社会保险网上业务办理系统的安全防护建设
文/王为光
摘 要
本文通过对现有的社保网上业务平台的安全进行分析研究,提出相应的安全建议,以期为保证网上业务平台的安全运行、保障社保参保人员的信息安全提供参考。
【关键词】 社会保险 网上业务 信息安全
1 目前社保网上业务办理系统存在的安全隐患
1.1 技术角度存在的隐患
从技术角度,社保网上业务办理系统面临从互联网外部进行攻击的风险,最近几年常发生的有五个几个方面的问题。一是网上业务办理系统框架问题。网上业务办理系统的框架漏洞很容易被网络自动攻击工具所查找到,框架漏洞会造成整个网上系统被攻破;二是网络安全链路问题。网络安全链路能够保障整个网络访问路径的安全,其中任何一个环节的缺失或者存在漏洞都有可能造成整个网络安全链路的防护失败,进而造成信息泄露;三是系统软件漏洞。随着信息技术的快速发展,系统软件出现漏洞是很正常的事情,特别是对于刚被发现的漏洞很容易被利用,如不及时发现并打补丁进行修复,就会存在较大的信息安全隐患;四是Web 漏洞。Web 漏洞包括SQL 注入漏洞、跨站脚本漏洞、弱口令漏洞、Struts2 远程命令执行漏洞、文件上传漏洞、未加密登录请求、HTTP 报头追踪漏洞等多种常见方式,任何一个漏洞都是安全隐患;五是数据传输问题。社保网上业务办理系统涉及到数据的传输,外网到内网的传输,以及与上级部门的信息传输等。数据在传输过程中,如未进行加密,进行明文传输,就会存在数据被劫持、信息泄露的风险。
1.2 管理角度存在的隐患
1.2.1 信息部门管理
信息部门负责整体系统的运行,信息人员如果对网上业务办理系统的不了解,或者管理不到位可能造成信息安全存在风险。
1.2.2 第三方软件开发人员及运维人员管理
北塔下横梁采用箱形断面,为预应力混凝土结构,下横梁采用C50混凝土,混凝土总方量2047.4m3。下横梁顶高程+48.298m,高8m、宽11.823m,腹板壁厚1.5m,顶底板壁厚1.0m,设2道壁厚1.5m的竖向隔板。
未来企业竞争的焦点就是现代物流技术和物流管理体系,所以“微利模式”下的中国制造业要想占有一席之地,就必须自己找寻适合自己发展的道路,不断的实现经济最大化和社会效益最大化。
第三方软件开发及运维人员对数据库中数据存在批量导出风险,特别是第三方人员的数据库DBA(数据库管理人员)的拖库风险,同时运维人员违规访问数据库等都会造成系统数据的泄露。
1.2.3 测试环境管理
信息系统都涉及到一个测试环境的问题,软件系统上线前需要在测试环境进行测试、联调。测试环境的数据不应为真实的生产环境的数据,如果测试环境的数据没有经过数据处理或者测试环境的数据部分为生产环境的真实数据,都会存在数据泄漏风险。
目前,很多职业院校会计教学仍然是“一支粉笔走天下,一块黑板写春秋,一本教材定乾坤”,现代化的会计教具和教学手段十分有限,硬件设备落后,会计实训器材缺乏,会计模拟实训室不能充分发挥作用,实训基地不足,实训课成了名副其实的“副课”“加时课”,不能将原理与实务、手工记账与会计电算化、会计核算与分析有机结合,不能满足学生学习会计专业知识的需求。[1]
2 社保网上业务办理系统安全防护建设
2.1 加强规章制度建设
加强建立信息安全管理规章制度,根据《信息系统安全等级保护基本要求》,《信息系统安全管理要求》,《数据库安全管理规范》等标准规范要求,结合自己的实际情况在信息安全管理制度、人员管理、系统建设管理、系统运维管理、数据库安全管理等方面建立健全符合实际需要的安全管理制度。
老男人似乎没有听见,只是上上下下打量着我的脸,又围着我的车转了好几圈。突然开口叫道:“过路费,二十元。”
2.2 提升技术防护建设
2.2.4 安全加固
加强用户密码的安全认证,避免使用弱密码;用户修改密码时,不允许使用弱密码。在数据的前后端交互中,对敏感信息进行加密传输,保护数据不会轻易被劫取、篡改。
通过Web 扫描器和漏洞扫描设备进行漏洞扫描,可以针对性的发现漏洞,根据漏洞扫描结果,及时进行漏洞修复。
2.2.2 渗透测试
通过人工模拟恶意攻击者在不同的位置(比如从内网、从外网等位置)利用各种方式对某个特定网络进行攻击测试并发现漏洞的技术和攻击手段,对网络链路、系统软件、服务器、应用系统的安全性作深入的探测,发现系统最脆弱的环节,以期发现和挖掘系统中存在的漏洞的过程。完成渗透测试之后,根据结果对漏洞进行及时修复。
2.2.3 系统安全框架防护
在系统建设时根据安全要求,完成安全框架的设计和建设。比如对访问IP 进行实时监控,根据访问时长、频率等进行记录分析,及时发现攻击行为并自动添加黑名单,保护系统安全。
2.2.1 漏洞扫描
2.2.5 安全巡检
安全加固包括操作系统加固、数据库加固、中间件加固等。根据信息安全的相关标准和要求,对系统所涉及网络结构、网络设备、主机设备、安全设备、应用系统等进行安全加固。
2.2.7 密码安全防护和密文传输
在考察图的贯通性时,一般会存在两种题型,第一,至少应该除掉几条边来破坏原图中的贯通性;第二,即使将原图连通,在除掉有限条边的情况下,这个图是否依然可以连通。
安全巡检包括物理安全、设备安全、主机安全、应用安全等方面的定期巡检。通过对部署的所有的信息化设备、应用系统、网络的检查等,能够早期发现各设备、应用系统、网络的故障征兆和性能隐患、以便及时预防和排除,保证和保障所有信息化设备及应用系统正常、安全的运行。
2.2.6 实时监控
通过自动化程序,对社保网上业务办理系统服务器进行实时监控,及时发现服务器问题。对应用服务通过监控软件实施7×24 小时全天候监控,对系统存在的异常情况,通过邮件、短信、电话等多种形式及时通知管理人员,以便及时进行维护。
上文中我们说到,随着大数据时代的到来,企业以往传统单一的管理模式,已经逐渐无法满足企业发展需求。在这种情况下,作为企业的领导人员,就必须要充分地意识到这一问题的严重性,认识到大数据的内涵以及潜在的巨大商业价值,并对其进行充分的利用。具体来说,应做好以下几个方面的工作:首先,应加大对大数据的研究力度,并加大投资力度,进而整合分析出真正有利于企业发展的大数据信息;其次,应充分重视起员工的社交网络,促使企业的数据资料能够在企业内部实现高效的流通,实现高效管理;最后,管理人员应创新优化管理模式,针对落后的内容,及时摒弃,顺应大数据时代的发展,提高企业管理水平。
基坑作为作业区必须划出禁区,并设置围栏,带有‘施工现场,行人不得入内’字样的安全警示牌,禁止行人进入,以免造成安全事故。施工人员进入施工现场时,要进行人员审核,并检查施工人员的安全配置是否符合安全管理要求。
2.2.8 读写分离
添加数据访问层,将对数据库的操作通过不同用户权限进行读写分离,增强数据安全防护。
2.2.9 使用HTTPS 协议
HTTP 协议信息流为明文传输,攻击者可截取数据报文或伪造站点劫持用户访问,造成数据信息泄漏。使用HTTPS 协议访问,通过对数据进行加密传输,加强用户数据的安全。
2.3 加大人员培训管理
2.3.1 信息人员队伍建设
社保经办机构信息部门负责信息化的整体运行。应该加强对信息部门工作人员的安全培训,提高技术水平,提升安全防范意识,规避信息安全风险。同时根据系统特征,配备专门网络维护人员并建立紧急预案,对随时可能到来的攻击以及网络瘫痪等随机状况进行有效监督和及时处理。
2.3.1 定植。定植是栽培管理中的关键环节,对于整体栽培效果影响极大。定植之前,种植人员需严格执行相关标准及工作流程,挖好坑穴并合理施肥与灌溉,确保定植工作能够顺利开展,进而保障定植质量。定植时,枣树树冠矮小,适宜进行合理密植,但过于密集不利于枣树生长和管理,因此需要根据枣树的品种和冠幅确定种植密度。长期枣粮间作行距8.0~15.0 m,株距4.0~6.0 m,定植采用南北行。定植穴的大小一般为80 cm×80 cm×80 cm,并施10 kg以上的农家肥。冬小麦、夏大豆等与枣树的间距需要保持在2 m以上才可以实现增产,2 m以内易出现减产现象[1]。
2.3.2 第三方开发、运维公司队伍建设
至此,我们可以了解到,商星这颗火红的亮星,其视觉特征及运行规律,是殷人判断生活中用火活动是否适宜的时间参照。正是由于商星的此一重要作用,使得殷人将其作为主祀崇拜的对象,用以命名本族部落,进而沿用以为国号,以至国土分野。
对第三方开发人员及运维人员进行安全培训,一方面提升开发及运维过程中的系统安全,在程序开发及维护过程中,加强代码的安全管理和审计,不留漏洞;另一方面对涉及到敏感数据的系统开发人员及维护人员签订保密协议,从法律层面对人为故意信息泄露给予预防。
3 结语
以上从多个角度分析了社保网上业务办理系统存在的风险问题,并给出了系统安全防护措施的一些建议。社保网上业务办理系统在为公众提供便利的社保服务的同时,对其系统的安全性、数据的安全性等切实加强保护,可以有力保障社保参保人员的信息安全。
参考文献
[1]魏小霞.Web 应用漏洞攻击及其防护[J].甘肃科技纵横,2016.
[2]石磊.提升社会保障信息系统网络安全管理水平研究[J].信息与电脑,2016.
作者简介
王为光(1981-),男,江苏省苏州市人。硕士学位。高级工程师。研究方向为信息技术,大数据。
作者单位
苏州工业园区社会保险基金和公积金管理中心 江苏省苏州市 215000
标签:社会保险论文; 网上业务论文; 信息安全论文; 苏州工业园区社会保险基金和公积金管理中心论文;