随着我国社保事业的飞速发展,可以说社保信息伴随着老百姓从“摇篮”到“墓地”的每一天。这些信息不仅关系到千家万户的利益,更包含了参保人的隐私。如果信息泄露,甚至被不法分子利用,那将对社会造成严重危害。所以这些庞大而极富价值的信息资源,必须有一张兼顾效率与安全的保护网。
“我们的信息系统有着哪些威胁?”“如何应对突发的网络安全事件”……近日,长沙市人力资源和社会保障局(以下简称“人社局”)举办了2016年度信息安全培训,人社局信息中心全体员工接受了为期10天的专业培训。
除了像这样的专题培训,市人社局还从组织机构、制度建设、技防体系建设等多方面发力,确保百姓在使用社保时既方便快捷,又能安全放心。
背景
社保信息安全频频受到威胁
“没有网络安全,就没有国家安全。”2014年2月27日,国家专门成立中央网络安全和信息化领导小组,对信息安全的重视已经上升到国家安全战略层面。随后,为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,全国人大于 2015年7月6日公布了《中华人民共和国网络安全法(草案)》。
随着全国信息化快速发展,信息技术特别是互联网的应用与研发促进了资源的优化配置,对经济社会发展,人民生产生活带来了日益广泛和深刻的影响。与此同时,信息技术应用带来的网络与信息安全的问题日益突出。据 Gartner调查,75%的攻击都是发生在Web应用层。同时根据《2011-2012中国互联网网站安全报告》,2011年度65%的网站都存在不同程度的安全隐患,其中约26%的网站存在高危漏洞,极易发生大规模的网站恶意入侵事件。
由于政府门户网站是落实政府机构“政务公开”和“服务社会”两大主题的重要窗口渠道,因需要被公众访问而暴露于互联网上,容易成为黑客的攻击目标。黑客和不法分子对网站的篡改、挂马、DDOS、 CC等攻击是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。
社保信息由于包含了众多人民群众的隐私,成为了许多不法分子觊觎的“目标”。“近年来,社保系统已经成为个人信息泄露‘重灾区’。”市人社局相关负责人表示,从补天漏洞响应平台获得的数据显示,目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
2015年3月,针对2013年以来人力资源社会保障业务专网先后两次发生“挖矿”事件,人社部下发了《关于继续深入开展业务专网安全专项整治工作的通知》(人社信息函[2015]18 号)要求在全国范围内集中开展人力资源社会保障系统业务专网安全专项整治工作。
意义
确保让百姓用得“舒心+放心”
互联网时代,信息化是大势所趋。为了让“百姓少跑路,信息多跑路”,长沙市人社局在“互联网+人社”的工作上着重发力,获得了社会的广泛认可。
在2016年中国“互联网+”峰会上,长沙“互联网+”总指数在全国351个城市中排名第九,“互联网+”智慧城市指数高居全国第三位,仅次于深圳、广州。长沙市人社局官方微信还获得“用户最喜爱的城市服务奖”。
在市人社局信息化建设接下来的规划中将着重建设“互联网+人社”业务,力争长沙市人社80%的业务可通过互联网进行办理,尽可能地方便老百姓办事。同时,据目前移动互联网飞跃式发展,移动智能终端的广泛使用,将人社业务办理移动互联网化也是势在必行。
“移动互联网与传统的互联网又有所不同,这就为我们的信息安全提出了更高的要求,必须与时俱进,打开思路,积极主动地去适应移动互联网这个新常态。”市人社局信息中心相关负责人表示。
电子政务的飞速发展,确实为百姓在使用社保上提供了许多便利,但由于互联网的交互性,原本的信息“孤岛”被打破,越来越多、越来越复杂的各类通道、交互,给信息安全带来了诸多隐患。因此,对电子政务安全性有极高的要求,保障电子政务安全刻不容缓。
大家都知道一个道理,如果要想保险箱安全,必须多加几把锁,可是锁多了,开箱的速度慢了,使用起来也极不方便。如何能够既满足百姓在使用便捷方面的需求,又能做到安全可靠,确保信息不被泄露,这成为了市人社局信息中心近年来工作上的重点。要想找到这个平衡,着实不易,但随着金保工程和数字人社的实施,长沙市人社局信息化发展已到了一个比较成熟的阶段,信息安全也已成为了信息系统的核心要素。
措施
“四把锁”当好信息看门人
在“互联网+”、大数据相关规划和建设中如何保障数据的安全?市人社局的方法是通过组织构建、制度建设、技术防护、人员培训这“四把锁”,全方位、多层次地守护好参保人的信息数据。
2012年8月,市人社局成立了信息安全部,其基础职能包括信息安全保障体系的建立和维护,信息安全总体规划,信息安全管理制度的制定,信息安全产品采购、验收、实施,信息安全突发事件的组织和协调,等保定级、备案、测评,安全知识培训等等。
同时,信息安全部还聘请了湖南省网络与信息安全测评中心作为合作伙伴,为市人社局提供专业、权威的信息安全服务,服务内容包括信息安全风险评估服务、信息安全加固服务、信息安全咨询服务、日常安全运维服务、应急响应服务、信息安全培训、业务专网审计服务、人社基金安全审计服务等等。
制度方面,信息中心参考ISO27000、等级保护等信息安全标准,结合市人社局实际,制定了一系列的信息安全管理制度,主要分为五大块,包括安全管理机构制度、日常管理制度、人员安全管理制度、安全建设管理制度、安全运维管理制度。目前信息中心正在逐步将这些管理制度流程化、电子化,融入市人社局现有的 OA系统、IT运维管理系统等日常办公辅助系统,确保相关管理制度能执行到位,落到实处。
针对目前数据库安全建设及管理方面存在的不足,市人社局除了在数据安全管理方面加大力度,规范管理,也将在数据安全技术防护上加大投入,目前正在进行数据库安全防护体系建设项目的规划,将从网络层、操作系统层、数据库层三个层次构建数据防护体系,部署数据库准入、数据库审计、数据脱敏、数据库防火墙、操作系统安全增强等防护产品,力求防止非法用户越权使用、窃取、更改和破坏数据,全方位保证人社数据安全。
一切的信息系统建设,都是为了在应用上的效果。信息中心结合长沙市社保卡发行、应用与推广的信息安全保障的实际需要,建设了CA认证平台,通过发放具有国家认可的法律效力的社保卡证书、岗位证书等面向社保业务定制的数字证书,为社保卡业务系统的安全运行提供保障。目前已发放1100多个岗位证书,社保卡证书已制作500多万个。
谈到今后的工作重点,信息中心相关负责人表示,大数据已经成为今后信息化发展的一个趋势,人社数据作为民生重要数据,理应在大数据交换中心占据主导地位。所以在接下来的规划中也将着重于这一块的建设,“目前已与民生、卫计、公安、商保对接建成了一个全市政务数据交换平台的雏形。”
