前言：本站為你精心整理了人力資源社會(huì)保障信息網(wǎng)絡(luò)安全建設(shè)范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：隨著“互聯(lián)網(wǎng)+人社”不斷推進(jìn)，人力資源和社會(huì)保障信息系統(tǒng)的網(wǎng)絡(luò)安全問題變得越來越嚴(yán)重，本文借鑒了“縱深防御（Defense-in-Depth）”理論，提出了通過多維度要素相互配合協(xié)調(diào)以完成信息保障工作，這三要素由人、技術(shù)和操作構(gòu)成，形成一個(gè)有機(jī)的整體，來共同實(shí)現(xiàn)組織職能、業(yè)務(wù)運(yùn)作的思想。

關(guān)鍵詞：互聯(lián)網(wǎng)+；網(wǎng)絡(luò)安全；縱深防御

隨著南京市金保二期上線以來，人社部門著力于打破原有的信息壁壘，努力建設(shè)“互聯(lián)網(wǎng)+人社”的網(wǎng)絡(luò)新生態(tài)。通過和“我的南京”APP互動(dòng)、網(wǎng)上辦事和查詢功能，逐漸實(shí)現(xiàn)“數(shù)據(jù)多跑路、群眾少跑腿”的目標(biāo)。但是，不可否認(rèn)的是，隨著“互聯(lián)網(wǎng)+”的推動(dòng)，網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)也在逐漸增加。人社系統(tǒng)的關(guān)鍵業(yè)務(wù)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)，全部位于內(nèi)網(wǎng)。隨著“互聯(lián)網(wǎng)+”的推動(dòng)，內(nèi)外網(wǎng)的協(xié)作應(yīng)用越來越多，兩網(wǎng)從最早的完全隔離，到有數(shù)據(jù)交換，再到應(yīng)用與數(shù)據(jù)的實(shí)時(shí)調(diào)用，內(nèi)外網(wǎng)之間的邊界功能正在變得越來越模糊。因此，從互聯(lián)網(wǎng)側(cè)向內(nèi)網(wǎng)發(fā)起滲透的可能也越來越高，內(nèi)網(wǎng)的重要資產(chǎn)面臨更多種類的威脅。此外，隨著數(shù)據(jù)的集中，人社系統(tǒng)的信息資產(chǎn)價(jià)值也在不斷提升?，F(xiàn)在已有的用戶數(shù)據(jù)基本囊括了所有參保人員的個(gè)人信息、家庭成員、戶籍信息、勞動(dòng)關(guān)系、社保數(shù)據(jù)、醫(yī)保數(shù)據(jù)，并且與房產(chǎn)、民政、公安等部門實(shí)現(xiàn)了互聯(lián)……如此龐大數(shù)量的信息，一旦被泄露、篡改或者破壞，帶來的影響是災(zāi)難性的。綜上所述，人力資源和社會(huì)保障信息系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)重任在肩，絲毫不能懈怠。

1整體建設(shè)思路

如何去實(shí)踐網(wǎng)絡(luò)安全建設(shè)，合理保障人力資源和社會(huì)保障信息系統(tǒng)中的數(shù)據(jù)安全呢？從攻防對(duì)抗的角度而言，攻擊者的能力越來越強(qiáng)、攻擊方式越來越智能，以合規(guī)為目標(biāo)的安全建設(shè)已經(jīng)不能完全滿足實(shí)際需求，通過網(wǎng)絡(luò)安全設(shè)備的單純堆疊構(gòu)成的防護(hù)措施面對(duì)新型威脅諸如APT攻擊、勒索病毒和挖礦木馬顯得非常脆弱。當(dāng)前，人力資源和社會(huì)保障部門需要構(gòu)建縱深防御體系以應(yīng)對(duì)新型安全威脅，控制整體安全風(fēng)險(xiǎn)。這里，信息保障技術(shù)框架（InformationAssuranceTechnicalFramework）理論從整體過程的角度看待信息安全問題，值得我們借鑒學(xué)習(xí)。IATF是一項(xiàng)專業(yè)面向商業(yè)和政府機(jī)構(gòu)網(wǎng)絡(luò)安全的研究，其代表理論為“深度防御（Defense-in-Depth）”。首次提出了通過人、技術(shù)和操作三者的融會(huì)貫通來共同實(shí)現(xiàn)組織和技術(shù)兩個(gè)維度的性能提升。其既是組織職能/業(yè)務(wù)運(yùn)作的中心思想，同時(shí)也是技術(shù)/信息基礎(chǔ)設(shè)施管理的關(guān)鍵三要素。IATF認(rèn)為，這種融合能夠?yàn)樾畔⒈Ｕ系牟呗?、過程、技術(shù)和機(jī)制乃至為整個(gè)組織的信息基礎(chǔ)設(shè)施的所有層面提供穩(wěn)健的信息保障[1]。

（1）人（People）

人是信息系統(tǒng)的主體，信息系統(tǒng)生命周期的每個(gè)階段都和人息息相關(guān)。系統(tǒng)開發(fā)單位是信息系統(tǒng)的提供者；采購方是信息系統(tǒng)的擁有者和管理者；而信息系統(tǒng)的使用者更有可能是沒有任何具象特征的普通大眾。人的復(fù)雜性和不可預(yù)知性決定其是信息保障體系的核心，是系統(tǒng)管理的第一要素，但卻也是最不可控、最脆弱的因素。由于有了如上的認(rèn)知，為信息系統(tǒng)制定一個(gè)完善的安全管理體系就愈發(fā)重要。信息安全保障體系，就是一套完善的安全培訓(xùn)、管理體系，包含了意識(shí)培訓(xùn)、組織管理、技術(shù)管理和操作管理等多方面[2]。然而在信息系統(tǒng)的安全建設(shè)中，卻經(jīng)常忽視人的作用，認(rèn)為技術(shù)手段是解決問題的主要手段，這種思路是偏頗的。對(duì)人的管理，需要三個(gè)要素，缺一不可。其一，行政力度?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條“制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任”。根據(jù)網(wǎng)絡(luò)安全法、等級(jí)保護(hù)2.0系列標(biāo)準(zhǔn)和即將施行的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例，明確了各單位網(wǎng)絡(luò)安全負(fù)責(zé)人為該單位的一把手。由上向下的安全管理才可以保證其執(zhí)行力度，有執(zhí)行力度的安全管理才能確保有效。其二，精細(xì)條目。如果單純從合規(guī)性角度出發(fā)，很多管理制度往往流于形式。真正能夠解決問題和適用于本單位的管理制度，一定是精細(xì)的、量身制定的。能夠與崗位掛鉤，落實(shí)到具體經(jīng)辦人，并且有可操作性、可記錄性。輔以各類記錄、表單，能夠把各類常態(tài)化事務(wù)和臨時(shí)性事務(wù)都做好記錄，便于追溯。其三，量化考評(píng)。在確定管理制度的力度和條目后，還需要通過量化考評(píng)，將安全管理制度體系落到實(shí)處、嚴(yán)格執(zhí)行。這里需要制定網(wǎng)絡(luò)安全領(lǐng)域的KPI，將安全管理制度的執(zhí)行狀況，通過指標(biāo)體系轉(zhuǎn)換為可以量化評(píng)估的一系列單元（如關(guān)鍵資產(chǎn)在線率、防病毒軟件安裝率、定期任務(wù)完成率、應(yīng)急事件處理成功率等）。如此一來，可以將管理與技術(shù)結(jié)合起來，實(shí)現(xiàn)客觀評(píng)估的管理。

（2）技術(shù)（Technology）

技術(shù)是實(shí)現(xiàn)信息保障的重要手段。除了包含以防護(hù)為主的靜態(tài)技術(shù)體系，還包含了主動(dòng)防御、入侵檢測(cè)、異常響應(yīng)、快速恢復(fù)并重的動(dòng)態(tài)的技術(shù)體系。一套完備的信息保障體系是由靜態(tài)、動(dòng)態(tài)兩套防護(hù)機(jī)制來實(shí)現(xiàn)的[3]。從技術(shù)角度而言，傳統(tǒng)的基于網(wǎng)關(guān)設(shè)備的靜態(tài)的防護(hù)能力已經(jīng)不能夠適應(yīng)新的安全環(huán)境，因?yàn)闆]有任何防護(hù)技術(shù)或者安全設(shè)備是100%永久有效的?？v深防御的技術(shù)路線是假設(shè)邊界防護(hù)已經(jīng)不夠安全和隨時(shí)可能失效，通過高能力的檢測(cè)、細(xì)粒度的審計(jì)、智能化的分析，最快時(shí)間定位安全事件，迅速響應(yīng)，從而消除影響和控制損失，最終實(shí)現(xiàn)更全面的保障效果。這和P2DR模型的理念也是趨同的——“及時(shí)的檢測(cè)和響應(yīng)就是安全”，“及時(shí)的檢測(cè)和恢復(fù)就是安全”。我們的安全技術(shù)路線的方向：提高系統(tǒng)的防護(hù)時(shí)間Pt，降低檢測(cè)時(shí)間Dt和響應(yīng)時(shí)間Rt。具體的實(shí)現(xiàn)方法，就是構(gòu)建全面態(tài)勢(shì)感知體系。態(tài)勢(shì)感知最早被運(yùn)用在軍事領(lǐng)域，按順序分別為態(tài)勢(shì)提取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)三個(gè)步驟。隨著互聯(lián)網(wǎng)技術(shù)日益復(fù)雜、互聯(lián)網(wǎng)價(jià)值日益提升，網(wǎng)絡(luò)空間已然為繼海陸空之后的“第四大戰(zhàn)場(chǎng)”。網(wǎng)絡(luò)態(tài)勢(shì)感知（CyberspaceSituationAwareness，CSA）也由此應(yīng)運(yùn)而生，通過對(duì)海量的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，動(dòng)態(tài)提取其中會(huì)對(duì)安全態(tài)勢(shì)產(chǎn)生重要影響的數(shù)據(jù)并加以分析，以此來判斷網(wǎng)絡(luò)當(dāng)前狀態(tài)。并根據(jù)人工智能、大數(shù)據(jù)等技術(shù)，結(jié)合資深網(wǎng)絡(luò)安全工程師的經(jīng)驗(yàn)智慧，來預(yù)測(cè)網(wǎng)絡(luò)未來一段時(shí)間內(nèi)的安全態(tài)勢(shì)。形象地說，網(wǎng)絡(luò)態(tài)勢(shì)感知的目標(biāo)就是要準(zhǔn)確找出那只能夠掀起網(wǎng)絡(luò)安全風(fēng)暴的蝴蝶，并提前捏住它的翅膀[4]。2016年4月19日，總書記在與網(wǎng)絡(luò)安全業(yè)界人士座談會(huì)上明確指出：“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力[5]?！比旌蛉轿桓兄W(wǎng)絡(luò)安全態(tài)勢(shì)。知己知彼，才能百戰(zhàn)不殆。沒有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)。全方位態(tài)勢(shì)感知的實(shí)現(xiàn)流程大致包括4個(gè)步驟，分別是各類安全要素信息的獲取、面向態(tài)勢(shì)感知的集中數(shù)據(jù)分析、多維度態(tài)勢(shì)感知的呈現(xiàn)、預(yù)警通告及處置。一、要素獲取。態(tài)勢(shì)感知體系通過對(duì)接網(wǎng)絡(luò)中的各類安全設(shè)備、子系統(tǒng)、安全數(shù)據(jù)源來獲取各類影響網(wǎng)絡(luò)安全的因素，包括攻擊類信息、對(duì)象弱點(diǎn)類信息、系統(tǒng)運(yùn)行類信息以及外部威脅情報(bào)信息。

二、數(shù)據(jù)分析。匯集了海量多方位安全要素信息的基礎(chǔ)上，態(tài)勢(shì)感知體系將綜合這些數(shù)據(jù)，面向總體安全態(tài)勢(shì)的認(rèn)知和監(jiān)測(cè)進(jìn)行數(shù)據(jù)的融合、關(guān)聯(lián)分析和發(fā)掘分析。這其中包括對(duì)資產(chǎn)及業(yè)務(wù)對(duì)象受到攻擊威脅和自身風(fēng)險(xiǎn)程度的分析、復(fù)雜攻擊的攻擊過程及攻擊目標(biāo)分析、攻擊的危害及影響范圍分析、攻擊威脅溯源分析、外部威脅情報(bào)與內(nèi)部安全信息比對(duì)分析等。這些分析處理工作將為上層態(tài)勢(shì)呈現(xiàn)提供數(shù)據(jù)和計(jì)算任務(wù)的支撐。三、態(tài)勢(shì)呈現(xiàn)。經(jīng)過全面的安全要素獲取和數(shù)據(jù)信息的集中處理分析，態(tài)勢(shì)感知可以實(shí)現(xiàn)全方位的態(tài)勢(shì)呈現(xiàn)，包括資產(chǎn)感知、攻擊感知、風(fēng)險(xiǎn)感知、漏洞感知、威脅感知、運(yùn)行感知這六個(gè)主要維度和安全態(tài)勢(shì)總攬。通過這六個(gè)維度有助于把龐大復(fù)雜的態(tài)勢(shì)感知信息處理體系進(jìn)行分維度的理解和構(gòu)建，所有的安全要素信息的采集和處理都可以圍繞這幾個(gè)維度展開，并且在態(tài)勢(shì)感知過程中所有的數(shù)據(jù)分析及可視化呈現(xiàn)都可以在對(duì)應(yīng)的維度中進(jìn)行。四、預(yù)警通告。可以通過觸發(fā)規(guī)則來觸發(fā)告警或預(yù)警，各種類型的安全信息或態(tài)勢(shì)分析結(jié)果作為條件來觸發(fā)告警或預(yù)警。通過多種通告方式，快速的通知相關(guān)責(zé)任人員，使相關(guān)人員實(shí)時(shí)得知安全威脅和態(tài)勢(shì)預(yù)警，便于快速做出響應(yīng)。通過工單流處理的方式，將安全問題放在定義好的處置流程中，由指定的人員和規(guī)范的步驟來操作。每類告警、預(yù)警或安全問題都可以設(shè)定對(duì)應(yīng)的處理流程，工單流程自動(dòng)處置流轉(zhuǎn)，直至問題的解決。綜上所述，態(tài)勢(shì)感知可以極大提升安全檢測(cè)、安全分析能力，輔助提升安全響應(yīng)能力，從而降低檢測(cè)時(shí)間Dt和響應(yīng)時(shí)間Rt，從而顯著提升安全保障能力。

（3）操作（Operation）

操作（或稱運(yùn)行），它構(gòu)成了安全保障的主動(dòng)防御體系。正是操作和流程將完全客觀被動(dòng)的技術(shù)和發(fā)揮主觀能動(dòng)性的人緊密結(jié)合起來。通過技術(shù)高效提升人的效率、降低人的不可靠性。具體來說，操作包括風(fēng)險(xiǎn)評(píng)估、安全監(jiān)控、安全審計(jì)、跟蹤告警、入侵檢測(cè)、響應(yīng)恢復(fù)等內(nèi)容[1]?？紤]到人力資源和社會(huì)保障信息系統(tǒng)數(shù)量多、系統(tǒng)研發(fā)周期長(zhǎng)、系統(tǒng)生命周期不同步等等性質(zhì)，單純基于運(yùn)行階段的安全運(yùn)維管理不足以滿足人社信息系統(tǒng)的安全保障要求。為了保證信息系統(tǒng)在“規(guī)劃-開發(fā)-測(cè)試-運(yùn)行-廢棄”階段的全生命周期安全，體現(xiàn)《網(wǎng)絡(luò)安全法》要求的“同步規(guī)劃、同步建設(shè)、同步使用”原則，人力資源和社會(huì)保障部門需要引入信息系統(tǒng)全生命周期的安全運(yùn)維管理。通過全生命周期的安全運(yùn)維管理，可以將安全服務(wù)與安全技術(shù)結(jié)合，把信息安全風(fēng)險(xiǎn)管理引入信息系統(tǒng)生命周期的每一階段，從信息系統(tǒng)規(guī)劃階段開始進(jìn)行風(fēng)險(xiǎn)控制，使用最小投入，達(dá)到最佳的風(fēng)險(xiǎn)管理效果，最終實(shí)現(xiàn)全面的信息安全保障。

一、規(guī)劃階段。從規(guī)劃階段開始引入安全設(shè)計(jì)會(huì)顯著減少后續(xù)的應(yīng)用漏洞，降低安全運(yùn)營(yíng)成本。本階段就開始做等級(jí)保護(hù)定級(jí)與功能設(shè)計(jì)，可以引入安全架構(gòu)設(shè)計(jì)與安全開發(fā)培訓(xùn)。

二、開發(fā)階段。開發(fā)階段可以通過源代碼審計(jì)和風(fēng)險(xiǎn)評(píng)估實(shí)現(xiàn)軟件質(zhì)量的控制，提前解決安全隱患，降低風(fēng)險(xiǎn)控制成本。

三、測(cè)試階段。應(yīng)用系統(tǒng)上線之前，需要和運(yùn)行環(huán)境一起，通過漏洞掃描、安全配置核查和滲透測(cè)試，確保系統(tǒng)上線前的脆弱性可控。

四、運(yùn)行階段。通過日常安全運(yùn)維，定期做策略配置優(yōu)化、系統(tǒng)更新、補(bǔ)丁和規(guī)則庫更新、安全事件分析處理；處理好臨時(shí)性事務(wù)如應(yīng)急響應(yīng)和重大時(shí)期保障。和集成商、供應(yīng)商、服務(wù)商、電信運(yùn)營(yíng)商和執(zhí)法機(jī)關(guān)等外聯(lián)單位保持良好溝通以便隨時(shí)合作。五、廢棄階段。做好數(shù)據(jù)備份和剩余信息清除工作。

2小結(jié)

構(gòu)建縱深防御體系的三要素之間的關(guān)系是——“人”利用“技術(shù)”進(jìn)行“操作”。所以說，三要素之間是一個(gè)有機(jī)的整體，是需要緊密結(jié)合的，缺一不可。對(duì)人力資源和社會(huì)保障部門而言，構(gòu)建縱深防御體系是長(zhǎng)久大計(jì)，不是一朝一夕之功；是上下齊心內(nèi)外結(jié)合，不是孤軍作戰(zhàn)。建議以本單位人員為主，聯(lián)合協(xié)同單位，建設(shè)一套完備的安全梯隊(duì)，分工合作，共同成長(zhǎng)。

參考文獻(xiàn)：

[1]張勇.基于訪問控制的鐵路網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].復(fù)旦大學(xué)，2009.

[2]唐洪玉.電信支撐系統(tǒng)信息安全體系研究及應(yīng)用[D].太原理工大學(xué)，2008.

[3]趙進(jìn)延.國(guó)家電子政務(wù)建設(shè)中構(gòu)建可信體系的重要性[C].中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)會(huì)議論文集，2007.

[4]李治霖.工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究[D].長(zhǎng)春工業(yè)大學(xué)，2020.

[5]王雅蕾.中國(guó)網(wǎng)絡(luò)社會(huì)政治風(fēng)險(xiǎn)的風(fēng)險(xiǎn)源研究[D].華中科技大學(xué)，2019.

作者：李哲  單位：南京市江寧區(qū)人力資源和社會(huì)保障信息化管理服務(wù)中心