不動(dòng)產(chǎn)登記系統(tǒng)信息安全工作的實(shí)踐研究

周建軍

(遼寧省自然資源事務(wù)服務(wù)中心 ，遼寧 沈陽(yáng) 110032)

不動(dòng)產(chǎn)作為百姓最重要的財(cái)產(chǎn)之一，不動(dòng)產(chǎn)登記系統(tǒng)中包含大量的不動(dòng)產(chǎn)登記信息量大面廣，涉及個(gè)人隱私以及商業(yè)機(jī)密，關(guān)系人民群眾的切身利益，受到社會(huì)高度關(guān)注，加強(qiáng)登記信息安全管理有著重要的意義。

一、主要的風(fēng)險(xiǎn)隱患

1.不動(dòng)產(chǎn)登記信息系統(tǒng)不完善

由于我國(guó)不動(dòng)產(chǎn)登記技術(shù)平臺(tái)建設(shè)尚處于起步階段，不動(dòng)產(chǎn)登記系統(tǒng)軟件基本都是在運(yùn)行中不斷修改完善，問(wèn)題集中后再進(jìn)行系統(tǒng)升級(jí)。但這種方式往往對(duì)于不動(dòng)產(chǎn)信息安全管理來(lái)說(shuō)無(wú)疑會(huì)帶來(lái)巨大隱患。

2.應(yīng)用場(chǎng)景多元化

隨著“互聯(lián)網(wǎng)+不動(dòng)產(chǎn)登記”的推進(jìn)，原有登記機(jī)構(gòu)獨(dú)立運(yùn)行模式正悄然發(fā)生改變，建立政務(wù)服務(wù)APP，將政務(wù)服務(wù)事項(xiàng)從線下、電腦端推向移動(dòng)端，進(jìn)一步突破時(shí)間、地域和環(huán)境的限制，提升群眾辦事體驗(yàn)。我省的很多登記機(jī)構(gòu)都開(kāi)發(fā)了不動(dòng)產(chǎn)登記APP軟件，如大連、撫順、丹東、營(yíng)口、興城等。通過(guò)手機(jī)軟件，網(wǎng)上預(yù)約、預(yù)申請(qǐng)、預(yù)受理以及查詢、網(wǎng)上繳費(fèi)、推送不動(dòng)產(chǎn)電子證權(quán)證，乃至實(shí)時(shí)查檔等服務(wù)事項(xiàng)逐步普及。按照自然資源部辦公廳《關(guān)于完善信息平臺(tái)網(wǎng)絡(luò)運(yùn)維環(huán)境推進(jìn)不動(dòng)產(chǎn)登記信息共享集成有關(guān)工作的通知》精神，今后兩至三年內(nèi)，全國(guó)所有地級(jí)及以上城市和具備條件的縣區(qū)，企業(yè)和群眾互動(dòng)緊密的申請(qǐng)、受理等業(yè)務(wù)環(huán)節(jié)將遷移至互聯(lián)網(wǎng)運(yùn)行，實(shí)現(xiàn)借助各種終端設(shè)備隨時(shí)隨地可申請(qǐng)、可查看。審核、登簿等業(yè)務(wù)環(huán)節(jié)及數(shù)據(jù)遷移至與互聯(lián)網(wǎng)邏輯隔離的電子政務(wù)外網(wǎng)，與各級(jí)政府、相關(guān)部門(mén)政務(wù)服務(wù)平臺(tái)應(yīng)通盡通，實(shí)現(xiàn)跨地區(qū)、跨部門(mén)、跨層級(jí)網(wǎng)絡(luò)互聯(lián)和信息互通共享。同時(shí)將不動(dòng)產(chǎn)空間圖形數(shù)據(jù)及權(quán)籍調(diào)查成果審核環(huán)節(jié)部署在與互聯(lián)網(wǎng)物理隔離的業(yè)務(wù)內(nèi)部局域網(wǎng)。在這一大背景下，不動(dòng)產(chǎn)數(shù)據(jù)安全風(fēng)險(xiǎn)驟增。

3.用戶安全風(fēng)險(xiǎn)

人為因素、制度因素導(dǎo)致終端安全隱患嚴(yán)重。當(dāng)前的不動(dòng)產(chǎn)登記系統(tǒng)用戶均為非信息安全領(lǐng)域?qū)I(yè)用戶，缺乏安全意識(shí)培訓(xùn)和安全技術(shù)管控，內(nèi)部人員存在內(nèi)外網(wǎng)終端設(shè)備交叉使用違規(guī)行為。外來(lái)人員在允許上內(nèi)網(wǎng)工作的前提下，缺少技術(shù)管控，一旦發(fā)生風(fēng)險(xiǎn)也無(wú)法追溯和定位。在制度制定上，由于對(duì)終端安全缺乏足夠重視、缺少終端安全應(yīng)急預(yù)案和流程或應(yīng)急預(yù)案準(zhǔn)備不充分。

4.數(shù)據(jù)共享交換安全風(fēng)險(xiǎn)

不動(dòng)產(chǎn)登記信息系統(tǒng)需要面向國(guó)土、住建、農(nóng)業(yè)、林業(yè)、海洋等部門(mén)相關(guān)業(yè)務(wù)，提供信息實(shí)時(shí)互通共享。還需面向公安、民政、財(cái)政、稅務(wù)、工商、金融、審計(jì)、統(tǒng)計(jì)等部門(mén)提供不動(dòng)產(chǎn)登記信息共享服務(wù)，滿足相關(guān)部門(mén)日常管理工作對(duì)不動(dòng)產(chǎn)登記業(yè)務(wù)辦理對(duì)部門(mén)共享信息的需求。

一是數(shù)據(jù)傳輸范圍廣環(huán)節(jié)多，使得安全風(fēng)險(xiǎn)增大。在傳輸過(guò)程中，數(shù)據(jù)很容易被監(jiān)聽(tīng)或被攔截，從而被分析破解，造成數(shù)據(jù)泄露。二是內(nèi)部網(wǎng)絡(luò)安全受到威脅。網(wǎng)絡(luò)的開(kāi)放性使惡意程序入侵內(nèi)部網(wǎng)絡(luò)更加自由便利，一旦入侵成功，內(nèi)部辦公網(wǎng)絡(luò)端甚至服務(wù)器、防火墻、路由器等設(shè)備都可能被控制。三是病毒侵?jǐn)_造成危害。木馬等病毒傳播速度快，不易被殺滅，從而引發(fā)系統(tǒng)通路阻塞、應(yīng)用癱瘓、數(shù)據(jù)泄露等較大事故。四是黑客攻擊。黑客一旦入侵并獲得相應(yīng)權(quán)限，就可利用各種攻擊手段對(duì)無(wú)線網(wǎng)絡(luò)發(fā)起攻擊。2018年就曾有某市不動(dòng)產(chǎn)登記系統(tǒng)因遭到病毒攻擊系統(tǒng)受影響，無(wú)法正常辦理不動(dòng)產(chǎn)登記業(yè)務(wù)。

5.人為泄露風(fēng)險(xiǎn)

從不動(dòng)產(chǎn)屬性信息看，不動(dòng)產(chǎn)登記信息涉及權(quán)利人的信息、不動(dòng)產(chǎn)權(quán)利狀況等隱私信息，數(shù)據(jù)較敏感。一方面，授權(quán)不動(dòng)產(chǎn)登記部門(mén)之外的人查詢不動(dòng)產(chǎn)登記信息，難以保證信息不被泄露；另一方面，受理、審核、查（解）封、檔案查詢等崗位，工作人員因工作需要，可用不動(dòng)產(chǎn)的坐落、單元號(hào)、權(quán)證號(hào)碼、登記證明號(hào)碼、權(quán)利人身份證明號(hào)碼以及姓名、名稱在不動(dòng)產(chǎn)登記信息管理平臺(tái)中自行檢索。雖然《不動(dòng)產(chǎn)登記暫行條例》規(guī)定了相應(yīng)的法律責(zé)任，但由于缺乏具體的職業(yè)制度規(guī)范和違法追究機(jī)制，基于工作便利考慮，不動(dòng)產(chǎn)登記機(jī)構(gòu)人員查詢登記信息缺乏約束機(jī)制，信息泄露的風(fēng)險(xiǎn)大大增加。

二、不動(dòng)產(chǎn)登記系統(tǒng)信息安全工作的應(yīng)對(duì)策略

1.強(qiáng)化源頭安全保密意識(shí)

不動(dòng)產(chǎn)登記信息系統(tǒng)在項(xiàng)目招標(biāo)時(shí)就選擇正規(guī)、有資質(zhì)、有經(jīng)驗(yàn)的技術(shù)單位提供開(kāi)發(fā)建設(shè)，并與系統(tǒng)開(kāi)發(fā)人員簽訂保密協(xié)議，強(qiáng)化不動(dòng)產(chǎn)登記信息安全保密意識(shí)。在系統(tǒng)上線運(yùn)行后，配備專業(yè)的設(shè)計(jì)開(kāi)發(fā)人員進(jìn)行后期的系統(tǒng)維護(hù)，保障登記系統(tǒng)軟件的穩(wěn)定運(yùn)行。

2.建立完善信息共享機(jī)制，充分應(yīng)用安全設(shè)備

不動(dòng)產(chǎn)登記工作涉及范圍廣、牽扯部門(mén)多，如何實(shí)現(xiàn)多部門(mén)的業(yè)務(wù)協(xié)同，部門(mén)信息共享集成交換機(jī)制主要克服的技術(shù)難點(diǎn)之一。在不動(dòng)產(chǎn)登記信息各應(yīng)用系統(tǒng)管理上，由于國(guó)家、省、市、縣各層級(jí)和自然資源、住建、林業(yè)等各業(yè)務(wù)部門(mén)之間使用數(shù)據(jù)庫(kù)信息有所不同，因此需通過(guò)不動(dòng)產(chǎn)登記查詢分級(jí)權(quán)限設(shè)置。通過(guò)設(shè)置不同用戶權(quán)限的方式，讓經(jīng)授權(quán)的用戶能夠順利完成操作，并拒絕非法用戶連入。利用防火墻、安全隔離信息交換系統(tǒng)（雙向網(wǎng)閘）、安全隔離信息交換系統(tǒng)（單向光閘）分別部署在不同區(qū)域，從而實(shí)現(xiàn)在保證內(nèi)外網(wǎng)絡(luò)互相隔離的基礎(chǔ)上進(jìn)行適度的、可靠的數(shù)據(jù)交換，進(jìn)一步加固網(wǎng)絡(luò)私密性。

3.加強(qiáng)從業(yè)人員的信息安全意識(shí)

不動(dòng)產(chǎn)登記信息涉及個(gè)人隱私和商業(yè)秘密，關(guān)系百姓切身利益。按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的工作要求，組織登記人員簽訂《不動(dòng)產(chǎn)信息安全保密承諾書(shū)》，與外單位查詢單位簽訂《不動(dòng)產(chǎn)信息安全保密協(xié)議》。定期開(kāi)展信息安全教育培訓(xùn)，及時(shí)發(fā)現(xiàn)解決日常工作生活中存在的風(fēng)險(xiǎn)苗頭，做到登記信息全方位監(jiān)管。對(duì)違反信息安全規(guī)定造成信息泄漏或數(shù)據(jù)破壞的，對(duì)責(zé)任單位和責(zé)任人進(jìn)行嚴(yán)肅處理，情節(jié)嚴(yán)重的依法追究法律責(zé)任。

4.強(qiáng)化數(shù)據(jù)實(shí)時(shí)監(jiān)測(cè)和異常預(yù)警

明確規(guī)定禁止出借不動(dòng)產(chǎn)登記用戶查詢賬號(hào)，禁止在內(nèi)網(wǎng)使用移動(dòng)硬盤(pán)、U盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)拷貝資料，加強(qiáng)打印管理，嚴(yán)防電子數(shù)據(jù)和具有敏感信息的紙質(zhì)件外泄。部署網(wǎng)絡(luò)版殺毒系統(tǒng)，并分發(fā)到各個(gè)用戶終端和業(yè)務(wù)系統(tǒng)服務(wù)器中，進(jìn)行統(tǒng)一管理和防范；同時(shí)做到系統(tǒng)安全補(bǔ)丁定時(shí)分發(fā)，使終端系統(tǒng)保持最佳狀態(tài)；部署在用戶終端的“違規(guī)外聯(lián)”和“移動(dòng)介質(zhì)管理”有效方法外部威脅侵入。

嚴(yán)格規(guī)范數(shù)據(jù)收集、整理、上報(bào)、發(fā)布等環(huán)節(jié)流程，嚴(yán)格控制原始檔案查閱、借閱和數(shù)據(jù)拷貝、導(dǎo)出，嚴(yán)禁對(duì)檔案隨意拍照、復(fù)印，切實(shí)消除不動(dòng)產(chǎn)登記信息安全隱患。以系統(tǒng)日志為依據(jù)，定期進(jìn)行安全督查，對(duì)違反信息安全規(guī)定的，及時(shí)給予嚴(yán)肅處理，對(duì)造成信息安全事故的，依法追究當(dāng)事人和有關(guān)負(fù)責(zé)人的責(zé)任。

5.建立安全責(zé)任機(jī)制

按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，建立不動(dòng)產(chǎn)登記信息安全管理制度，把信息安全貫穿數(shù)據(jù)生產(chǎn)、數(shù)據(jù)管理、數(shù)據(jù)應(yīng)用和共享服務(wù)等各環(huán)節(jié)、全過(guò)程中，明確責(zé)任，落實(shí)到人。

6.通過(guò)技術(shù)措施強(qiáng)化保護(hù)

部署有堡壘機(jī)（用戶登錄審計(jì)系統(tǒng)），對(duì)業(yè)務(wù)系統(tǒng)運(yùn)維人員進(jìn)行實(shí)時(shí)審計(jì)，設(shè)置統(tǒng)一登陸，對(duì)系統(tǒng)授權(quán)賬號(hào)進(jìn)行密碼的自動(dòng)化周期更改，簡(jiǎn)化密碼管理，讓使用者無(wú)需記憶眾多系統(tǒng)密碼，即可實(shí)現(xiàn)自動(dòng)登錄目標(biāo)設(shè)備，便捷安全。賬號(hào)管理方面，配置統(tǒng)一賬戶管理策略，能夠?qū)崿F(xiàn)對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等賬號(hào)進(jìn)行集中管理，完成對(duì)賬號(hào)整個(gè)生命周期的監(jiān)控，并且可以對(duì)設(shè)備進(jìn)行特殊角色設(shè)置如：審計(jì)巡檢員、運(yùn)維操作員、設(shè)備管理員等自定義設(shè)置，以滿足審計(jì)需求。身份認(rèn)證方面，提供統(tǒng)一的認(rèn)證接口，對(duì)用戶進(jìn)行認(rèn)證，支持身份認(rèn)證模式包括 動(dòng)態(tài)口令、靜態(tài)密碼、等多種認(rèn)證方式；安全的認(rèn)證模式，有效提高了認(rèn)證的安全性和可靠性。資源授權(quán)方面，設(shè)備提供基于用戶、目標(biāo)設(shè)備、時(shí)間、協(xié)議類型IP、行為等要素實(shí)現(xiàn)細(xì)粒度的操作授權(quán)，最大限度保護(hù)用戶資源的安全。訪問(wèn)控制方面，對(duì)不同用戶進(jìn)行不同策略的制定，細(xì)粒度的訪問(wèn)控制能夠最大限度的保護(hù)用戶資源的安全，嚴(yán)防非法、越權(quán)訪問(wèn)事件的發(fā)生。操作審計(jì)方面，設(shè)備能夠?qū)ψ址D形、文件傳輸、數(shù)據(jù)庫(kù)等全程操作行為審計(jì)；通過(guò)設(shè)備錄像方式實(shí)時(shí)監(jiān)控運(yùn)維人員對(duì)操作系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等進(jìn)行的各種操作，對(duì)違規(guī)行為進(jìn)行事中控制。對(duì)終端指令信息能夠進(jìn)行精確搜索，進(jìn)行錄像精確定位。

7.開(kāi)展數(shù)據(jù)備份工作

做好不動(dòng)產(chǎn)登記數(shù)據(jù)的本地備份并開(kāi)展異地備份工作，并充分利用自然資源部重慶的建設(shè)的異地?cái)?shù)據(jù)備份中心，確保重要數(shù)據(jù)的安全管理。

8.建立應(yīng)急處置機(jī)制

不動(dòng)產(chǎn)登記信息平臺(tái)發(fā)生安全事故，要在第一時(shí)間同時(shí)向上級(jí)自然資源主管部門(mén)和同級(jí)信息安全主管部門(mén)報(bào)告。制訂應(yīng)急預(yù)案，確保病毒不蔓延，登記業(yè)務(wù)不中斷。

9.做好風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)

不斷對(duì)照國(guó)家信息安全等級(jí)保護(hù)制度要求和技術(shù)標(biāo)準(zhǔn)，做好不動(dòng)產(chǎn)登記信息平臺(tái)的信息安全風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)工作，堅(jiān)持內(nèi)外網(wǎng)物理隔離，加強(qiáng)邊界保護(hù)，強(qiáng)化訪問(wèn)控制和防病毒技術(shù)措施，做好安全管控。