王 遠

（煙臺市福山區(qū)社會保險服務中心，山東 煙臺 265500）

當前我國在信息安全方面頒布實施了一系列法規(guī)及技術標準，如《通信網絡安全防護管理辦法》《信息安全等級保護管理辦法》等，這些規(guī)定均對信息網絡安全作出了明確的規(guī)定。但是具體到社保系統(tǒng)來看，還未建立起相應的信息安全管理制度，以致于社保信息系統(tǒng)存在較多的安全隱患。

1 社保系統(tǒng)的管理現(xiàn)狀

從我國社保系統(tǒng)管理的現(xiàn)狀來看，仍然存在許多系統(tǒng)漏洞，這反映出了我國關于國計民生的重要信息系統(tǒng)在安全防護上存在不足。社保系統(tǒng)漏洞主要表現(xiàn)在以下幾個方面：

1.1 結構化查詢語言注入漏洞

結構化查詢語言（SQL）注入系統(tǒng)中，可以達到欺騙服務器執(zhí)行惡意的命令后果，表現(xiàn)為不安全的數(shù)據庫配置、不合適的轉義字符處理、不當?shù)腻e誤處理等，這一漏洞的存在，給予攻擊者在數(shù)據庫惡意執(zhí)行命令的機會，且可以探測到數(shù)據庫中重要的敏感信息。

1.2 越權訪問漏洞

越權訪問也是社保系統(tǒng)漏洞的一大表現(xiàn)，指的是在系統(tǒng)檢查授權時存在紕漏，以致于攻擊者通過不正當?shù)氖艿嚼@過權限檢查，從而訪問或操作服務器的代碼，這樣攻擊者便可以直接獲取所有用戶的信息，進而造成大量的信息泄露。

1.3 框架注入漏洞

框架注入指的是在網站站點中通過創(chuàng)建一個未命名的框架，且這個框架中內容可以是任何瀏覽器程序窗口的內容。如果存在框架注入漏洞，攻擊者便可以同創(chuàng)設一個看似無害的網站站點，并每隔一段時間自動運行腳本，雖然它的外觀與設備網站框架的常規(guī)內容相同，但是其中包含木馬功能，一旦有用戶輸入就會將所有輸入的數(shù)據提交給攻擊者。

1.4 弱口令漏洞

弱口令漏洞是當前社保系統(tǒng)中最簡單的漏洞之一，指的是容易被破解的口令，主要表現(xiàn)為部分地區(qū)社保系統(tǒng)管理人員安全意識較薄弱，在設置高權限數(shù)據庫用戶時使用了弱密碼，這給系統(tǒng)敏感性泄漏創(chuàng)造了有利條件。

2 社保系統(tǒng)信息化管理模式的探討

2.1 各系統(tǒng)漏洞的解決方法

首先，針對社保系統(tǒng)存在的SPL注入漏洞，可從使用參數(shù)化過濾性語句、檢查用戶輸入合法性、加密處理用戶登錄名稱和密碼、控制數(shù)據庫訪問權限等措施，以此降低SOL注入的風險。其次，針對越權訪問漏洞，主要是通過優(yōu)化程序設計的方式得以防范，即根據不同的應用場景設計對應的檢驗邏輯，并對數(shù)據的安全域進行劃分，以此對不同的安全域進行隔離。再次，針對框架注入漏洞，也需要優(yōu)化程序設計，但考慮每個會話中會有不同的命名框架，且難以預測框架名稱，為此可在每個框架名稱后附加用戶的會話令牌，以此實現(xiàn)有效防范。最后，針對弱口令漏洞，則需要加強系統(tǒng)管理員和用戶的安全教育，提升他們的安全意識，應設置復雜度強的密碼，并定期修改。對于重要信息，應單獨進行設置，避免與個人其他信息關聯(lián)。

2.2 加快信息安全防御體系的完善

要想提高社保系統(tǒng)信息安全管理水平，還需要從安全技術和管理制度兩個層面不斷完善。首先，在技術層面，在完善信息安全防御體系時，應注重計算機網絡安全技術、防火墻技術、病毒防護技術、入侵檢測技術等技術的綜合運用，以此構建出完整的網絡安全防護體系。其次，在管理制度方面，則需要加快完善信息安全方面的法規(guī)和技術標準，以此為社保系統(tǒng)安全管理和技術作用有效發(fā)揮提供可靠的制度支持。

2.3 優(yōu)化系統(tǒng)的架構設計

為解決社保系統(tǒng)漏洞的問題，需要從全局的角度考慮，以此探索出科學有效的信息化管理模式。首先，在大數(shù)據背景下，可通過構建大數(shù)據分析平臺，以此進行大數(shù)據監(jiān)管、大數(shù)據服務、大數(shù)據統(tǒng)一等工作，可有效對社保系統(tǒng)中相關業(yè)務進行管理分析，并為系統(tǒng)管理提供有效的技術支持。比如，可通過云結構設計，將一切數(shù)據信息存放在云上，達到共享訪問的目的。同時通過多級權限設計，讓系統(tǒng)形成一個統(tǒng)一的認證接口，保證數(shù)據訪問無障礙的同時，確保系統(tǒng)信息安全。其次，應建立一個統(tǒng)一的社保信息系統(tǒng)，將各地獨立運營的局限打破，然后在此基礎基礎上配置專業(yè)的運維隊伍，實現(xiàn)對社保信息系統(tǒng)的運維管理，確保社保信息系統(tǒng)漏洞修復及安全檢測工作專業(yè)化開展。再次，綜合運用各種數(shù)據分析技術，實現(xiàn)數(shù)據交換、基礎計算、管理分析、實時分析等集為一體的社保信息平臺，并使用OGG相關技術捕獲系統(tǒng)中增量信息，使用流程調度平臺實現(xiàn)系統(tǒng)的維護及調用，實現(xiàn)對社保系統(tǒng)數(shù)據的統(tǒng)一管理。最后，建立健全國家公民信息安全體系，將社保信息、醫(yī)療信息、戶籍信息等進行統(tǒng)一管理，避免信息重復建設和資源浪費，也能夠在政府和社會化管理的基礎上實現(xiàn)智能化管理和聯(lián)動分析，從而減少分散管理和獨立運營過程中存在的信息泄露風險。

3 結語

綜上，雖然我國加強了網絡信息安全防護的關注，并頒布實施了一系列政策法規(guī)及技術標準，但是從實際運行的情況來看，對于社保系統(tǒng)等敏感信息系統(tǒng)的涉及還不足，還需要針對社保信息系統(tǒng)中存在的問題及漏洞，加快完善相應的信息安全管理制度，同時要加大技術層面的投入，通過建立一體化的信息安全防御體系，以此加強社保系統(tǒng)的安全防護，進而保證個人信息的安全。