前言：本站為你精心整理了人力資源社會保障信息網(wǎng)絡(luò)安全建設(shè)范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：隨著“互聯(lián)網(wǎng)+人社”不斷推進，人力資源和社會保障信息系統(tǒng)的網(wǎng)絡(luò)安全問題變得越來越嚴(yán)重，本文借鑒了“縱深防御（Defense-in-Depth）”理論，提出了通過多維度要素相互配合協(xié)調(diào)以完成信息保障工作，這三要素由人、技術(shù)和操作構(gòu)成，形成一個有機的整體，來共同實現(xiàn)組織職能、業(yè)務(wù)運作的思想。

關(guān)鍵詞：互聯(lián)網(wǎng)+；網(wǎng)絡(luò)安全；縱深防御

隨著南京市金保二期上線以來，人社部門著力于打破原有的信息壁壘，努力建設(shè)“互聯(lián)網(wǎng)+人社”的網(wǎng)絡(luò)新生態(tài)。通過和“我的南京”APP互動、網(wǎng)上辦事和查詢功能，逐漸實現(xiàn)“數(shù)據(jù)多跑路、群眾少跑腿”的目標(biāo)。但是，不可否認的是，隨著“互聯(lián)網(wǎng)+”的推動，網(wǎng)絡(luò)安全面臨的風(fēng)險也在逐漸增加。人社系統(tǒng)的關(guān)鍵業(yè)務(wù)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)，全部位于內(nèi)網(wǎng)。隨著“互聯(lián)網(wǎng)+”的推動，內(nèi)外網(wǎng)的協(xié)作應(yīng)用越來越多，兩網(wǎng)從最早的完全隔離，到有數(shù)據(jù)交換，再到應(yīng)用與數(shù)據(jù)的實時調(diào)用，內(nèi)外網(wǎng)之間的邊界功能正在變得越來越模糊。因此，從互聯(lián)網(wǎng)側(cè)向內(nèi)網(wǎng)發(fā)起滲透的可能也越來越高，內(nèi)網(wǎng)的重要資產(chǎn)面臨更多種類的威脅。此外，隨著數(shù)據(jù)的集中，人社系統(tǒng)的信息資產(chǎn)價值也在不斷提升?，F(xiàn)在已有的用戶數(shù)據(jù)基本囊括了所有參保人員的個人信息、家庭成員、戶籍信息、勞動關(guān)系、社保數(shù)據(jù)、醫(yī)保數(shù)據(jù)，并且與房產(chǎn)、民政、公安等部門實現(xiàn)了互聯(lián)……如此龐大數(shù)量的信息，一旦被泄露、篡改或者破壞，帶來的影響是災(zāi)難性的。綜上所述，人力資源和社會保障信息系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)重任在肩，絲毫不能懈怠。

1整體建設(shè)思路

如何去實踐網(wǎng)絡(luò)安全建設(shè)，合理保障人力資源和社會保障信息系統(tǒng)中的數(shù)據(jù)安全呢？從攻防對抗的角度而言，攻擊者的能力越來越強、攻擊方式越來越智能，以合規(guī)為目標(biāo)的安全建設(shè)已經(jīng)不能完全滿足實際需求，通過網(wǎng)絡(luò)安全設(shè)備的單純堆疊構(gòu)成的防護措施面對新型威脅諸如APT攻擊、勒索病毒和挖礦木馬顯得非常脆弱。當(dāng)前，人力資源和社會保障部門需要構(gòu)建縱深防御體系以應(yīng)對新型安全威脅，控制整體安全風(fēng)險。這里，信息保障技術(shù)框架（InformationAssuranceTechnicalFramework）理論從整體過程的角度看待信息安全問題，值得我們借鑒學(xué)習(xí)。IATF是一項專業(yè)面向商業(yè)和政府機構(gòu)網(wǎng)絡(luò)安全的研究，其代表理論為“深度防御（Defense-in-Depth）”。首次提出了通過人、技術(shù)和操作三者的融會貫通來共同實現(xiàn)組織和技術(shù)兩個維度的性能提升。其既是組織職能/業(yè)務(wù)運作的中心思想，同時也是技術(shù)/信息基礎(chǔ)設(shè)施管理的關(guān)鍵三要素。IATF認為，這種融合能夠為信息保障的策略、過程、技術(shù)和機制乃至為整個組織的信息基礎(chǔ)設(shè)施的所有層面提供穩(wěn)健的信息保障[1]。

（1）人（People）

人是信息系統(tǒng)的主體，信息系統(tǒng)生命周期的每個階段都和人息息相關(guān)。系統(tǒng)開發(fā)單位是信息系統(tǒng)的提供者；采購方是信息系統(tǒng)的擁有者和管理者；而信息系統(tǒng)的使用者更有可能是沒有任何具象特征的普通大眾。人的復(fù)雜性和不可預(yù)知性決定其是信息保障體系的核心，是系統(tǒng)管理的第一要素，但卻也是最不可控、最脆弱的因素。由于有了如上的認知，為信息系統(tǒng)制定一個完善的安全管理體系就愈發(fā)重要。信息安全保障體系，就是一套完善的安全培訓(xùn)、管理體系，包含了意識培訓(xùn)、組織管理、技術(shù)管理和操作管理等多方面[2]。然而在信息系統(tǒng)的安全建設(shè)中，卻經(jīng)常忽視人的作用，認為技術(shù)手段是解決問題的主要手段，這種思路是偏頗的。對人的管理，需要三個要素，缺一不可。其一，行政力度?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第二十一條“制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任”。根據(jù)網(wǎng)絡(luò)安全法、等級保護2.0系列標(biāo)準(zhǔn)和即將施行的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例，明確了各單位網(wǎng)絡(luò)安全負責(zé)人為該單位的一把手。由上向下的安全管理才可以保證其執(zhí)行力度，有執(zhí)行力度的安全管理才能確保有效。其二，精細條目。如果單純從合規(guī)性角度出發(fā)，很多管理制度往往流于形式。真正能夠解決問題和適用于本單位的管理制度，一定是精細的、量身制定的。能夠與崗位掛鉤，落實到具體經(jīng)辦人，并且有可操作性、可記錄性。輔以各類記錄、表單，能夠把各類常態(tài)化事務(wù)和臨時性事務(wù)都做好記錄，便于追溯。其三，量化考評。在確定管理制度的力度和條目后，還需要通過量化考評，將安全管理制度體系落到實處、嚴(yán)格執(zhí)行。這里需要制定網(wǎng)絡(luò)安全領(lǐng)域的KPI，將安全管理制度的執(zhí)行狀況，通過指標(biāo)體系轉(zhuǎn)換為可以量化評估的一系列單元（如關(guān)鍵資產(chǎn)在線率、防病毒軟件安裝率、定期任務(wù)完成率、應(yīng)急事件處理成功率等）。如此一來，可以將管理與技術(shù)結(jié)合起來，實現(xiàn)客觀評估的管理。

（2）技術(shù)（Technology）

技術(shù)是實現(xiàn)信息保障的重要手段。除了包含以防護為主的靜態(tài)技術(shù)體系，還包含了主動防御、入侵檢測、異常響應(yīng)、快速恢復(fù)并重的動態(tài)的技術(shù)體系。一套完備的信息保障體系是由靜態(tài)、動態(tài)兩套防護機制來實現(xiàn)的[3]。從技術(shù)角度而言，傳統(tǒng)的基于網(wǎng)關(guān)設(shè)備的靜態(tài)的防護能力已經(jīng)不能夠適應(yīng)新的安全環(huán)境，因為沒有任何防護技術(shù)或者安全設(shè)備是100%永久有效的?？v深防御的技術(shù)路線是假設(shè)邊界防護已經(jīng)不夠安全和隨時可能失效，通過高能力的檢測、細粒度的審計、智能化的分析，最快時間定位安全事件，迅速響應(yīng)，從而消除影響和控制損失，最終實現(xiàn)更全面的保障效果。這和P2DR模型的理念也是趨同的——“及時的檢測和響應(yīng)就是安全”，“及時的檢測和恢復(fù)就是安全”。我們的安全技術(shù)路線的方向：提高系統(tǒng)的防護時間Pt，降低檢測時間Dt和響應(yīng)時間Rt。具體的實現(xiàn)方法，就是構(gòu)建全面態(tài)勢感知體系。態(tài)勢感知最早被運用在軍事領(lǐng)域，按順序分別為態(tài)勢提取、態(tài)勢理解和態(tài)勢預(yù)測三個步驟。隨著互聯(lián)網(wǎng)技術(shù)日益復(fù)雜、互聯(lián)網(wǎng)價值日益提升，網(wǎng)絡(luò)空間已然為繼海陸空之后的“第四大戰(zhàn)場”。網(wǎng)絡(luò)態(tài)勢感知（CyberspaceSituationAwareness，CSA）也由此應(yīng)運而生，通過對海量的網(wǎng)絡(luò)數(shù)據(jù)進行實時監(jiān)控，動態(tài)提取其中會對安全態(tài)勢產(chǎn)生重要影響的數(shù)據(jù)并加以分析，以此來判斷網(wǎng)絡(luò)當(dāng)前狀態(tài)。并根據(jù)人工智能、大數(shù)據(jù)等技術(shù)，結(jié)合資深網(wǎng)絡(luò)安全工程師的經(jīng)驗智慧，來預(yù)測網(wǎng)絡(luò)未來一段時間內(nèi)的安全態(tài)勢。形象地說，網(wǎng)絡(luò)態(tài)勢感知的目標(biāo)就是要準(zhǔn)確找出那只能夠掀起網(wǎng)絡(luò)安全風(fēng)暴的蝴蝶，并提前捏住它的翅膀[4]。2016年4月19日，總書記在與網(wǎng)絡(luò)安全業(yè)界人士座談會上明確指出：“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強網(wǎng)絡(luò)安全防御能力和威懾能力[5]?！比旌蛉轿桓兄W(wǎng)絡(luò)安全態(tài)勢。知己知彼，才能百戰(zhàn)不殆。沒有意識到風(fēng)險是最大的風(fēng)險。全方位態(tài)勢感知的實現(xiàn)流程大致包括4個步驟，分別是各類安全要素信息的獲取、面向態(tài)勢感知的集中數(shù)據(jù)分析、多維度態(tài)勢感知的呈現(xiàn)、預(yù)警通告及處置。一、要素獲取。態(tài)勢感知體系通過對接網(wǎng)絡(luò)中的各類安全設(shè)備、子系統(tǒng)、安全數(shù)據(jù)源來獲取各類影響網(wǎng)絡(luò)安全的因素，包括攻擊類信息、對象弱點類信息、系統(tǒng)運行類信息以及外部威脅情報信息。

二、數(shù)據(jù)分析。匯集了海量多方位安全要素信息的基礎(chǔ)上，態(tài)勢感知體系將綜合這些數(shù)據(jù)，面向總體安全態(tài)勢的認知和監(jiān)測進行數(shù)據(jù)的融合、關(guān)聯(lián)分析和發(fā)掘分析。這其中包括對資產(chǎn)及業(yè)務(wù)對象受到攻擊威脅和自身風(fēng)險程度的分析、復(fù)雜攻擊的攻擊過程及攻擊目標(biāo)分析、攻擊的危害及影響范圍分析、攻擊威脅溯源分析、外部威脅情報與內(nèi)部安全信息比對分析等。這些分析處理工作將為上層態(tài)勢呈現(xiàn)提供數(shù)據(jù)和計算任務(wù)的支撐。三、態(tài)勢呈現(xiàn)。經(jīng)過全面的安全要素獲取和數(shù)據(jù)信息的集中處理分析，態(tài)勢感知可以實現(xiàn)全方位的態(tài)勢呈現(xiàn)，包括資產(chǎn)感知、攻擊感知、風(fēng)險感知、漏洞感知、威脅感知、運行感知這六個主要維度和安全態(tài)勢總攬。通過這六個維度有助于把龐大復(fù)雜的態(tài)勢感知信息處理體系進行分維度的理解和構(gòu)建，所有的安全要素信息的采集和處理都可以圍繞這幾個維度展開，并且在態(tài)勢感知過程中所有的數(shù)據(jù)分析及可視化呈現(xiàn)都可以在對應(yīng)的維度中進行。四、預(yù)警通告?？梢酝ㄟ^觸發(fā)規(guī)則來觸發(fā)告警或預(yù)警，各種類型的安全信息或態(tài)勢分析結(jié)果作為條件來觸發(fā)告警或預(yù)警。通過多種通告方式，快速的通知相關(guān)責(zé)任人員，使相關(guān)人員實時得知安全威脅和態(tài)勢預(yù)警，便于快速做出響應(yīng)。通過工單流處理的方式，將安全問題放在定義好的處置流程中，由指定的人員和規(guī)范的步驟來操作。每類告警、預(yù)警或安全問題都可以設(shè)定對應(yīng)的處理流程，工單流程自動處置流轉(zhuǎn)，直至問題的解決。綜上所述，態(tài)勢感知可以極大提升安全檢測、安全分析能力，輔助提升安全響應(yīng)能力，從而降低檢測時間Dt和響應(yīng)時間Rt，從而顯著提升安全保障能力。

（3）操作（Operation）

操作（或稱運行），它構(gòu)成了安全保障的主動防御體系。正是操作和流程將完全客觀被動的技術(shù)和發(fā)揮主觀能動性的人緊密結(jié)合起來。通過技術(shù)高效提升人的效率、降低人的不可靠性。具體來說，操作包括風(fēng)險評估、安全監(jiān)控、安全審計、跟蹤告警、入侵檢測、響應(yīng)恢復(fù)等內(nèi)容[1]?？紤]到人力資源和社會保障信息系統(tǒng)數(shù)量多、系統(tǒng)研發(fā)周期長、系統(tǒng)生命周期不同步等等性質(zhì)，單純基于運行階段的安全運維管理不足以滿足人社信息系統(tǒng)的安全保障要求。為了保證信息系統(tǒng)在“規(guī)劃-開發(fā)-測試-運行-廢棄”階段的全生命周期安全，體現(xiàn)《網(wǎng)絡(luò)安全法》要求的“同步規(guī)劃、同步建設(shè)、同步使用”原則，人力資源和社會保障部門需要引入信息系統(tǒng)全生命周期的安全運維管理。通過全生命周期的安全運維管理，可以將安全服務(wù)與安全技術(shù)結(jié)合，把信息安全風(fēng)險管理引入信息系統(tǒng)生命周期的每一階段，從信息系統(tǒng)規(guī)劃階段開始進行風(fēng)險控制，使用最小投入，達到最佳的風(fēng)險管理效果，最終實現(xiàn)全面的信息安全保障。

一、規(guī)劃階段。從規(guī)劃階段開始引入安全設(shè)計會顯著減少后續(xù)的應(yīng)用漏洞，降低安全運營成本。本階段就開始做等級保護定級與功能設(shè)計，可以引入安全架構(gòu)設(shè)計與安全開發(fā)培訓(xùn)。

二、開發(fā)階段。開發(fā)階段可以通過源代碼審計和風(fēng)險評估實現(xiàn)軟件質(zhì)量的控制，提前解決安全隱患，降低風(fēng)險控制成本。

三、測試階段。應(yīng)用系統(tǒng)上線之前，需要和運行環(huán)境一起，通過漏洞掃描、安全配置核查和滲透測試，確保系統(tǒng)上線前的脆弱性可控。

四、運行階段。通過日常安全運維，定期做策略配置優(yōu)化、系統(tǒng)更新、補丁和規(guī)則庫更新、安全事件分析處理；處理好臨時性事務(wù)如應(yīng)急響應(yīng)和重大時期保障。和集成商、供應(yīng)商、服務(wù)商、電信運營商和執(zhí)法機關(guān)等外聯(lián)單位保持良好溝通以便隨時合作。五、廢棄階段。做好數(shù)據(jù)備份和剩余信息清除工作。

2小結(jié)

構(gòu)建縱深防御體系的三要素之間的關(guān)系是——“人”利用“技術(shù)”進行“操作”。所以說，三要素之間是一個有機的整體，是需要緊密結(jié)合的，缺一不可。對人力資源和社會保障部門而言，構(gòu)建縱深防御體系是長久大計，不是一朝一夕之功；是上下齊心內(nèi)外結(jié)合，不是孤軍作戰(zhàn)。建議以本單位人員為主，聯(lián)合協(xié)同單位，建設(shè)一套完備的安全梯隊，分工合作，共同成長。

參考文獻：

[1]張勇.基于訪問控制的鐵路網(wǎng)絡(luò)安全系統(tǒng)設(shè)計與實現(xiàn)[D].復(fù)旦大學(xué)，2009.

[2]唐洪玉.電信支撐系統(tǒng)信息安全體系研究及應(yīng)用[D].太原理工大學(xué)，2008.

[3]趙進延.國家電子政務(wù)建設(shè)中構(gòu)建可信體系的重要性[C].中國計算機學(xué)會計算機安全專業(yè)委員會會議論文集，2007.

[4]李治霖.工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢感知的研究[D].長春工業(yè)大學(xué)，2020.

[5]王雅蕾.中國網(wǎng)絡(luò)社會政治風(fēng)險的風(fēng)險源研究[D].華中科技大學(xué)，2019.

作者：李哲  單位：南京市江寧區(qū)人力資源和社會保障信息化管理服務(wù)中心