人力資源和社會(huì)保障行業(yè)省級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)安全現(xiàn)狀分析和規(guī)劃思路

楊豐挺

摘要：該文分析了人力資源和社會(huì)保障行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀以及存在問題，同時(shí)針對(duì)問題提出了解決的思路和方案。

關(guān)鍵詞：人力資源；社會(huì)保障；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）36-0021-02

隨著全國人力資源和社會(huì)保障信息化的建設(shè)，業(yè)務(wù)專網(wǎng)和應(yīng)用系統(tǒng)已經(jīng)具備了一定的安全防護(hù)能力，人力資源和社會(huì)保障業(yè)務(wù)正向省集中、全覆蓋、廣服務(wù)的方向發(fā)展，急需建立系統(tǒng)性的網(wǎng)絡(luò)安全防護(hù)體系。

1 網(wǎng)絡(luò)安全現(xiàn)狀與問題

1.1 網(wǎng)絡(luò)安全現(xiàn)狀

一是國際網(wǎng)絡(luò)安全形勢日趨復(fù)雜，境內(nèi)外網(wǎng)絡(luò)安全威脅日益嚴(yán)重。網(wǎng)絡(luò)安全問題已成為世界各國共同關(guān)注的焦點(diǎn)，發(fā)達(dá)國家紛紛將網(wǎng)絡(luò)安全上升到國家安全戰(zhàn)略的高度，并頒布了網(wǎng)絡(luò)空間安全戰(zhàn)略。敵對(duì)勢力和黑客組織的網(wǎng)絡(luò)惡意攻擊規(guī)模和范圍日益擴(kuò)大。我國對(duì)網(wǎng)絡(luò)安全也高度重視，早在2003年就提出了“積極防御，綜合防范”的方針。2014年2月27日我國成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，將“網(wǎng)絡(luò)安全”提升到國家安全、社會(huì)治理和軍隊(duì)建設(shè)的戰(zhàn)略層面。人力資源社會(huì)保障部根據(jù)國家及自身行業(yè)發(fā)展要求也相繼下發(fā)了相應(yīng)文件，對(duì)如何落實(shí)國家信息安全等級(jí)保護(hù)制度，加強(qiáng)信息系統(tǒng)安全體系建設(shè)，確保信息系統(tǒng)安全穩(wěn)定運(yùn)行等網(wǎng)絡(luò)安全工作作出了明確要求。

二是近年來人力資源和社會(huì)保障行業(yè)進(jìn)入一個(gè)快速發(fā)展時(shí)期，與百姓切身利益密切相關(guān)的就業(yè)、社會(huì)保障、醫(yī)療保險(xiǎn)等對(duì)外公共服務(wù)為主的信息系統(tǒng)建設(shè)工作不斷推進(jìn)。對(duì)外公共服務(wù)的信息系統(tǒng)（如網(wǎng)上申報(bào)系統(tǒng)、社保查詢系統(tǒng)等）數(shù)量逐年增多；社會(huì)公眾對(duì)信息系統(tǒng)業(yè)務(wù)服務(wù)的依賴性越來越強(qiáng)；信息系統(tǒng)提供的公共服務(wù)類型和方式（如門戶網(wǎng)站、手機(jī)APP應(yīng)用等）不斷增多；信息系統(tǒng)服務(wù)覆蓋的人口數(shù)量激增導(dǎo)致社會(huì)公眾對(duì)公共服務(wù)質(zhì)量的要求也愈發(fā)突出；同時(shí)信息化建設(shè)開始由建設(shè)階段轉(zhuǎn)為運(yùn)維階段，對(duì)信息系統(tǒng)安全運(yùn)維、穩(wěn)定服務(wù)的要求越來越高；這些都對(duì)人力資源和社會(huì)保障行業(yè)的網(wǎng)絡(luò)安全提出了更加嚴(yán)峻的挑戰(zhàn)。

三是省級(jí)數(shù)據(jù)中心雖配置和制定了相關(guān)的網(wǎng)絡(luò)安全設(shè)備和安全制度規(guī)范，但整個(gè)行業(yè)的網(wǎng)絡(luò)安全工作機(jī)制還不夠完善，主要表現(xiàn)在網(wǎng)絡(luò)安全意識(shí)較為落后，缺乏統(tǒng)一規(guī)劃，在網(wǎng)絡(luò)安全方面長期存在“重設(shè)備、輕服務(wù)、重建設(shè)、輕運(yùn)維”的問題。

1.2 主要問題

一是尚未形成完善的技術(shù)保障體系。目前省級(jí)數(shù)據(jù)中心陸續(xù)購買和配備了一些安全產(chǎn)品，對(duì)基礎(chǔ)網(wǎng)絡(luò)與信息系統(tǒng)起到了一定的保護(hù)作用，但尚未形成完善的技術(shù)保障體系。尤其在網(wǎng)站安全防護(hù)上，由于各部門網(wǎng)站建設(shè)分散，目前只能通過在管理制度對(duì)網(wǎng)站安全管理作出要求，無法做到技術(shù)上統(tǒng)一防范。

二是缺乏網(wǎng)絡(luò)安全體系總體規(guī)劃，管理體系建設(shè)工作緩慢。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，不能采取“頭疼醫(yī)頭、腳疼醫(yī)腳”的被動(dòng)管理方式，必須全盤統(tǒng)籌、統(tǒng)一規(guī)劃，形成完善的網(wǎng)絡(luò)安全體系。網(wǎng)絡(luò)安全必須從技術(shù)和管理兩個(gè)方面齊頭并進(jìn)。大部分基礎(chǔ)網(wǎng)絡(luò)和信息系統(tǒng)安全建設(shè)從技術(shù)保障手段起步，在網(wǎng)絡(luò)安全管理方面，其工作尚未系統(tǒng)開展，在風(fēng)險(xiǎn)評(píng)估、系統(tǒng)加固、管理體系建設(shè)、運(yùn)維保障體系建設(shè)等方面均需要進(jìn)一步開展工作。

2 建設(shè)目標(biāo)與原則

2.1 建設(shè)目標(biāo)

按照國家及行業(yè)網(wǎng)絡(luò)安全的相關(guān)法律、法規(guī)要求，以“統(tǒng)一規(guī)劃、綜合防御、技術(shù)管理并重”的工作指導(dǎo)思想，通過對(duì)物理、網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)和應(yīng)用各個(gè)層面，貫穿保護(hù)、檢測、響應(yīng)、恢復(fù)等各個(gè)環(huán)節(jié)的網(wǎng)絡(luò)安全保障服務(wù)建設(shè)，在辦公內(nèi)網(wǎng)、業(yè)務(wù)專網(wǎng)、互聯(lián)網(wǎng)上構(gòu)建全面、完整、高效的網(wǎng)絡(luò)安全保障體系，為行業(yè)信息化發(fā)展提供堅(jiān)實(shí)的基礎(chǔ)。

統(tǒng)一規(guī)劃建設(shè)，是指對(duì)以省為單位進(jìn)行網(wǎng)絡(luò)安全統(tǒng)籌規(guī)劃，按照統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和管理規(guī)范實(shí)施建設(shè)；全面綜合防御，是指在技術(shù)層面上綜合使用多種安全機(jī)制，將不同安全機(jī)制的保護(hù)效果有機(jī)地結(jié)合起來，構(gòu)成完整的立體防護(hù)體系；技術(shù)管理并重，是指將安全管理體系與技術(shù)防護(hù)體系相互配合，實(shí)現(xiàn)最佳的保護(hù)效果；保障運(yùn)行安全，是指綜合利用多種安全保障機(jī)制，保證網(wǎng)絡(luò)和信息系統(tǒng)的運(yùn)行安全。

2.2 建設(shè)原則

人力資源和社會(huì)保障行業(yè)網(wǎng)絡(luò)安全建設(shè)應(yīng)遵循“分域保護(hù)、突出重點(diǎn)、縱深防御、集中管理”的建設(shè)原則。

2.2.1 分域保護(hù)

網(wǎng)絡(luò)安全保障體系建設(shè)在總體架構(gòu)上將按照分域保護(hù)原則進(jìn)行，參考IATF《信息保障技術(shù)框架》，將網(wǎng)絡(luò)劃分為不同的安全區(qū)域進(jìn)行分域控制和防護(hù)。各個(gè)安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、應(yīng)用系統(tǒng)形成單獨(dú)的系統(tǒng)環(huán)境；各個(gè)安全區(qū)域之間的訪問關(guān)系形成明確邊界。

2.2.2 突出重點(diǎn)

在全面綜合防御指導(dǎo)思想下，根據(jù)系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及實(shí)際安全需求，突出網(wǎng)絡(luò)安全防護(hù)重點(diǎn)，實(shí)行分級(jí)、分類、分階段保護(hù)。加強(qiáng)對(duì)關(guān)鍵基礎(chǔ)網(wǎng)絡(luò)和信息系統(tǒng)的安全運(yùn)維和監(jiān)管。

2.2.3 縱深防御

網(wǎng)絡(luò)安全保障體系主要包括技術(shù)、管理和運(yùn)維三個(gè)部分，應(yīng)針對(duì)通信網(wǎng)絡(luò)、區(qū)域邊界、系統(tǒng)環(huán)境，綜合采用訪問控制、入侵檢測、惡意代碼法防范、安全審計(jì)、防病毒、數(shù)據(jù)備份等多種技術(shù)和措施，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)。從外到內(nèi)形成一個(gè)縱深的安全防御體系，增強(qiáng)信息系統(tǒng)整體的安全保護(hù)能力。

2.2.4 集中管理（部署）

通過建設(shè)集中的安全管理平臺(tái)和安全管理中心，實(shí)現(xiàn)對(duì)信息資產(chǎn)、安全事件、安全風(fēng)險(xiǎn)、訪問行為等的統(tǒng)一分析與監(jiān)管，通過關(guān)聯(lián)分析技術(shù)，使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)問題，定位問題，有效應(yīng)對(duì)安全事件的發(fā)生。

3 建設(shè)內(nèi)容

3.1 網(wǎng)絡(luò)安全技術(shù)保障體系

3.1.1 網(wǎng)絡(luò)邊界安全防護(hù)體系建設(shè)

重新梳理網(wǎng)絡(luò)安全架構(gòu)，劃分安全區(qū)域，界定網(wǎng)絡(luò)邊界，采取技術(shù)措施加強(qiáng)網(wǎng)絡(luò)邊界的安全保護(hù)。在前期建設(shè)完成的邊界訪問控制（防火墻和物理隔離網(wǎng)閘等設(shè)備）的基礎(chǔ)上，加強(qiáng)安全區(qū)域之間的訪問控制、網(wǎng)絡(luò)邊界惡意代碼防范、網(wǎng)絡(luò)準(zhǔn)入控制、內(nèi)網(wǎng)用戶非法外聯(lián)行為管控、流量控制和上網(wǎng)行為管理、關(guān)鍵網(wǎng)絡(luò)設(shè)備和服務(wù)器運(yùn)維操作安全審計(jì)等問題。

3.1.2 數(shù)據(jù)中心安全防護(hù)體系建設(shè)

明確省級(jí)數(shù)據(jù)中心需要保護(hù)的關(guān)鍵資產(chǎn)、數(shù)據(jù)和應(yīng)用，對(duì)核心數(shù)據(jù)區(qū)域?qū)嵤┲攸c(diǎn)防護(hù)。重點(diǎn)解決數(shù)據(jù)庫安全審計(jì)、數(shù)據(jù)庫安全防護(hù)、異地?cái)?shù)據(jù)備份與恢復(fù)等問題。

3.1.3 應(yīng)用系統(tǒng)安全防護(hù)體系建設(shè)

以應(yīng)用系統(tǒng)持續(xù)運(yùn)行為目標(biāo)，確保其能夠提供持續(xù)穩(wěn)定的信息服務(wù)。在前期PKI CA身份認(rèn)證的基礎(chǔ)上，加強(qiáng)應(yīng)用系統(tǒng)訪問控制、數(shù)據(jù)傳輸安全保密、應(yīng)用系統(tǒng)漏洞檢測等問題。

3.1.4 信息內(nèi)容安全保護(hù)體系建設(shè)

確認(rèn)信息內(nèi)容保護(hù)重點(diǎn)，制定信息內(nèi)容發(fā)布管理規(guī)范。重點(diǎn)解決網(wǎng)站內(nèi)容保護(hù)、郵件內(nèi)容過濾、文檔失泄密管理、互聯(lián)網(wǎng)輿情監(jiān)控等問題。

3.2 網(wǎng)絡(luò)安全管理保障體系

3.2.1 網(wǎng)絡(luò)安全管理體系建設(shè)

選擇專業(yè)的安全服務(wù)機(jī)構(gòu)，提供咨詢服務(wù)，在專業(yè)咨詢服務(wù)的基礎(chǔ)上建立適合省級(jí)數(shù)據(jù)中心網(wǎng)絡(luò)現(xiàn)狀的網(wǎng)絡(luò)安全管理體系，并持續(xù)運(yùn)行和改進(jìn)。主要包括安全方針政策確立、安全策略制定、安全組織機(jī)構(gòu)管理、人員安全管理、安全建設(shè)管理制度、安全運(yùn)維管理制定等內(nèi)容。

3.2.2 網(wǎng)絡(luò)安全溝通機(jī)制建設(shè)

建立溝通協(xié)作機(jī)制，加強(qiáng)與網(wǎng)絡(luò)安全主管部門、不同行業(yè)、上下級(jí)單位、網(wǎng)絡(luò)安全專家隊(duì)伍、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的溝通與協(xié)作。

3.2.3 網(wǎng)絡(luò)安全教育與培訓(xùn)

對(duì)網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維管理人員定期開展安全教育與培訓(xùn)，通過教育培訓(xùn)和認(rèn)證考試增強(qiáng)管理人員安全意識(shí)，提高安全技術(shù)能力和安全管理能力。

3.3 網(wǎng)絡(luò)安全運(yùn)行保障體系

3.3.1 ITSS運(yùn)維服務(wù)體系建設(shè)

ITSS（信息技術(shù)服務(wù)標(biāo)準(zhǔn)）是由國家信息技術(shù)服務(wù)標(biāo)準(zhǔn)工作組研究制定的一套體系化的信息技術(shù)服務(wù)標(biāo)準(zhǔn)庫。通過ITSS運(yùn)維服務(wù)體系建設(shè)和ITSS認(rèn)證，實(shí)現(xiàn)人員、資源、技術(shù)、流程等IT服務(wù)組成要素的標(biāo)準(zhǔn)化，實(shí)現(xiàn)IT運(yùn)維服務(wù)規(guī)劃設(shè)計(jì)、部署實(shí)施、服務(wù)運(yùn)營、服務(wù)改進(jìn)、監(jiān)督管理的全生命周期管理，從而提升運(yùn)維服務(wù)質(zhì)量、優(yōu)化運(yùn)維服務(wù)成本、降低運(yùn)維服務(wù)風(fēng)險(xiǎn)，促進(jìn)運(yùn)維服務(wù)的標(biāo)準(zhǔn)化和運(yùn)維服務(wù)能力的持續(xù)提升。

3.2.2 信息系統(tǒng)安全評(píng)估與加固

選擇專業(yè)的安全服務(wù)機(jī)構(gòu)，依據(jù)信息安全等級(jí)保護(hù)相關(guān)政策要求，對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、應(yīng)用系統(tǒng)和中間件等進(jìn)行定期進(jìn)行安全評(píng)估。通過安全評(píng)估，了解信息系統(tǒng)的安全現(xiàn)狀、防護(hù)措施以及所面臨的安全風(fēng)險(xiǎn)，并對(duì)存在安全風(fēng)險(xiǎn)的信息系統(tǒng)進(jìn)行漏洞修補(bǔ)和安全加固。

3.3.3 網(wǎng)站安全監(jiān)測

選擇專業(yè)的安全服務(wù)機(jī)構(gòu)，對(duì)省本級(jí)及下屬單位網(wǎng)站提供包括網(wǎng)頁木馬、網(wǎng)頁篡改、網(wǎng)站可用性、網(wǎng)站關(guān)鍵詞和網(wǎng)站漏洞在內(nèi)的安全監(jiān)測服務(wù)，保障網(wǎng)站系統(tǒng)的穩(wěn)定運(yùn)行。

3.3.4 災(zāi)備與應(yīng)急響應(yīng)體系建設(shè)

建立異地?cái)?shù)據(jù)備份中心，為重要信息系統(tǒng)提供數(shù)據(jù)備份服務(wù)。建設(shè)網(wǎng)絡(luò)與網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系，包括應(yīng)急隊(duì)伍建設(shè)、應(yīng)急預(yù)案制定、應(yīng)急演練、突發(fā)事件應(yīng)急處置等。

參考文獻(xiàn)：

[1] 康志輝. 計(jì)算機(jī)網(wǎng)絡(luò)安全體系的一種框架結(jié)構(gòu)及其應(yīng)用[J]. 福建師大福清分校學(xué)報(bào)， 2016（5）：17-18.

[2] 郝麗蓉. 網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 中國新技術(shù)新產(chǎn)品， 2015（9）：102-105.