信息安全技術(shù)在人社網(wǎng)絡(luò)中的應(yīng)用

摘 要：隨著移動互聯(lián)網(wǎng)、電子政務(wù)等的快速發(fā)展，人社網(wǎng)絡(luò)面臨日益嚴(yán)峻的信息安全問題。隨著“掌上人社”等外網(wǎng)平臺的推廣使用，通過加強網(wǎng)絡(luò)安全建設(shè)和管理，不斷推進信息安全技術(shù)的廣泛應(yīng)用，增強對外部網(wǎng)絡(luò)不安全因素的防御能力，建立網(wǎng)絡(luò)安全新生態(tài)。

關(guān)鍵詞：互聯(lián)網(wǎng)+人社;信息安全;安全防護

1 緒論

近年來，我國信息技術(shù)快速發(fā)展，移動互聯(lián)網(wǎng)、電子政務(wù)、云計算、大數(shù)據(jù)、微信、自媒體等各種新型業(yè)務(wù)相互合作，相互促進。在政府部門、互聯(lián)網(wǎng)相關(guān)機構(gòu)、信息安全廠商和廣大網(wǎng)民的一起努力下，我國政企相關(guān)單位和網(wǎng)民的信息安全意識得到了明顯提高，互聯(lián)網(wǎng)信息安全狀況客觀上表現(xiàn)為相對穩(wěn)定的態(tài)勢。但從信息安全的深程度來看，互聯(lián)網(wǎng)中黑客各種非法活動仍然比較活躍，惡意程序、網(wǎng)絡(luò)釣魚、網(wǎng)站后門、Web應(yīng)用攻擊、DoS拒絕服務(wù)攻擊等信息安全事件保持著一定的增長，這些均嚴(yán)重影響了政府、企業(yè)和廣大網(wǎng)民的正當(dāng)合法權(quán)益，對相關(guān)行業(yè)的健康安全發(fā)展帶來了一定的不利。另外，針對特定目標(biāo)群體的APT攻擊不斷增加，國家和企業(yè)的網(wǎng)絡(luò)信息安全系統(tǒng)仍受到嚴(yán)峻威脅。

隨著“互聯(lián)網(wǎng)+人社”建設(shè)的深入推進，某市人力資源和社會保障局的信息化建設(shè)飛速發(fā)展，為提高工作效率，提升服務(wù)水平，發(fā)揮了重要作用。當(dāng)前，網(wǎng)絡(luò)和信息安全的形勢也日益嚴(yán)峻，某市人力資源和社會保障局信息中心通過不斷完善信息安全管理制度、定期開展網(wǎng)絡(luò)和信息系統(tǒng)安全巡查工作、落實應(yīng)急預(yù)案與應(yīng)急處置技術(shù)隊伍，有效地保障了各類系統(tǒng)的安全、穩(wěn)定、高效運行。隨著“掌上人社”等外網(wǎng)平臺的推廣使用，通過加強網(wǎng)絡(luò)信息安全建設(shè)，推進信息安全技術(shù)應(yīng)用，加強對外部網(wǎng)絡(luò)潛在的安全威脅和風(fēng)險的防御能力，建立網(wǎng)絡(luò)安全新生態(tài)。

2 信息安全技術(shù)應(yīng)用

2.1 內(nèi)外網(wǎng)數(shù)據(jù)交互分析

隨著某市人力資源和社會保障局信息建設(shè)的發(fā)展，隨著“互聯(lián)網(wǎng)+人社”建設(shè)的深入推進，某市人力資源和社會保障局在互聯(lián)網(wǎng)上開放了多個業(yè)務(wù)系統(tǒng)（如掌上人社、網(wǎng)上申報等多個業(yè)務(wù)系統(tǒng)），互聯(lián)網(wǎng)和人社內(nèi)網(wǎng)之間交換的數(shù)據(jù)量越來越大，并且呈現(xiàn)成倍增長的趨勢。

根據(jù)相關(guān)法律法規(guī)要求，內(nèi)外網(wǎng)不能采用邏輯隔離方案（如防火墻）來實現(xiàn)數(shù)據(jù)交互，需要通過兩個完全隔離的不同安全區(qū)域的數(shù)據(jù)交換，也就是內(nèi)外網(wǎng)隔離交換產(chǎn)品（網(wǎng)閘），內(nèi)外網(wǎng)數(shù)據(jù)交換平臺來實現(xiàn)。這樣，既可以防止來自外部網(wǎng)絡(luò)的各種潛在攻擊，也可以防止內(nèi)部網(wǎng)絡(luò)相關(guān)信息的外泄。在確證信息安全的情況下，最終實現(xiàn)了網(wǎng)間信息的安全交換，確保交換的數(shù)據(jù)完整、安全、可靠。

2.2 Web防護

由于人社局在互聯(lián)網(wǎng)上部署了多個網(wǎng)站（Web）業(yè)務(wù)，根據(jù)近幾年的運維記錄，曾發(fā)生多起安全事件，都是Web安全問題。國際知名機構(gòu)Gartner的調(diào)查數(shù)據(jù)表明，網(wǎng)絡(luò)信息安全攻擊中有75%是發(fā)生在Web應(yīng)用上，這表明黑客攻擊的主要目標(biāo)已轉(zhuǎn)向Web應(yīng)用。

Web應(yīng)用防火墻專注于網(wǎng)站及Web應(yīng)用系統(tǒng)的應(yīng)用層專業(yè)安全防護，很好地解決了傳統(tǒng)安全產(chǎn)品（如網(wǎng)絡(luò)防火墻、入侵防御系統(tǒng)等）難以對應(yīng)用層深度防御的問題。通過部署明御Web應(yīng)用防火墻可以有效地緩解網(wǎng)站及Web應(yīng)用系統(tǒng)面臨如“0WASP TOP 10”中定義的常見威脅，能夠快速應(yīng)對黑客對Web應(yīng)用業(yè)務(wù)帶來的潛在威脅，能夠智能鎖定黑客，并通知管理員對相關(guān)代碼進行安全加固。

2.3 數(shù)據(jù)庫防護

數(shù)據(jù)庫是企業(yè)核心業(yè)務(wù)開展過程中最重要的資產(chǎn)，通常都保存有重要的商業(yè)機密信息和客戶資源，這些信息對于企業(yè)來說至關(guān)重要，必須加以嚴(yán)格保護，以防止非法入侵者和惡意競爭者獲取。

（1）防止外部非法入侵。非法入侵者通常會利用Web程序的漏洞，發(fā)動SQL注入攻擊;或者通過Web服務(wù)器作為跳板，借助數(shù)據(jù)庫系統(tǒng)本身的漏洞發(fā)動攻擊和非法入侵。虛擬補丁技術(shù)可以通過SQL注入特征庫來防范SQL注入攻擊，可對此類攻擊行為有著較好的防范效果。

（2）加強相關(guān)人員管理。在程序開發(fā)過程中，系統(tǒng)開發(fā)人員、外包人員、系統(tǒng)管理和維護人員等，均擁有直接訪問數(shù)據(jù)庫的安全權(quán)限，可能會存在有意無意的不安全操作，會對數(shù)據(jù)庫帶來破壞?？梢酝ㄟ^限制數(shù)據(jù)庫高危命令的執(zhí)行來有效防范，例如限制無Where的更新操作、限制truncate、drop等高危命令的使用，避免造成嚴(yán)重?fù)p失。

（3）加強敏感數(shù)據(jù)的安全保護。非法入侵者、程序開發(fā)人員可以通過工具軟件批量下載敏感數(shù)據(jù)，系統(tǒng)運維人員可以遠程或本地批量導(dǎo)出敏感數(shù)據(jù)。加強敏感數(shù)據(jù)的安全保護，限制能訪問敏感數(shù)據(jù)的用戶、時間和地點，限制對敏感數(shù)據(jù)的查詢和下載。

（4）加強安全審計。系統(tǒng)業(yè)務(wù)人員可能在利益驅(qū)使下，通過業(yè)務(wù)系統(tǒng)提供的功能訪問敏感數(shù)據(jù)，可能會售賣相關(guān)信息和篡改數(shù)據(jù)。加強對所有數(shù)據(jù)訪問行為的進行記錄，對可能存在的風(fēng)險行為進行短信、郵件等方式的告警，提供事后追蹤分析工具。

2.4 安全日志審計

通過主動和被動相結(jié)合的方法和手段，實時不間斷地動態(tài)采集用戶網(wǎng)絡(luò)中各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、以及各種應(yīng)用系統(tǒng)產(chǎn)生的安全日志數(shù)據(jù)，并將這些數(shù)據(jù)匯總到日志審計中心，進行集中化存儲、索引、備份、全文檢索、實時搜索、審計、告警、響應(yīng)，出具相關(guān)的安全報告，知悉全網(wǎng)的整體安全運行態(tài)勢，實現(xiàn)全生命周期的安全日志管理。結(jié)合云端廣泛的外網(wǎng)威脅情報信息，可為內(nèi)網(wǎng)多源日志的關(guān)聯(lián)分析提供高可信情報信息，有效提升APT攻擊和橫向移動攻擊的識別準(zhǔn)確率。

基于威脅情報和企業(yè)本地日志、流量、IT基線監(jiān)控等安全大數(shù)據(jù)，通過對海量數(shù)據(jù)進行多維、快速、自動化的關(guān)聯(lián)分析發(fā)現(xiàn)本地的威脅和異常行為。同時，通過圖形化、可視化技術(shù)將這些安全威脅和異常的總體安全態(tài)勢用最直觀的方式展現(xiàn)出來，有利于管理員迅速做出判斷和決策。

3 結(jié)語

在“互聯(lián)網(wǎng)+”快速發(fā)展的時代，人們通過互聯(lián)網(wǎng)去了解政府部門頒布的各種文件、政策等信息，并通過手機APP辦理相關(guān)業(yè)務(wù)，這帶來快捷方便的同時，也帶來了一定的安全隱患。通過網(wǎng)絡(luò)安全意識的不斷提高、信息安全技術(shù)的廣泛應(yīng)用，以及安全管理措施的升級，我國的信息化建設(shè)將更上一層樓。

參考文獻：

[1]陳國濤.運用“互聯(lián)網(wǎng)+智慧人社”提升服務(wù)效能的思考[J].中國信息化，2018（7）：64-66.

[2]朱忠池.人社領(lǐng)域信息安全與架構(gòu)設(shè)計[J].電子技術(shù)與軟件工程，2017（9）：211-212.

項目：2019年度浙江省高等學(xué)校國內(nèi)訪問工程師項目

作者簡介：黃林國（1972-），男，浙江臺州人，副教授，研究方向：信息安全與管理。