社保系統(tǒng)漏洞與信息化管理模式探索

王芹 定州市社會保險(xiǎn)事業(yè)管理局

隨著信息時(shí)代的到來，互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展日益改變著公眾的日常生活。在看到互聯(lián)網(wǎng)經(jīng)濟(jì)帶來的利好的同時(shí)，也要看到公眾對個(gè)人信息的安全越來越重視，加強(qiáng)信息漏洞防護(hù)，采取有效的措施最大限度保障信息安全，成為當(dāng)前社保管理工作的重點(diǎn)?？梢钥吹矫磕旮鞯貐^(qū)媒體針對社保系統(tǒng)存在個(gè)人敏感信息風(fēng)險(xiǎn)漏洞等方面的報(bào)道不斷增多，社保信息化管理系統(tǒng)需要不斷優(yōu)化，這樣才能更好地提升社會保障整體服務(wù)價(jià)值。加強(qiáng)社保系統(tǒng)漏洞與信息化管理模式研究，意義重大。

一、社保系統(tǒng)漏洞類型及形成的原因分析

社保系統(tǒng)漏洞，是指社保信息系統(tǒng)中出現(xiàn)的SQL注入攻擊、BAC越權(quán)訪問、框架注入、弱口令等方面的技術(shù)故障。這些技術(shù)風(fēng)險(xiǎn)如果不加以防范，將會導(dǎo)致出現(xiàn)個(gè)人信息的泄露，嚴(yán)重時(shí)還會影響社會穩(wěn)定和國家安全。

SQL注入攻擊主要是指惡意SQL命令侵入Web表單遞交、輸入域名或頁面請求的查詢字符串系統(tǒng)中，從而導(dǎo)致出現(xiàn)惡意命令執(zhí)行等情況導(dǎo)致信息的非法訪問。產(chǎn)生該漏洞的原因主要和數(shù)據(jù)庫系統(tǒng)自身的安全防護(hù)性能偏低以及數(shù)據(jù)不合理處置等有關(guān)。BAC越權(quán)訪問是指在進(jìn)行授權(quán)時(shí)發(fā)現(xiàn)的漏洞，一些攻擊者通過非法的方式獲得相關(guān)權(quán)限進(jìn)入不應(yīng)當(dāng)訪問的區(qū)域進(jìn)行訪問并盜取信息的過程。這類漏洞往往檢測難度比較大，且容易導(dǎo)致大面積的信息泄露或丟失風(fēng)險(xiǎn)?？蚣茏⑷胧侵腹粽邞?yīng)用一些程序在一個(gè)Web站點(diǎn)創(chuàng)建命名框架，一旦相同瀏覽器打開，所有進(jìn)程的窗口都可以進(jìn)行框架內(nèi)容的寫入，從而導(dǎo)致信息泄露，這種漏洞攻擊往往隱蔽性比較強(qiáng)，所以應(yīng)當(dāng)注重防范。此外還有容易被猜測到或被破解工具破解口令引起的弱口令風(fēng)險(xiǎn)，這主要是一些管理人員在密碼設(shè)定等方面不夠注意，導(dǎo)致防護(hù)系統(tǒng)性能下降，進(jìn)而導(dǎo)致信息被盜取。

二、加強(qiáng)社保系統(tǒng)漏洞防護(hù)及信息化管理的具體措施分析

為了進(jìn)一步提升社保系統(tǒng)安全防護(hù)水平，構(gòu)建完善的信息化管理模式，建議做好以下幾個(gè)方面的工作：

1.針對不同的漏洞風(fēng)險(xiǎn)或者類型，探索針對性的安全防護(hù)措施。不同的社保系統(tǒng)漏洞引發(fā)的原因不同，可能引發(fā)的問題不相同，導(dǎo)致出現(xiàn)的后果也難以預(yù)測，所以需要從源頭上進(jìn)行原因排查，了解不同社保系統(tǒng)漏洞可能存在的原因以及出現(xiàn)的根源，并通過建立完善的信息防護(hù)機(jī)制來進(jìn)行技術(shù)處理和防范。針對SQL注入攻擊，可以通過應(yīng)用參數(shù)化過濾性語句，加強(qiáng)用戶輸入、登錄、密碼以及訪問權(quán)限的訪問檢驗(yàn)和防御等方式來進(jìn)行應(yīng)對。針對越權(quán)訪問導(dǎo)致的漏洞，可以通過劃分安全域并結(jié)合各自場景設(shè)定相應(yīng)的后端API/Service及安全域隔離防護(hù)的方式來進(jìn)行風(fēng)險(xiǎn)防范。針對框架注入方面引發(fā)的風(fēng)險(xiǎn)，可以進(jìn)行每一個(gè)程序會話針對性框架命名并建立不能預(yù)測框架名稱的方式來進(jìn)行防護(hù)。針對弱口令引發(fā)的風(fēng)險(xiǎn)，可以通過加強(qiáng)系統(tǒng)安全防護(hù)，優(yōu)化系統(tǒng)資源安全配置等方式來進(jìn)行信息的加密處理。

2.完善信息安全綜合防護(hù)技術(shù)體系。無論社保系統(tǒng)出現(xiàn)哪種漏洞都有可能導(dǎo)致信息出現(xiàn)泄露等風(fēng)險(xiǎn)，造成的損失難以估量，加強(qiáng)信息的安全防護(hù)對于社保系統(tǒng)的運(yùn)行而言具有重要的保障意義，所以應(yīng)當(dāng)形成完善的綜合性信息防御機(jī)制。國家有關(guān)部門要在深入了解社保業(yè)務(wù)的基礎(chǔ)上，結(jié)合信息技術(shù)平臺應(yīng)用現(xiàn)狀，構(gòu)建安全操作、防火墻防護(hù)、入侵防御、安全掃描以及病毒防護(hù)等全面綜合信息化處置模式。建立分級監(jiān)控機(jī)制，加強(qiáng)后臺的關(guān)聯(lián)分析，一旦發(fā)現(xiàn)問題或者漏洞啟動應(yīng)急響應(yīng)程序，并做好備份系統(tǒng)管理，確保社保系統(tǒng)穩(wěn)定運(yùn)行。國家還要在立法層面加強(qiáng)信息化安全機(jī)制建設(shè)，盡快出臺完善的社保信息漏洞防御與安全管理機(jī)制，明確各級部門相關(guān)的責(zé)權(quán)，并注重加強(qiáng)培訓(xùn)和隊(duì)伍建設(shè)，切實(shí)提高風(fēng)險(xiǎn)防護(hù)能力。

3.優(yōu)化社保信息系統(tǒng)，加強(qiáng)大數(shù)據(jù)管理和公民信息安全體系建設(shè)。一方面國家要從整體的層面建立統(tǒng)一負(fù)責(zé)的專業(yè)化社保信息運(yùn)維管理機(jī)制，通過專業(yè)化的力量加強(qiáng)社保信息系統(tǒng)的專業(yè)化維護(hù)和全面監(jiān)控，提高風(fēng)險(xiǎn)漏洞及時(shí)發(fā)現(xiàn)和防御水平，另一方面要完善社保信息大數(shù)據(jù)庫體系，根據(jù)不同的風(fēng)險(xiǎn)劃分等級，加強(qiáng)隱患排查和監(jiān)督，積極探索新技術(shù)和新方法，提高社保數(shù)據(jù)分析利用價(jià)值，此外還應(yīng)當(dāng)完善公民信息安全體系，加強(qiáng)社保部門和戶籍管理、醫(yī)療信息管理系統(tǒng)的融合，避免信息重復(fù)建設(shè)，并設(shè)定層層加密處理機(jī)制，切實(shí)提高信息安全保障水平。

總之，社保系統(tǒng)漏洞對于社保信息的維護(hù)管理而言影響非常大，所以應(yīng)當(dāng)加強(qiáng)社保信息系統(tǒng)建設(shè)，積極引入新技術(shù)，做好漏洞的全面監(jiān)控，并完善基礎(chǔ)保障機(jī)制，形成信息化綜合服務(wù)平臺，不斷提高社保管理人員的綜合素質(zhì)和能力，加強(qiáng)和其他部門的聯(lián)動，減少信息的重復(fù)建設(shè)等可能引發(fā)的風(fēng)險(xiǎn)，這樣才能更好地提高社保信息安全保障能力，為推動國家社會保障事業(yè)持續(xù)健康發(fā)展提供強(qiáng)大的動力支持。