建設(shè)的重要民生工程。

金保工程專網(wǎng)是人力資源和社會(huì)保障部推行的與互聯(lián)網(wǎng)完全物理隔離的業(yè)務(wù)專網(wǎng)，縱向上遼寧省人力資源和社會(huì)保障廳向上連接人力資源和社會(huì)保障部，向下通過主備專線與14個(gè)地市的人力資源和社會(huì)保障局?jǐn)?shù)據(jù)中心進(jìn)行互聯(lián)；本級(jí)內(nèi)部通過專線連接省就業(yè)中心、省社保中心兩大中心，橫向通過專線與公安、地稅、財(cái)政、銀行、金融、統(tǒng)計(jì)等部門互聯(lián)。具有覆蓋面廣，承載業(yè)務(wù)系統(tǒng)多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜等特點(diǎn)。從2015年開始，遼寧省開展了金保工程二期建設(shè)，按照“數(shù)據(jù)向上集中，業(yè)務(wù)向下延伸”的總體要求開展省集中建設(shè)，按照“讓信息多跑路，百姓少跑腿”的要求開展了全面的公共服務(wù)建設(shè)，業(yè)務(wù)經(jīng)辦開始向網(wǎng)上經(jīng)辦進(jìn)行了全面轉(zhuǎn)型。

人力資源和社會(huì)保障部系統(tǒng)的公共服務(wù)建設(shè)所涉及的網(wǎng)絡(luò)總體上劃分為2個(gè)網(wǎng)絡(luò)：業(yè)務(wù)專網(wǎng)（內(nèi)網(wǎng)）和公共服務(wù)網(wǎng)（外網(wǎng)），內(nèi)外網(wǎng)之間通過網(wǎng)閘進(jìn)行物理邏輯隔離，保障內(nèi)外網(wǎng)之間的信息交換。將現(xiàn)有網(wǎng)絡(luò)劃分為不同區(qū)域，各區(qū)域之間開展邊界安全防護(hù)，核心區(qū)域網(wǎng)絡(luò)安全設(shè)備采用主備方式，業(yè)務(wù)專網(wǎng)出口部署冗余路由器，通過運(yùn)營(yíng)商鏈路連接全省14地市、省本級(jí)經(jīng)辦機(jī)構(gòu)和國(guó)家人社部，同時(shí)，通過電子政務(wù)內(nèi)網(wǎng)連接公安、地稅、財(cái)政等政府部門，路由器和核心交換機(jī)之間部署了入侵防御、防火墻等網(wǎng)絡(luò)安全設(shè)備；公共服務(wù)網(wǎng)的分為電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，電子政務(wù)外網(wǎng)主要用于公共服務(wù)平臺(tái)的系統(tǒng)維護(hù)工作，互聯(lián)網(wǎng)主要用于為百姓提供公共服務(wù)。在內(nèi)外網(wǎng)的核心交換機(jī)之間部署了網(wǎng)閘，進(jìn)行邏輯隔離，同時(shí)部署VPN網(wǎng)關(guān)、防火墻、防毒墻、入侵防御等安全防護(hù)設(shè)備。

2 網(wǎng)絡(luò)安全新技術(shù)在金保工程專網(wǎng)建設(shè)中的應(yīng)用

遼寧省金保工程承載著全省就業(yè)、社會(huì)保障、人事人才、勞動(dòng)關(guān)系等業(yè)務(wù)板塊，向下一直延伸到街道社區(qū)及村鎮(zhèn)，涉及全省所有老百姓的切身利益。具有網(wǎng)絡(luò)覆蓋廣，結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)時(shí)時(shí)性要求高等特點(diǎn)。2013年金保工程二期的建設(shè)中，遼寧省人社廳按照等級(jí)保護(hù)三級(jí)要求的標(biāo)準(zhǔn)全面開展了網(wǎng)絡(luò)環(huán)境建設(shè)，在傳統(tǒng)的安全建設(shè)的基礎(chǔ)上引進(jìn)了一些網(wǎng)絡(luò)安全新技術(shù)，將安全防護(hù)工作上升到一個(gè)新的高度。

在安全規(guī)劃中，按照“縱深防御，重點(diǎn)保護(hù)”的策略，對(duì)網(wǎng)絡(luò)中的不同等級(jí)保護(hù)級(jí)別的資源實(shí)現(xiàn)不同程度的防護(hù)措施：數(shù)據(jù)傳輸加密方面，在機(jī)房對(duì)機(jī)房的數(shù)據(jù)傳輸采用了VPN數(shù)據(jù)加密技術(shù)，從瀏覽器到服務(wù)器端將HTTP轉(zhuǎn)變成HTTPS，防止信息在網(wǎng)絡(luò)傳輸中被竊取和破壞；邊界防護(hù)方面，通過部署防火墻、IPS、終端安全管理、防病毒網(wǎng)關(guān)等安全防護(hù)設(shè)備，防止非法訪問，部署網(wǎng)閘負(fù)責(zé)內(nèi)外網(wǎng)之間的數(shù)據(jù)交互；信息安全監(jiān)測(cè)方面，部署態(tài)勢(shì)感知、IDS和漏洞掃描系統(tǒng)，加強(qiáng)對(duì)網(wǎng)絡(luò)非法活動(dòng)的監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)層面和操作系統(tǒng)的安全漏洞；安全審計(jì)方面，部署數(shù)據(jù)庫(kù)審計(jì)、日志審計(jì)、網(wǎng)絡(luò)審計(jì)、入侵檢測(cè)和桌面管理等系統(tǒng)，實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全審計(jì)體系，對(duì)于行為記錄，事故溯源做到有據(jù)可查；病毒防護(hù)方面，構(gòu)建各網(wǎng)絡(luò)全方位的病毒防范體系，采用包括殺毒軟件、郵件安全網(wǎng)關(guān)以及防病毒硬件網(wǎng)關(guān)等系列產(chǎn)品構(gòu)筑強(qiáng)大有效的網(wǎng)絡(luò)防病毒體系；容災(zāi)備份方面，三級(jí)以上重要應(yīng)用系統(tǒng)建立數(shù)據(jù)備份，包括同城災(zāi)備、異地容災(zāi)系統(tǒng)建設(shè)，以保證關(guān)鍵業(yè)務(wù)的系統(tǒng)和數(shù)據(jù)有效備份；身份認(rèn)證方面，加強(qiáng)身份認(rèn)證系統(tǒng)和授權(quán)系統(tǒng)保證數(shù)據(jù)的真實(shí)有效和不可抵賴性。訪問控制方面，建立不同權(quán)限的管理員用戶，做到管理權(quán)限最小化，避免管理員權(quán)限過大導(dǎo)致無法對(duì)管理員的行為進(jìn)行監(jiān)管、制約。

在金保工程網(wǎng)絡(luò)安全的建設(shè)中，我們從人員觀念、網(wǎng)絡(luò)環(huán)境、流程制度、安全監(jiān)測(cè)等方面進(jìn)行全面的設(shè)計(jì)，通過一段時(shí)間的驗(yàn)證，起到了不錯(cuò)的效果，金保工程的網(wǎng)絡(luò)安全新技術(shù)應(yīng)用中有幾個(gè)明顯的轉(zhuǎn)變：

2.1 黑名單到白名單的轉(zhuǎn)變

傳統(tǒng)的網(wǎng)絡(luò)安全，是默認(rèn)服務(wù)器環(huán)境安全，基于邊界展開防護(hù)工作，通過防火墻、IDS等網(wǎng)絡(luò)安全設(shè)備的攔截，也就是設(shè)置“黑名單”，禁止我們認(rèn)為具有威脅的訪問和端口開放。但是黑客通?？梢岳靡恍┢綍r(shí)不常用的端口或者漏洞滲透到系統(tǒng)網(wǎng)絡(luò)中，造成系統(tǒng)嚴(yán)重的安全隱患。新一代的安全防護(hù)體系“白名單”講究的是“最小必須”的原則，在全面禁止訪問的前提下，將需要的IP和端口允許訪問，也就是“白名單”的體系，防護(hù)范圍也從邊界的防護(hù)中上升到了服務(wù)器與服務(wù)器之間的“東西向防護(hù)”體系建設(shè)中。

2.2 被動(dòng)防護(hù)到主動(dòng)監(jiān)測(cè)的轉(zhuǎn)變

傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段都是防火墻、IDS、網(wǎng)頁(yè)防篡改、數(shù)據(jù)庫(kù)審計(jì)等等防御手段，設(shè)置好的安全防守等待進(jìn)攻，但在日常的工作中我們也發(fā)現(xiàn)了一些問題，傳統(tǒng)的防御手段，發(fā)生入侵事件很難發(fā)現(xiàn)，一般都是造成后果后去回查才能夠發(fā)現(xiàn)入侵的痕跡，缺少主動(dòng)發(fā)現(xiàn)預(yù)警的機(jī)制。為改變這種狀態(tài)，人社廳在專網(wǎng)環(huán)境下引入了網(wǎng)絡(luò)安全態(tài)勢(shì)感知、漏洞掃描以及“天眼”等各類網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，通過主動(dòng)監(jiān)測(cè)和時(shí)時(shí)監(jiān)測(cè)對(duì)專網(wǎng)環(huán)境加強(qiáng)安全防護(hù)，定期出具威脅報(bào)告，按照安全級(jí)別分成高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)，并組織開展信息安全整改，有效地加強(qiáng)了主動(dòng)監(jiān)測(cè)能力和手段。

2.3 簡(jiǎn)單密碼到人員認(rèn)證的轉(zhuǎn)變

賬戶密碼這一傳統(tǒng)的登錄方式在我們信息化建設(shè)中占據(jù)了相當(dāng)長(zhǎng)的時(shí)間，一定的時(shí)期中我們還在為10位綜合型密碼的安全管理進(jìn)行狠抓不懈。但2020年《密碼法》的頒布實(shí)施，對(duì)數(shù)據(jù)加密和人員身份認(rèn)證的問題提出了更高的要求。為了保障人員登錄安全性和不可抵賴性，人力資源和社會(huì)保障部的信息系統(tǒng)引入了動(dòng)態(tài)口令的認(rèn)證機(jī)制，通過手機(jī)綁定電子社會(huì)保障卡來完成實(shí)名認(rèn)證，通過手機(jī)掃描二維碼來獲取登錄的動(dòng)態(tài)口令的方式在廣大業(yè)務(wù)系統(tǒng)中陸續(xù)展開了應(yīng)用，有效地解決了密碼不安全和終端人員認(rèn)證的難題。

2.4 數(shù)據(jù)明文傳輸?shù)矫芪膫鬏數(shù)霓D(zhuǎn)變

一些老舊系統(tǒng)在系統(tǒng)開發(fā)中大部分采用的是明文傳輸和存儲(chǔ)，這樣在軟件開發(fā)和應(yīng)用上以及一些后臺(tái)操作上都有很大的便利，但這樣也給黑客提供了方面的條件。目前按照《密碼法》的要求，在數(shù)據(jù)傳輸和存儲(chǔ)過程要進(jìn)行數(shù)據(jù)加密，包括鑒別信息、個(gè)人敏感信息或重要業(yè)務(wù)敏感信息等。人社廳系統(tǒng)在傳輸過程中使用網(wǎng)絡(luò)層SSL VPN加密協(xié)議，在終端訪問上使用應(yīng)用層HTTPS等加密傳輸協(xié)議，達(dá)到數(shù)據(jù)傳輸和存儲(chǔ)的完整性以及保密性。

3 金保工程網(wǎng)絡(luò)安全實(shí)施中遇到的難點(diǎn)問題

網(wǎng)絡(luò)安全防護(hù)就是一個(gè)木桶的效應(yīng)，不能存在短板，必須綜合發(fā)力，全面防護(hù)。在人社廳金保工程網(wǎng)絡(luò)安全建設(shè)中，我們?cè)趯?shí)施中也發(fā)現(xiàn)了一些難點(diǎn)問題：

3.1 管理人員的安全意識(shí)薄弱

計(jì)算機(jī)信息化技術(shù)在業(yè)務(wù)經(jīng)辦過程中的發(fā)展，經(jīng)歷了一個(gè)由無到有，由弱變強(qiáng)的過程，業(yè)務(wù)系統(tǒng)的安全性也越來越重要，很多人關(guān)注度一直停留在業(yè)務(wù)經(jīng)辦上，沒有認(rèn)識(shí)到安全的重要性，被動(dòng)的開展網(wǎng)絡(luò)安全工作，甚至有一些安全管理人員不知道安全都要做什么，怎么做，對(duì)網(wǎng)絡(luò)安全危害認(rèn)識(shí)不清，網(wǎng)絡(luò)安全意識(shí)模糊。

3.2 網(wǎng)絡(luò)安全規(guī)范化、系統(tǒng)化程度不完善

安全的防護(hù)是相互的，在予以信息系統(tǒng)提供更多安全，給黑客入侵造成更大的阻礙的同時(shí)，也給軟件開發(fā)人員的操作上帶來許多不便，既“他不方便的同時(shí)，你也不方便”。一個(gè)普遍的定為還存在偏差，那就是很多安全管理人員的認(rèn)識(shí)不到位，還是從操作的角度思考安全，認(rèn)為有的安全要求影響了維護(hù)操作的順暢，從自身上就消極抵制安全管理的落實(shí)。

3.3 運(yùn)維人員賬號(hào)管理繁雜，無法有效管理

由于設(shè)備的增多，造成在系統(tǒng)和設(shè)備維護(hù)過程中，需要記錄和維護(hù)的工作強(qiáng)度增大。對(duì)于系統(tǒng)進(jìn)行維護(hù)的人員，其登錄方式以及登錄密碼因?yàn)榫S護(hù)的設(shè)備增多而成了一個(gè)工作難題，管理賬號(hào)人員對(duì)賬號(hào)的有效管理也增加難度，出現(xiàn)問題時(shí)無法及時(shí)根據(jù)審計(jì)記錄查詢到相關(guān)責(zé)任所在。

4 解決措施

4.1 加強(qiáng)人員的網(wǎng)絡(luò)安全意識(shí)培養(yǎng)

平均每年至少召開一次全廳范圍的信息安全培訓(xùn)，將網(wǎng)絡(luò)安全教育工作常態(tài)化。人社廳多次邀請(qǐng)省公安廳網(wǎng)絡(luò)安全專家、軟件公司的網(wǎng)絡(luò)安全專家、等保測(cè)評(píng)公司的專家，全方位對(duì)網(wǎng)絡(luò)安全進(jìn)行全面的解讀。通過解讀網(wǎng)絡(luò)安全法律法規(guī)，對(duì)網(wǎng)絡(luò)安全工作人員的權(quán)利義務(wù)以及工作內(nèi)容進(jìn)行了詳細(xì)得到解讀，通過警示教育案例的嚴(yán)重后果給大家敲響警鐘，筑牢網(wǎng)絡(luò)安全的堤壩；通過等級(jí)保護(hù)測(cè)評(píng)和密碼應(yīng)用安全評(píng)估的培訓(xùn)，讓我們知道我們系統(tǒng)安全建設(shè)的標(biāo)準(zhǔn)；通過安全專家將一些前沿科技，開拓我們的視野。

4.2 嚴(yán)格規(guī)范工作流程及管理制度

按照等級(jí)保護(hù)要求結(jié)合金保工程信息系統(tǒng)特點(diǎn)，全面制定了《遼寧省人力資源和社會(huì)保障廳網(wǎng)絡(luò)安全等級(jí)保護(hù)管理制度》和《遼寧省人力資源和社會(huì)保障廳密碼應(yīng)用安全管理制度》。包括：總體方針、安全策略、人員管理制度、系統(tǒng)管理制度、運(yùn)維管理制度等內(nèi)容。并組織各業(yè)務(wù)系統(tǒng)負(fù)責(zé)人針對(duì)本業(yè)務(wù)系統(tǒng)開展全流程梳理，將安全制度落到實(shí)處。

4.3 加強(qiáng)賬號(hào)的權(quán)限分配和監(jiān)督管理

通過部署堡壘機(jī)集中管理，多系統(tǒng)統(tǒng)一登錄，分權(quán)限管理。運(yùn)維人員將繁多的賬號(hào)密碼綁定在堡壘機(jī)中的個(gè)人賬戶下，只需記錄并及時(shí)變更堡壘機(jī)的賬戶密碼就滿足安全需求，管理者通過堡壘機(jī)的賬戶使用下發(fā)和回收權(quán)限。通過堡壘機(jī)對(duì)人員的操作行為進(jìn)行全程記錄，對(duì)不允許的操作通過堡壘機(jī)進(jìn)行屏蔽，實(shí)現(xiàn)運(yùn)維人員的操作的全面規(guī)范管理。

5 結(jié)束語

金保工程網(wǎng)絡(luò)是金保工程的重要組成部分，是數(shù)據(jù)向上集中，服務(wù)向下延伸的渠道，是實(shí)現(xiàn)同人同城同庫(kù)的基礎(chǔ)條件，網(wǎng)絡(luò)安全關(guān)系著數(shù)據(jù)安全，網(wǎng)絡(luò)安全直接關(guān)系到金保工程建設(shè)的成敗。本文首先通過對(duì)金保工程及其網(wǎng)絡(luò)結(jié)構(gòu)分析，明確金保工程以及網(wǎng)絡(luò)安全的重要性；其次通過描述金保工程新技術(shù)在網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用，表明了網(wǎng)絡(luò)安全新技術(shù)應(yīng)用到金保工程專網(wǎng)建設(shè)中能夠取得顯著的效果；最后通過技術(shù)實(shí)施過程中發(fā)現(xiàn)問題并對(duì)問題進(jìn)行分析解決，為網(wǎng)絡(luò)安全新技術(shù)應(yīng)用到金保工程專網(wǎng)中提供了豐富的經(jīng)驗(yàn)。