社會保險(xiǎn)網(wǎng)絡(luò)信息安全問題分析與建議

亓愛玲

社會保險(xiǎn)是社會保障制度的重要部分，在市場經(jīng)濟(jì)條件下加強(qiáng)和完善適合我國國情的社會保障制度，對維護(hù)社會穩(wěn)定、促進(jìn)深化改革和經(jīng)濟(jì)建設(shè)具有重要作用。但是在當(dāng)前計(jì)算機(jī)科學(xué)技術(shù)飛速發(fā)展的環(huán)境下，社會保險(xiǎn)工作不可避免的和網(wǎng)絡(luò)結(jié)合到了一起，相應(yīng)的網(wǎng)絡(luò)安全問題也就成為保證社會保險(xiǎn)系統(tǒng)正常運(yùn)行，確保網(wǎng)絡(luò)數(shù)據(jù)安全的首要問題。社保作為我國基本保障制度之一，其網(wǎng)絡(luò)信息安全防護(hù)工作同樣值得重視。

網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，同時也產(chǎn)生了許多安全問題如信息泄漏、信息污染、信息不易受控等。網(wǎng)絡(luò)運(yùn)用的趨勢是全社會廣泛參與，但隨之而來的是控制權(quán)分散的政府電子政務(wù)管理問題。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使社保信息安全問題變得廣泛而復(fù)雜。在網(wǎng)絡(luò)環(huán)境中，一些組織或個人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識形態(tài)的信息滲透，甚至通過網(wǎng)絡(luò)進(jìn)行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權(quán)益受到威脅。隨著社會重要基礎(chǔ)設(shè)施的高度信息化，社會的“命脈”和核心控制系統(tǒng)有可能面臨更大的威脅。

一、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

我國政府電子政務(wù)網(wǎng)絡(luò)安全問題日益突出的主要標(biāo)志是：一是計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重；二是電腦黑客活動已形成重要威脅；三是信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)；四是網(wǎng)絡(luò)政治顛覆活動頻繁。

電子政務(wù)運(yùn)行管理是過程管理，是實(shí)現(xiàn)全網(wǎng)安全和動態(tài)安全的關(guān)鍵。有關(guān)電子政務(wù)信息安全的政策、計(jì)劃和管理手段等最終都會在政府電子政務(wù)運(yùn)行管理機(jī)制上體現(xiàn)出來。就目前的電子政務(wù)運(yùn)行管理機(jī)制來看，有以下幾方面的缺陷和不足。

1、政府電子政務(wù)網(wǎng)絡(luò)安全管理方面人才匱乏。由于互聯(lián)網(wǎng)通信成本極低，分布式客戶服務(wù)器和不同種類配置不斷更新和發(fā)展及技術(shù)應(yīng)用的擴(kuò)展，技術(shù)的管理也應(yīng)同步擴(kuò)展，但從事系統(tǒng)管理的人員卻往往并不具備安全管理所需的技能、資源和利益導(dǎo)向。政府電子政務(wù)信息安全技術(shù)管理方面的人才無論是數(shù)量還是水平，都無法適應(yīng)政府電子政務(wù)信息安全形勢的需要。

2、安全措施不到位?；ヂ?lián)網(wǎng)越來越具有綜合性和動態(tài)性特點(diǎn)，這同時也是互聯(lián)網(wǎng)不安全因素的原因所在。然而，網(wǎng)絡(luò)用戶對此缺乏認(rèn)識，未進(jìn)入安全就緒狀態(tài)就急于操作，結(jié)果導(dǎo)致敏感數(shù)據(jù)暴露，使系統(tǒng)遭受風(fēng)險(xiǎn)。配置不當(dāng)或過時的操作系統(tǒng)、郵件程序和內(nèi)部網(wǎng)絡(luò)都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就無法發(fā)現(xiàn)和及時查堵安全漏洞。當(dāng)廠商發(fā)布補(bǔ)丁或升級軟件來解決安全問題時，許多用戶的系統(tǒng)卻不進(jìn)行同步升級，主要是管理者未充分意識到網(wǎng)絡(luò)不安全的風(fēng)險(xiǎn)所在，未引起重視。

3、缺乏綜合性的解決方案。面對復(fù)雜的不斷變化的互聯(lián)網(wǎng)世界，大多數(shù)政府電子政務(wù)部門缺乏綜合性的安全管理解決方案，使這些政府電子政務(wù)部門就此產(chǎn)生了虛假的安全感，漸漸喪失警惕。實(shí)際上，一次性使用一種方案并不能保證系統(tǒng)一勞永逸和高枕無憂，網(wǎng)絡(luò)安全問題遠(yuǎn)遠(yuǎn)不是防毒軟件和防火墻能夠解決的，也不是大量標(biāo)準(zhǔn)安全產(chǎn)品簡單堆砌就能解決的。近年來，國外的一些互聯(lián)網(wǎng)安全產(chǎn)品廠商及時應(yīng)變，由防病毒軟件供應(yīng)商轉(zhuǎn)變?yōu)槠髽I(yè)安全解決方案的提供者，他們相繼在我國推出多種全面的企業(yè)安全解決方案，包括風(fēng)險(xiǎn)評估和漏洞檢測、入侵檢測、防火墻和虛擬專用網(wǎng)、防病毒和內(nèi)容過濾解決方案等一整套綜合性安全管理解決方案。

4、缺乏制度化的防范機(jī)制。不少政府電子政務(wù)部門單位沒有從管理制度上建立相應(yīng)的安全防范機(jī)制，在整個運(yùn)行過程中，缺乏行之有效的安全檢查和應(yīng)對保護(hù)制度。不完善的制度滋長了網(wǎng)絡(luò)管理者和內(nèi)部人士自身的違法行為。許多網(wǎng)絡(luò)犯罪行為（尤其是非法操作）都是因?yàn)閮?nèi)部聯(lián)網(wǎng)電腦和系統(tǒng)管理制度疏于管理而造成的。同時，政策法規(guī)難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要，政府電子政務(wù)部門信息立法還存在相當(dāng)多的空白。個人隱私保護(hù)法、數(shù)據(jù)庫保護(hù)法、數(shù)字媒體法、數(shù)字簽名認(rèn)證法、計(jì)算機(jī)犯罪法以及計(jì)算機(jī)安全監(jiān)管法等信息空間正常運(yùn)作所需的配套法規(guī)尚不健全。由于網(wǎng)絡(luò)作案手段新、時間短、不留痕跡等特點(diǎn)，給偵破和審理網(wǎng)上犯罪案件帶來極大困難。

二、對解決社會保險(xiǎn)網(wǎng)絡(luò)安全問題的幾點(diǎn)建議

一是不斷加強(qiáng)信息網(wǎng)絡(luò)安全管理工作，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全抗風(fēng)險(xiǎn)能力。社會保險(xiǎn)系統(tǒng)涉及養(yǎng)老保險(xiǎn)、醫(yī)療保險(xiǎn)、失業(yè)保險(xiǎn)等多種業(yè)務(wù)，管理著每個職工的個人帳戶資金，因此，做好網(wǎng)絡(luò)安全管理與信息安全保護(hù)是本系統(tǒng)建設(shè)的首要前提，建立層次性多重安全保護(hù)體系是實(shí)現(xiàn)系統(tǒng)系統(tǒng)安全性目標(biāo)的基礎(chǔ)。本系統(tǒng)屬單位內(nèi)部網(wǎng)，它與國家公網(wǎng)或其他行業(yè)網(wǎng)絡(luò)系統(tǒng)等外部網(wǎng)必須從物理上斷開連接。內(nèi)網(wǎng)的安全保護(hù)是通過設(shè)立虛擬網(wǎng)絡(luò)（VLAN）或網(wǎng)絡(luò)分段（物理分段通過交換連接，邏輯分段通過路由相連）形成相對獨(dú)立的不同子網(wǎng)，子網(wǎng)內(nèi)部可以自由訪問和使用網(wǎng)絡(luò)資源，子網(wǎng)之間的互通需經(jīng)過嚴(yán)格的安全訪問控制，在從網(wǎng)絡(luò)層到應(yīng)用層不同層次的設(shè)置上確保網(wǎng)絡(luò)的安全性。信息資源的安全保護(hù)可采取的措施有：在信息的傳輸過程中，對“信息邊界”中的有關(guān)部件實(shí)施用戶身份識別、身份認(rèn)證，鏈路層和網(wǎng)絡(luò)層上采取包過濾、存取控制，傳輸層上使用代理服務(wù)，表示層上進(jìn)行數(shù)據(jù)加密和數(shù)字簽名，應(yīng)用層上實(shí)現(xiàn)安全審計(jì)等。

二是加快出臺相關(guān)法律法規(guī)。改變目前一些相關(guān)法律法規(guī)太籠統(tǒng)、缺乏操作性的現(xiàn)狀，對各種政府電子政務(wù)信息主體的權(quán)利、義務(wù)和法律責(zé)任，做出明確的法律界定。

三是在信息技術(shù)尤其是政府電子政務(wù)信息安全關(guān)鍵產(chǎn)品的研發(fā)方面，提供全局性的具有超前意識的發(fā)展目標(biāo)和相關(guān)產(chǎn)業(yè)政策，保障政府電子政務(wù)信息技術(shù)產(chǎn)業(yè)和政府電子政務(wù)信息安全產(chǎn)品市場有序發(fā)展。

四是加強(qiáng)我國政府電子政務(wù)信息安全基礎(chǔ)設(shè)施建設(shè)，建立一個功能齊備、全局協(xié)調(diào)的安全技術(shù)平臺（包括應(yīng)急響應(yīng)、技術(shù)防范和公共密鑰基礎(chǔ)設(shè)施等系統(tǒng)），與政府電子政務(wù)信息安全管理體系相互支撐和配合。

網(wǎng)絡(luò)安全關(guān)系到國家安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全、社會公共安全和公民個人信息安全，在維護(hù)國家安全、促進(jìn)經(jīng)濟(jì)發(fā)展和社會進(jìn)步的進(jìn)程中至關(guān)重要，維護(hù)好網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)社會秩序是全社會共同的責(zé)任?；ヂ?lián)網(wǎng)發(fā)展到今天與現(xiàn)實(shí)社會緊密關(guān)聯(lián)、密不可分?，F(xiàn)實(shí)社會是法制社會，網(wǎng)絡(luò)社會也必須是法制社會。為此全社會應(yīng)自我約束和主動履行義務(wù)，嚴(yán)格按照“依法管網(wǎng)、綜合治理”的原則，有效保護(hù)互聯(lián)網(wǎng)健康發(fā)展，促進(jìn)國家經(jīng)濟(jì)、文化的繁榮發(fā)展和社會進(jìn)步。