淺述人力資源和社會(huì)保障工作中網(wǎng)絡(luò)應(yīng)用及個(gè)人信息的安全與維護(hù)

射陽縣機(jī)關(guān)事業(yè)單位養(yǎng)老保險(xiǎn)中心 孫永剛

淺述人力資源和社會(huì)保障工作中網(wǎng)絡(luò)應(yīng)用及個(gè)人信息的安全與維護(hù)

射陽縣機(jī)關(guān)事業(yè)單位養(yǎng)老保險(xiǎn)中心 孫永剛

隨著網(wǎng)絡(luò)應(yīng)用的越來越普遍，人力資源和社會(huì)保障方方面面工作在網(wǎng)絡(luò)的應(yīng)用下越來越高效，近期我們地區(qū)在網(wǎng)絡(luò)應(yīng)用的穩(wěn)定性及安全性遇到點(diǎn)問題，本文就這兩個(gè)方面如何防護(hù)等方面談?wù)剛€(gè)人的觀點(diǎn)。

人力資源社會(huì)保障；網(wǎng)絡(luò)應(yīng)用；個(gè)人信息；安全維護(hù)

通常人們認(rèn)為自己的數(shù)據(jù)和網(wǎng)絡(luò)目前有一種虛假的安全感：在系統(tǒng)安裝了防火墻、在桌面上安裝了防病毒和防間諜軟件工具、使用加密技術(shù)發(fā)送和保存數(shù)據(jù)，另外各大網(wǎng)絡(luò)安全公司不斷增強(qiáng)安全工具和補(bǔ)丁程序……似乎可以松口氣了，但果真如此嗎？

許多人還認(rèn)為，自己的Mac系統(tǒng)跟老系統(tǒng)一樣，也不容易遭到黑客的攻擊。但是，許多Mac機(jī)運(yùn)行微軟Office等Windows程序，或者與Windows機(jī)器聯(lián)網(wǎng)。這樣一來，Mac機(jī)同樣難免遇到Windows用戶面臨的漏洞。正如安全專家Cigital公司的CTO Gary McGraw所說：出現(xiàn)針對(duì)Win32和OS X的跨平臺(tái)病毒“只是遲早的事”。Mac OS X環(huán)境也容易受到攻擊，即便不是在運(yùn)行Windows軟件。賽門鐵克公司最近發(fā)布的一份報(bào)告發(fā)現(xiàn)，2004年查明Mac OS X存在37種漏洞。該公司警告，這類漏洞可能會(huì)日漸成為黑客的目標(biāo)，特別是因?yàn)镸ac系統(tǒng)開始日漸流行。譬如在2004年10月，黑客編寫了名為Opener的一款腳本病毒。該腳本可以讓Mac OS X防火墻失效、獲取個(gè)人信息和口令、開后門以便可以遠(yuǎn)程控制Mac機(jī)，此外還可能會(huì)刪除數(shù)據(jù)。

另外，對(duì)數(shù)據(jù)進(jìn)行加密是保護(hù)數(shù)據(jù)的一個(gè)重要環(huán)節(jié)，但不是絕無差錯(cuò)。Jon Orbeton是開發(fā)ZoneAlarm防火墻軟件的Zone Labs的高級(jí)安全研究員，他支持加密技術(shù)，不過警告說：如今黑客采用嗅探器可是越來越完善，能夠截獲SSL和SSL交易信號(hào)，竊取經(jīng)過加密的數(shù)據(jù)。雖然加密有助于保護(hù)遭到竊取的數(shù)據(jù)被人讀取，但加密標(biāo)準(zhǔn)卻存在著幾個(gè)漏洞。黑客只要擁有適當(dāng)工具，就能夠鉆這些漏洞的空子。Orbeton說：“黑客在想方設(shè)法避開安全機(jī)制。

一、做好業(yè)務(wù)專網(wǎng)與互聯(lián)網(wǎng)物理隔離

今年國(guó)慶期間，我市部分縣（市、區(qū)）金保工程網(wǎng)絡(luò)發(fā)生通訊故障，醫(yī)保刷卡短時(shí)中斷，經(jīng)排查發(fā)現(xiàn)是部分縣（區(qū)）機(jī)房斷電和業(yè)務(wù)專網(wǎng)與互聯(lián)網(wǎng)混用等原因引起的。經(jīng)了解，普遍存在部分單位和窗口業(yè)務(wù)專網(wǎng)與互聯(lián)網(wǎng)混網(wǎng)運(yùn)行現(xiàn)象（同一臺(tái)電腦既可以上業(yè)務(wù)系統(tǒng)又可以上互聯(lián)網(wǎng)），存在極大的安全隱患。

互聯(lián)網(wǎng)應(yīng)用對(duì)經(jīng)濟(jì)社會(huì)發(fā)展和公共服務(wù)帶來了廣泛和深刻的影響。與此同時(shí)，網(wǎng)絡(luò)與信息安全的問題也日益突出，據(jù)統(tǒng)計(jì)，75%的安全問題都來自于互聯(lián)網(wǎng)應(yīng)用層。金保工程等人社信息系統(tǒng)包含了大量的公民隱私信息，根據(jù)信息系統(tǒng)建設(shè)規(guī)范和部、省關(guān)于金保工程系統(tǒng)安全保護(hù)的相關(guān)要求，上述系統(tǒng)必須與互聯(lián)網(wǎng)嚴(yán)格物理隔離。

1、明確要求。我局現(xiàn)有的金保系統(tǒng)、就業(yè)系統(tǒng)、新農(nóng)保系統(tǒng)、勞動(dòng)關(guān)系仲裁與監(jiān)察系統(tǒng)、社會(huì)保障卡管理信息系統(tǒng)、全民參保登記、高校畢業(yè)生登記、省異地就醫(yī)平臺(tái)等均為專網(wǎng)運(yùn)行的業(yè)務(wù)系統(tǒng)，各處室、單位人員使用業(yè)務(wù)內(nèi)網(wǎng)的電腦只允許接入業(yè)務(wù)內(nèi)網(wǎng)，不允許接入互聯(lián)網(wǎng)，也不允許將內(nèi)網(wǎng)系統(tǒng)接入無線網(wǎng)絡(luò)。

2、強(qiáng)化責(zé)任。各單位主要負(fù)責(zé)人為信息系統(tǒng)安全的第一責(zé)任人。市局信息中心主要負(fù)責(zé)全市信息系統(tǒng)安全管理和維護(hù)工作。各縣（市、區(qū)）人社部門信息中心為本單位信息安全責(zé)任部門，應(yīng)做好機(jī)關(guān)處室及下屬經(jīng)辦機(jī)構(gòu)、延伸的服務(wù)窗口的內(nèi)外網(wǎng)隔離等信息安全工作；市局各處室、直屬單位的信息科（或辦公室）為本區(qū)域的安全責(zé)任部門，負(fù)責(zé)本單位及延伸的服務(wù)窗口內(nèi)外網(wǎng)隔離等安全工作。

3、加快整改。各單位、窗口和個(gè)人應(yīng)做好自查和整改工作，邊查邊該，自查和整改工作在規(guī)定時(shí)間內(nèi)結(jié)束。市局將不定期組織安全巡查，對(duì)整改情況進(jìn)行督查、考核和通報(bào)。

二、加強(qiáng)網(wǎng)絡(luò)工程的運(yùn)維

1、檢修通信設(shè)備。各地區(qū)信息中心要對(duì)機(jī)房設(shè)備、網(wǎng)絡(luò)線路、中斷設(shè)備等進(jìn)行全面的故障排查，及時(shí)更換損壞設(shè)備，排出網(wǎng)絡(luò)運(yùn)行故障，確保金保信息系統(tǒng)運(yùn)行快捷暢通。

2、加強(qiáng)環(huán)境監(jiān)測(cè)。各地區(qū)信息中心要明確專人定期巡檢設(shè)備和用電線路，徹底整改插座松動(dòng)破損、線路散落交叉、用電過載等問題，并做好重點(diǎn)部位的溫濕度檢測(cè)和通風(fēng)散熱，謹(jǐn)防用電短路、電線燒灼、設(shè)備超負(fù)荷運(yùn)作等安全隱患。

3、保證業(yè)務(wù)正常。為保證金保系統(tǒng)等各項(xiàng)業(yè)務(wù)正常運(yùn)行，各縣（市、區(qū)）機(jī)房?jī)?nèi)的市縣聯(lián)網(wǎng)交換機(jī)、電信匯聚交換機(jī)以及運(yùn)營(yíng)商光纖傳輸設(shè)備必須接入不間斷UPS電源，還沒單獨(dú)配備UPS的縣（市、區(qū)）要盡快到位。

4、梳理網(wǎng)絡(luò)結(jié)構(gòu)。各地區(qū)信息中心要準(zhǔn)確把握機(jī)房和經(jīng)辦機(jī)構(gòu)網(wǎng)絡(luò)互聯(lián)情況，統(tǒng)計(jì)各經(jīng)辦機(jī)構(gòu)金保工程內(nèi)網(wǎng)IP地址分配情況，并最終形成網(wǎng)絡(luò)拓?fù)鋱D，以方便網(wǎng)絡(luò)檢修和故障排除。

5、明確專職人員。各地區(qū)應(yīng)明確一名專職的機(jī)房運(yùn)維人員，無論是上班還是節(jié)假日期間，一定要保持電話暢通，確保能在第一時(shí)間趕到故障發(fā)生地配合檢查。同時(shí)做好日常防護(hù)和上級(jí)部門的溝通匯報(bào)工作。

三、網(wǎng)絡(luò)安全規(guī)范

1、為保證網(wǎng)絡(luò)安全，應(yīng)加強(qiáng)應(yīng)用人員的遵紀(jì)守法教育和信息安全教育，提高安全防范意識(shí)，使操作人員具有良好的工作作風(fēng)和職業(yè)道德。

2、機(jī)關(guān)事業(yè)單位局域網(wǎng)內(nèi)各部門應(yīng)設(shè)立網(wǎng)絡(luò)安全員，負(fù)責(zé)本部門網(wǎng)絡(luò)的安全保護(hù)工作，制定安全防范責(zé)任制，信息中心部門將定期進(jìn)行檢查，及時(shí)通報(bào)有關(guān)信息和網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)。

3、信息中心部門提供公開服務(wù)的web站點(diǎn)。應(yīng)有專人負(fù)責(zé)web站的信息發(fā)布，一般應(yīng)用人員只有瀏覽權(quán)。

4、機(jī)關(guān)事業(yè)局域網(wǎng)內(nèi)各部門新增用戶應(yīng)向中心提出申請(qǐng)，獲準(zhǔn)后由中心分配IP地址并提供接入服務(wù)，不得擅自私拉亂接。

5、信息中心部門負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的運(yùn)行管理、負(fù)責(zé)網(wǎng)絡(luò)資源、用戶賬戶和安全性管理，系統(tǒng)管理員口令絕對(duì)保密，根據(jù)用戶需求嚴(yán)格控制。合理分配用戶權(quán)限。

6、網(wǎng)絡(luò)用戶應(yīng)經(jīng)常更新網(wǎng)絡(luò)防殺病毒軟件，從根源上避免病毒的傳播。

7、信息中心網(wǎng)站信息發(fā)布以自行發(fā)布為主，信息來源及處理方式經(jīng)專門負(fù)責(zé)人審定，系統(tǒng)軟件應(yīng)對(duì)訪問權(quán)限嚴(yán)格限制，對(duì)不同的操作人員、不同的信息等級(jí)分設(shè)口令。

8、信息中心進(jìn)行定期備份，對(duì)備份數(shù)據(jù)有專人進(jìn)行妥善保管，確保發(fā)生意外情況時(shí)能及時(shí)恢復(fù)運(yùn)行。

9、中心機(jī)房采用防靜電和防火裝修，平時(shí)應(yīng)注意定期檢查維護(hù)硬件設(shè)備，消除事故隱患。局域網(wǎng)內(nèi)的光纜及其他網(wǎng)絡(luò)設(shè)施應(yīng)妥善保護(hù)，避免人為損壞。

10、加強(qiáng)監(jiān)督管理工作，將使用過程中的重要信息記錄到審計(jì)文件中，便于掌握全面情況，發(fā)現(xiàn)可疑現(xiàn)象，及時(shí)追查安全事故責(zé)任。

11、各入網(wǎng)部門應(yīng)積極配合公安部門的安全檢查，自覺接受公安機(jī)關(guān)的監(jiān)督。發(fā)現(xiàn)可疑情況應(yīng)及時(shí)向有關(guān)部門反映。

四、個(gè)人信息安全

堅(jiān)守“三要三不要”定律護(hù)航隱私安全。

如何保護(hù)個(gè)人信用信息安全？用“三要三不要”原則護(hù)航隱私安全，可有效堵塞個(gè)人信用信息泄露的各種出口。

所謂“三要”是，一要妥善保管身份證及復(fù)印件，復(fù)印件交予他人時(shí)要注明用途；二要保管好信用報(bào)告，以及互聯(lián)網(wǎng)查詢信用報(bào)告的用戶名和密碼，不將金融信息告知他人；三要收藏央行征信中心官網(wǎng)，避免墜入釣魚網(wǎng)站，一步錯(cuò)，步步錯(cuò)，最終掉入騙子連環(huán)布局的圈套，遭遇經(jīng)濟(jì)損失。順應(yīng)著金融互聯(lián)網(wǎng)化的趨勢(shì)，網(wǎng)絡(luò)已成為騙子行騙新陣地，各種銀行的釣魚網(wǎng)站層出不窮，而央行征信中心也未能免俗。

而“三不要”則是，不將身份證件借給他人；不在網(wǎng)吧使用公共wifi查詢征信報(bào)告，保存信用報(bào)告；不點(diǎn)擊陌生電子郵件和手機(jī)短信中的鏈接網(wǎng)址，當(dāng)心系統(tǒng)中病毒，導(dǎo)致隱私外泄。

五、提高員工信息安全意識(shí)

1、在不影響正常工作的前提下，合理利用員工碎片化時(shí)間進(jìn)行宣貫工作。企業(yè)內(nèi)部IT或信息安全部門，在企業(yè)內(nèi)部開展員工信息安全意識(shí)宣教工作時(shí)，員工往往會(huì)覺得：一定又要耽誤很多工作時(shí)間來配合。如果這項(xiàng)工作在開展初期就讓員工產(chǎn)生這樣的想法，那基本上已經(jīng)算是失敗了。

由此可見，開展這項(xiàng)工作時(shí)，利用員工的碎片化時(shí)間非常重要。那么，哪些是員工的碎片化時(shí)間呢？上下班地鐵、公交車上；等待和上下電梯時(shí)；走路經(jīng)過辦公樓大廳或走廊時(shí)；工作開始前電腦開機(jī)時(shí)等。這些都是能夠被利用起來，開展信息安全意識(shí)宣傳教育工作的碎片化時(shí)間。

2、注重與員工工作、生活息息相關(guān)的信息安全知識(shí)點(diǎn)

我們?cè)谇敖佑|國(guó)內(nèi)較早開展員工信息安全意識(shí)教育工作的企業(yè)時(shí)，有個(gè)很深的感受是，不少企業(yè)在選擇向員工推送的知識(shí)點(diǎn)時(shí)，只會(huì)選擇和員工工作相關(guān)的內(nèi)容，而生活方面的知識(shí)則被全部排除在外。

但隨著安全意識(shí)宣教工作的不斷推進(jìn)，尤其是在加入與員工生活相關(guān)的信息安全知識(shí)點(diǎn)后，我們發(fā)現(xiàn)員工對(duì)信息安全宣教工作關(guān)注度反而有所提高。員工對(duì)生活相關(guān)內(nèi)容的關(guān)注，反而更容易拉近信息安全宣教工作本身與員工之間的距離。

3、選擇不易引起員工反感的宣傳教育形式

選擇了恰當(dāng)?shù)臅r(shí)間和員工更關(guān)注的知識(shí)點(diǎn)，接下來要確定的就是采用什么樣的形式?；驹瓌t就是，采用不易引起員工反感的形式。員工普遍不喜歡被動(dòng)的強(qiáng)制教育，例如組織一場(chǎng)培訓(xùn)后強(qiáng)制考試。那么在開展宣教工作的時(shí)候，就一定要避免這一點(diǎn)。

在某些辦公場(chǎng)所展示信息安全宣教內(nèi)容，例如會(huì)議室、茶水間、打印房等，張貼相關(guān)提示的海報(bào)，開會(huì)前后或者中場(chǎng)休息的間隙，播放信息安全意識(shí)的宣傳教育短片，這些都是不易引起員工反感，潤(rùn)物細(xì)無聲的宣教方式。

4、新穎的表現(xiàn)形式，引起員工注意力

如何將信息安全知識(shí)更好地呈現(xiàn)給員工，是尤其需要注意并且花心思的事情。如果將內(nèi)容白紙黑紙的直接呈現(xiàn)在員工面前，那基本上就可以不用期待多高關(guān)注度了。普通員工絕大部分不是做IT或者信息安全的，因此“將知識(shí)本身轉(zhuǎn)換成為員工能懂的語言”這一點(diǎn)至關(guān)重要。同時(shí)還要以員工更易接受的形式輸出，例如賞心悅目的海報(bào)、生動(dòng)幽默的動(dòng)畫片、震撼沖擊力強(qiáng)的教育宣傳片，或者隨時(shí)可翻閱的手機(jī)圖片等，都是不錯(cuò)的選擇。

5、短期與長(zhǎng)期計(jì)劃相結(jié)合

選擇好了宣教的對(duì)象、知識(shí)點(diǎn)和內(nèi)容及其表現(xiàn)形式，接下來就需要制定實(shí)際適合企業(yè)的信息安全意識(shí)宣教計(jì)劃。一般建議企業(yè)先制定一個(gè)長(zhǎng)期計(jì)劃和目標(biāo)，再將長(zhǎng)期計(jì)劃分解成具體、可執(zhí)行的短期計(jì)劃。例如，制定一份員工信息安全意識(shí)宣教的3年計(jì)劃，通過每年連續(xù)舉辦信息安全宣傳周來實(shí)現(xiàn)；另外，除了每年信息安全宣傳周的其它時(shí)間，則可以每月通過郵件或手機(jī)微信等方式，向員工推送信息安全期刊等宣教材料。