王芹 定州市社會(huì)保險(xiǎn)事業(yè)管理局

隨著信息時(shí)代的到來(lái)，互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展日益改變著公眾的日常生活。在看到互聯(lián)網(wǎng)經(jīng)濟(jì)帶來(lái)的利好的同時(shí)，也要看到公眾對(duì)個(gè)人信息的安全越來(lái)越重視，加強(qiáng)信息漏洞防護(hù)，采取有效的措施最大限度保障信息安全，成為當(dāng)前社保管理工作的重點(diǎn)?？梢钥吹矫磕旮鞯貐^(qū)媒體針對(duì)社保系統(tǒng)存在個(gè)人敏感信息風(fēng)險(xiǎn)漏洞等方面的報(bào)道不斷增多，社保信息化管理系統(tǒng)需要不斷優(yōu)化，這樣才能更好地提升社會(huì)保障整體服務(wù)價(jià)值。加強(qiáng)社保系統(tǒng)漏洞與信息化管理模式研究，意義重大。

一、社保系統(tǒng)漏洞類型及形成的原因分析

社保系統(tǒng)漏洞，是指社保信息系統(tǒng)中出現(xiàn)的SQL注入攻擊、BAC越權(quán)訪問(wèn)、框架注入、弱口令等方面的技術(shù)故障。這些技術(shù)風(fēng)險(xiǎn)如果不加以防范，將會(huì)導(dǎo)致出現(xiàn)個(gè)人信息的泄露，嚴(yán)重時(shí)還會(huì)影響社會(huì)穩(wěn)定和國(guó)家安全。

SQL注入攻擊主要是指惡意SQL命令侵入Web表單遞交、輸入域名或頁(yè)面請(qǐng)求的查詢字符串系統(tǒng)中，從而導(dǎo)致出現(xiàn)惡意命令執(zhí)行等情況導(dǎo)致信息的非法訪問(wèn)。產(chǎn)生該漏洞的原因主要和數(shù)據(jù)庫(kù)系統(tǒng)自身的安全防護(hù)性能偏低以及數(shù)據(jù)不合理處置等有關(guān)。BAC越權(quán)訪問(wèn)是指在進(jìn)行授權(quán)時(shí)發(fā)現(xiàn)的漏洞，一些攻擊者通過(guò)非法的方式獲得相關(guān)權(quán)限進(jìn)入不應(yīng)當(dāng)訪問(wèn)的區(qū)域進(jìn)行訪問(wèn)并盜取信息的過(guò)程。這類漏洞往往檢測(cè)難度比較大，且容易導(dǎo)致大面積的信息泄露或丟失風(fēng)險(xiǎn)?？蚣茏⑷胧侵腹粽邞?yīng)用一些程序在一個(gè)Web站點(diǎn)創(chuàng)建命名框架，一旦相同瀏覽器打開，所有進(jìn)程的窗口都可以進(jìn)行框架內(nèi)容的寫入，從而導(dǎo)致信息泄露，這種漏洞攻擊往往隱蔽性比較強(qiáng)，所以應(yīng)當(dāng)注重防范。此外還有容易被猜測(cè)到或被破解工具破解口令引起的弱口令風(fēng)險(xiǎn)，這主要是一些管理人員在密碼設(shè)定等方面不夠注意，導(dǎo)致防護(hù)系統(tǒng)性能下降，進(jìn)而導(dǎo)致信息被盜取。

二、加強(qiáng)社保系統(tǒng)漏洞防護(hù)及信息化管理的具體措施分析

為了進(jìn)一步提升社保系統(tǒng)安全防護(hù)水平，構(gòu)建完善的信息化管理模式，建議做好以下幾個(gè)方面的工作：

1.針對(duì)不同的漏洞風(fēng)險(xiǎn)或者類型，探索針對(duì)性的安全防護(hù)措施。不同的社保系統(tǒng)漏洞引發(fā)的原因不同，可能引發(fā)的問(wèn)題不相同，導(dǎo)致出現(xiàn)的后果也難以預(yù)測(cè)，所以需要從源頭上進(jìn)行原因排查，了解不同社保系統(tǒng)漏洞可能存在的原因以及出現(xiàn)的根源，并通過(guò)建立完善的信息防護(hù)機(jī)制來(lái)進(jìn)行技術(shù)處理和防范。針對(duì)SQL注入攻擊，可以通過(guò)應(yīng)用參數(shù)化過(guò)濾性語(yǔ)句，加強(qiáng)用戶輸入、登錄、密碼以及訪問(wèn)權(quán)限的訪問(wèn)檢驗(yàn)和防御等方式來(lái)進(jìn)行應(yīng)對(duì)。針對(duì)越權(quán)訪問(wèn)導(dǎo)致的漏洞，可以通過(guò)劃分安全域并結(jié)合各自場(chǎng)景設(shè)定相應(yīng)的后端API/Service及安全域隔離防護(hù)的方式來(lái)進(jìn)行風(fēng)險(xiǎn)防范。針對(duì)框架注入方面引發(fā)的風(fēng)險(xiǎn)，可以進(jìn)行每一個(gè)程序會(huì)話針對(duì)性框架命名并建立不能預(yù)測(cè)框架名稱的方式來(lái)進(jìn)行防護(hù)。針對(duì)弱口令引發(fā)的風(fēng)險(xiǎn)，可以通過(guò)加強(qiáng)系統(tǒng)安全防護(hù)，優(yōu)化系統(tǒng)資源安全配置等方式來(lái)進(jìn)行信息的加密處理。

2.完善信息安全綜合防護(hù)技術(shù)體系。無(wú)論社保系統(tǒng)出現(xiàn)哪種漏洞都有可能導(dǎo)致信息出現(xiàn)泄露等風(fēng)險(xiǎn)，造成的損失難以估量，加強(qiáng)信息的安全防護(hù)對(duì)于社保系統(tǒng)的運(yùn)行而言具有重要的保障意義，所以應(yīng)當(dāng)形成完善的綜合性信息防御機(jī)制。國(guó)家有關(guān)部門要在深入了解社保業(yè)務(wù)的基礎(chǔ)上，結(jié)合信息技術(shù)平臺(tái)應(yīng)用現(xiàn)狀，構(gòu)建安全操作、防火墻防護(hù)、入侵防御、安全掃描以及病毒防護(hù)等全面綜合信息化處置模式。建立分級(jí)監(jiān)控機(jī)制，加強(qiáng)后臺(tái)的關(guān)聯(lián)分析，一旦發(fā)現(xiàn)問(wèn)題或者漏洞啟動(dòng)應(yīng)急響應(yīng)程序，并做好備份系統(tǒng)管理，確保社保系統(tǒng)穩(wěn)定運(yùn)行。國(guó)家還要在立法層面加強(qiáng)信息化安全機(jī)制建設(shè)，盡快出臺(tái)完善的社保信息漏洞防御與安全管理機(jī)制，明確各級(jí)部門相關(guān)的責(zé)權(quán)，并注重加強(qiáng)培訓(xùn)和隊(duì)伍建設(shè)，切實(shí)提高風(fēng)險(xiǎn)防護(hù)能力。

3.優(yōu)化社保信息系統(tǒng)，加強(qiáng)大數(shù)據(jù)管理和公民信息安全體系建設(shè)。一方面國(guó)家要從整體的層面建立統(tǒng)一負(fù)責(zé)的專業(yè)化社保信息運(yùn)維管理機(jī)制，通過(guò)專業(yè)化的力量加強(qiáng)社保信息系統(tǒng)的專業(yè)化維護(hù)和全面監(jiān)控，提高風(fēng)險(xiǎn)漏洞及時(shí)發(fā)現(xiàn)和防御水平，另一方面要完善社保信息大數(shù)據(jù)庫(kù)體系，根據(jù)不同的風(fēng)險(xiǎn)劃分等級(jí)，加強(qiáng)隱患排查和監(jiān)督，積極探索新技術(shù)和新方法，提高社保數(shù)據(jù)分析利用價(jià)值，此外還應(yīng)當(dāng)完善公民信息安全體系，加強(qiáng)社保部門和戶籍管理、醫(yī)療信息管理系統(tǒng)的融合，避免信息重復(fù)建設(shè)，并設(shè)定層層加密處理機(jī)制，切實(shí)提高信息安全保障水平。

總之，社保系統(tǒng)漏洞對(duì)于社保信息的維護(hù)管理而言影響非常大，所以應(yīng)當(dāng)加強(qiáng)社保信息系統(tǒng)建設(shè)，積極引入新技術(shù)，做好漏洞的全面監(jiān)控，并完善基礎(chǔ)保障機(jī)制，形成信息化綜合服務(wù)平臺(tái)，不斷提高社保管理人員的綜合素質(zhì)和能力，加強(qiáng)和其他部門的聯(lián)動(dòng)，減少信息的重復(fù)建設(shè)等可能引發(fā)的風(fēng)險(xiǎn)，這樣才能更好地提高社保信息安全保障能力，為推動(dòng)國(guó)家社會(huì)保障事業(yè)持續(xù)健康發(fā)展提供強(qiáng)大的動(dòng)力支持。