人力资源与社会保障行业省级数据中心网络安全现状分析与规划思路.docVIP

人力资源与社会保障行业省级数据中心网络安全现状分析与规划思路 　　摘要：该文分析了人力资源和社会保障行业网络安全现状以及存在问题，同时针对问题提出了解决的思路和方案。 　　关键词：人力资源；社会保障；网络安全 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）36-0021-02 　　随着全国人力资源和社会保障信息化的建设，业务专网和应用系统已经具备了一定的安全防护能力，人力资源和社会保障业务正向省集中、全覆盖、广服务的方向发展，急需建立系统性的网络安全防护体系。 　　1 网络安全现状与问题 　　1.1 网络安全现状 　　一是国际网络安全形势日趋复杂，境内外网络安全威胁日益严重。网络安全问题已成为世界各国共同关注的焦点，发达国家纷纷将网络安全上升到国家安全战略的高度，并颁布了网络空间安全战略。敌对势力和黑客组织的网络恶意攻击规模和范围日益扩大。我国对网络安全也高度重视，早在2003年就提出了“积极防御，综合防范”的方针。2014年2月27日我国成立中央网络安全和信息化领导小组，将“网络安全”提升到国家安全、社会治理和军队建设的战略层面。人力资源社会保障部根据国家及自身行业发展要求也相继下发了相应文件，对如何落实国家信息安全等级保护制度，加强信息系统安全体系建设，确保信息系统安全稳定运行等网络安全工作作出了明确要求。 　　二是近年来人力资源和社会保障行业进入一个快速发展时期，与百姓切身利益密切相关的就业、社会保障、医疗保险等对外公共服务为主的信息系统建设工作不断推进。对外公共服务的信息系统（如网上申报系统、社保查询系统等）数量逐年增多；社会公众对信息系统业务服务的依赖性越来越强；信息系统提供的公共服务类型和方式（如门户网站、手机APP应用等）不断增多；信息系统服务覆盖的人口数量激增导致社会公众对公共服务质量的要求也愈发突出；同时信息化建设开始由建设阶段转为运维阶段，对信息系统安全运维、稳定服务的要求越来越高；这些都对人力资源和社会保障行业的网络安全提出了更加严峻的挑战。 　　三是省级数据中心虽配置和制定了相关的网络安全设备和安全制度规范，但整个行业的网络安全工作机制还不够完善，主要表现在网络安全意识较为落后，缺乏统一规划，在网络安全方面长期存在“重设备、轻服务、重建设、轻运维”的问题。 　　1.2 主要问题 　　一是尚未形成完善的技术保障体系。目前省级数据中心陆续购买和配备了一些安全产品，对基础网络与信息系统起到了一定的保护作用，但尚未形成完善的技术保障体系。尤其在网站安全防护上，由于各部门网站建设分散，目前只能通过在管理制度对网站安全管理作出要求，无法做到技术上统一防范。 　　二是缺乏网络安全体系总体规划，管理体系建设工作缓慢。网络安全是一个系统工程，不能采取“头疼医头、脚疼医脚”的被动管理方式，必须全盘统筹、统一规划，形成完善的网络安全体系。网络安全必须从技术和管理两个方面齐头并进。大部分基础网络和信息系统安全建设从技术保障手段起步，在网络安全管理方面，其工作尚未系统开展，在风险评估、系统加固、管理体系建设、运维保障体系建设等方面均需要进一步开展工作。 　　2 建设目标与原则 　　2.1 建设目标 　　按照国家及行业网络安全的相关法律、法规要求，以“统一规划、综合防御、技术管理并重”的工作指导思想，通过对物理、网络、主机、数据和应用各个层面，贯穿保护、检测、响应、恢复等各个环节的网络安全保障服务建设，在办公内网、业务专网、互联网上构建全面、完整、高效的网络安全保障体系，为行业信息化发展提供坚实的基础。 　　统一规划建设，是指对以省为单位进行网络安全统筹规划，按照统一的技术标准和管理规范实施建设；全面综合防御，是指在技术层面上综合使用多种安全机制，?⒉煌?安全机制的保护效果有机地结合起来，构成完整的立体防护体系；技术管理并重，是指将安全管理体系与技术防护体系相互配合，实现最佳的保护效果；保障运行安全，是指综合利用多种安全保障机制，保证网络和信息系统的运行安全。 　　2.2 建设原则 　　人力资源和社会保障行业网络安全建设应遵循“分域保护、突出重点、纵深防御、集中管理”的建设原则。 　　2.2.1 分域保护 　　网络安全保障体系建设在总体架构上将按照分域保护原则进行，参考IATF《信息保障技术框架》，将网络划分为不同的安全区域进行分域控制和防护。各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的系统环境；各个安全区域之间的访问关系形成明确边界。 　　2.2.2 突出重点 　　在全面综合防御指导思想下，根据系统应用业务重要程度及实际安全需求，突出网络安全防护重点，实行分级、分类、分阶段保护。加强对关键基础网络和信息系统的安全运维和监管。