人力资源与社会保障信息化建设数据安全研究.docVIP

人力资源与社会保障信息化建设数据安全研究 　　摘 要 在信息系统的安全建设是必不可少的关键环节。人力资源和神会保障信息系统是涉及多地区、多部门、多业务、多应用的信息系统，其安全性涉及到公民的切身利益。国家针对社保系统信息化建设提出了“完整、正确、统一、及时、安全”的总要求，加强社保网络的数据库安全是人力资源和社会保障信息化工程安全建设的重中之重。 　　【关键词】人力资源 信息化建设 数据安全 　　从网络诞生以来，网络安全的威胁就是来自多方面的。其中，受到来自外部的袭击等威胁固然可怕，但更应该加以防范的是来自内部的安全威胁。调查显示，超过85%的安全威胁来自内部网络：16%来自内部未授权存取；14%源于专利信息被窃取；12%是内部人员的财务欺骗；另有11%资料或网络被破坏，等等。因此，在重金购置防火墙、防毒软件来防止外界威胁的同时，必须重视防止研究应对社保网络的内部安全威胁的对策，进而采取有效的防范措施。在这种情况，对于整体系统安全性来说，各个基层的终端接入点最易受到上述攻击的威胁，需要进行周详的设计。 　　1 系统安全目标 　　1.1 访问控制 　　（1）只有内部终端设备才能接入网络，可获得相应访问权限。另外，应对接入终端进行安全检查和认证，安检认证不合格的终端必须进行升级补丁、修复软件之后，才可接入网络。 　　（2）对终端操作人员进行身份验证和访问控制，拥有许可的工作人员才能通过身份验证。为防止身份冒用问题，应支持基于帐号、MAC、第三方认证系统（如AD、LDAP等）的认证，并设置IP、MAC与帐号绑定的功能。 　　通过实现严格控制终端的接入，可以确保只有系统认可的终端和人员才能接入网络。 　　1.2 终端安全检查 　　基层终端设备时刻面临着病毒、黑客入侵、木马软件等多种安全隐患。因此，应对接入终端的进行严格安检，只有合格的终端才被允许接入网络。而终端安全检查至少应包括以下几方面： 　　（1）检查终端防病毒软件安装与否，并是否及时更新。对于终端设备来说，病毒是最大的安全威胁，应作为安检的重点进行。 　　（2）检查终端的互联网浏览器、操作系统软件、办公软件等是否已及时更新安全漏洞补丁。木马及病毒最易攻击的目标就是系统及应用程序漏洞，应及时发现，并强制更新系统补丁，防患于未然。 　　（3）终端密码及账号信息。应能检查终端是否启用屏幕保护、是否设置密码，以及终端的屏幕保护的启动时间。另外，应能确定终端指定时间范围内未登录的账户，便于对闲置帐户进行管理。 　　（4）应具备检查终端软件信息的功能，对终端上的软件进行黑白名单管理，限制安装违规软件的终端接入网络，防止木马及其他风险对业务系统造成威胁。 　　通过终端的安检，能及时发现终端的各种安全隐患，及时消除，防患于未然。 　　1.3 用户行为管理 　　基层接入终端相对分散，应制定有效的终端统一安全策略，防止用户进行非法操作。因此，须要对终端用户进行相应的行为管理，包括以下几方面： 　　（1）支持远程管理功能。鉴于终端部署分散，管理员应能对远程终端拥有完全控制权限及监控权限，以方便运维管理。 　　（2）记录本地硬盘指定文件类型的删除、编辑、复制等操作，并将审计日志上传到服务器，保护原始数据不被篡改。 　　（3）应具备统一发布各类软件的功能，以保证新业务的终端软件灵活部署，并方便对现有软件进行及时升级。 　　（4）应具备将用户终端文件进行远程备份的功能，以确保对核心文件进行有效备份，防止意外损坏。 　　通过用户的行为管理，能够有效实现远程安全管理和运维，并保护分散在终端上的部分数据安全。 　　1.4 远程集中管理 　　基层终端有部署分散、日常操作人员的单位复杂的特点，对终端的安全管理应具备远程集中管理的特性，应至少包括以下几方面： 　　（1）终端管理软件应具有防卸载功能，以及强制升级功能，使终端软件保持新版本，并不会被用户自行卸载，造成违规行为而无法审计。 　　（2）应具备对所有终端进行安全策略下发和调整的能力。 　　（3）终端与服务器端通信、管理界面的访问应支持数据加密传输，防止被恶意拦截、破解。 　　（4）审计与报警功能应可视化，及时对全网信息进行收集和报警。 　　通过远程集中管理，能有效地将分散的终端统一的进行安全策略下发和管理，使分散的终端成为可管理的整体。 　　1.5 选择可靠备份线路 　　社保工程需要24小时不间断提供服务，应设计成本较低的方案，以为各节点提供备份线路。目前，移动网络发展迅速，3G技术成为成本低、部署灵活的最佳线路选择。但目前，普通的ADSL设备不支持3G备份线路。因此，考虑成本及管理方便的方面，应采用同时支持ADSL与3G线路的接入设备，并且设备可将ADSL作为主线路，3G为备份线路。 　　1.