董慶軍 陳強(qiáng)

中國(guó)石化集團(tuán)江漢石油管理局有限公司住房公積金管理中心 湖北 潛江 433123

隨著國(guó)家社會(huì)保障體系的不斷建立、健全及公積金制度覆蓋范圍不斷擴(kuò)大，各地方住房公積金管理中心的業(yè)務(wù)也相應(yīng)地迅速拓展。目前，住房公積金已覆蓋到機(jī)關(guān)、事業(yè)單位和國(guó)有、集體、外資、私營(yíng)企業(yè)、社會(huì)團(tuán)體等各種性質(zhì)單位，住房公積金歸集、貸款、管理工作逐漸步入持續(xù)增長(zhǎng)、健康發(fā)展的軌道。

在信息化的不斷發(fā)展，信息化建設(shè)的不斷深入的背景下，網(wǎng)絡(luò)信息安全的問(wèn)題也逐步引起大家的重視，進(jìn)而安全建設(shè)也顯得愈發(fā)重要。近年來(lái)，維護(hù)和保障網(wǎng)絡(luò)信息安全已經(jīng)成為各國(guó)領(lǐng)導(dǎo)人的共識(shí)，并且已經(jīng)上升到了國(guó)家安全的戰(zhàn)略高度。網(wǎng)絡(luò)安全等級(jí)保護(hù)是我國(guó)信息安全保障的一項(xiàng)基本制度和方法，開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是促進(jìn)信息化發(fā)展，保障國(guó)家信息安全的重要舉措。

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（第二十一條）、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安全等級(jí)保護(hù)管理辦法》和《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》和《GB/T 22239-2019 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的相關(guān)規(guī)定及要求，各地方公積金單位核心業(yè)務(wù)系統(tǒng)需要及時(shí)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)（以下簡(jiǎn)稱“等?！保┙ㄔO(shè)整改和測(cè)評(píng)工作，切實(shí)保障核心業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行[1]。隨著等級(jí)保護(hù)2.0制度的逐步落實(shí)和實(shí)施，以應(yīng)對(duì)日漸嚴(yán)峻和復(fù)雜多變的網(wǎng)絡(luò)安全形勢(shì)。

1 信息系統(tǒng)被入侵破壞的危害

公積金業(yè)務(wù)系統(tǒng)主要服務(wù)涵蓋范圍有[2]：繳存登記、賬戶提現(xiàn)、貸款辦理、信息查詢、政策咨詢、投訴建議等服務(wù)內(nèi)容；主要服務(wù)對(duì)象多為在崗職工且受眾人群數(shù)量龐大。由此可見(jiàn)公積金業(yè)務(wù)服務(wù)范圍眾多，服務(wù)形式流程較為復(fù)雜，與銀行、經(jīng)濟(jì)、金融等產(chǎn)業(yè)相關(guān)，關(guān)系社會(huì)民生問(wèn)題。一旦業(yè)務(wù)信息系統(tǒng)遭到入侵破壞，將對(duì)公積金管理中心的社會(huì)形象造成特別嚴(yán)重影響，同時(shí)影響正常社會(huì)秩序，出現(xiàn)較嚴(yán)重的法律問(wèn)題，造成嚴(yán)重社會(huì)不良影響。因此，對(duì)這公積金系統(tǒng)開(kāi)展等級(jí)保護(hù)建設(shè)是必要的，不僅有利于公積金管理中心自身安全體系建設(shè)，而且更能保障業(yè)務(wù)的正常開(kāi)展。

2 技術(shù)安全層面

安全技術(shù)管理，主要通過(guò)技術(shù)化的手段對(duì)信息系統(tǒng)進(jìn)行綜合分析、加固、巡檢、防范，以確保信息系統(tǒng)的安全，降低系統(tǒng)所面臨的風(fēng)險(xiǎn)，把風(fēng)險(xiǎn)的可能性降到最低。

2.1 物理安全策略

物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；從物理環(huán)境角度講，地震、水災(zāi)、火災(zāi)、雷擊等環(huán)境事故，電源故障，人為操作失誤或錯(cuò)誤，電磁干擾，線路截獲等，都對(duì)信息系統(tǒng)的安全構(gòu)成威脅，保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理層的安全設(shè)計(jì)應(yīng)從三個(gè)方面考慮：環(huán)境安全、設(shè)備安全、線路安全。采取的措施包括：機(jī)房屏蔽，電源接地，布線隱蔽，傳輸加密。

2.2 訪問(wèn)控制策略

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護(hù)作用，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。

2.3 數(shù)據(jù)儲(chǔ)存和備份恢復(fù)

由于住房公積金管理中心的網(wǎng)絡(luò)中有大量的服務(wù)器和數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)和服務(wù)器是網(wǎng)絡(luò)安全中具有戰(zhàn)略性的資產(chǎn)，通常都保存著重要的隱私信息及機(jī)密信息, 這些信息需要被保護(hù)起來(lái)，以防止競(jìng)爭(zhēng)者和其他非法者獲取?；ヂ?lián)網(wǎng)的急速發(fā)展使得企業(yè)數(shù)據(jù)庫(kù)信息的價(jià)值及可訪問(wèn)性得到了提升，同時(shí)，也致使數(shù)據(jù)庫(kù)信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)。為了預(yù)防數(shù)據(jù)遭到攻擊或者人為損壞，公積金中心需要特別重視數(shù)據(jù)儲(chǔ)存和備份恢復(fù)，確保遇到突發(fā)事件時(shí)可以快速恢復(fù)。

2.4 加強(qiáng)對(duì)系統(tǒng)信息安全的審計(jì)

信息安全審計(jì)可以通過(guò)上網(wǎng)行為監(jiān)控審計(jì)、網(wǎng)絡(luò)內(nèi)容監(jiān)控審計(jì)、異常行為監(jiān)控審計(jì)等手段，對(duì)管理對(duì)象的操作行為進(jìn)行審計(jì)，有效的屏蔽黃、賭、毒、邪教、黑客等敏感信息，保護(hù)信息系統(tǒng)，進(jìn)而達(dá)到提升政府形象、避免潛在的危害信息流傳、提高企業(yè)用戶的工作效率、營(yíng)造綠色網(wǎng)絡(luò)環(huán)境的目的。

2.5 健全入侵檢測(cè)機(jī)制

入侵檢測(cè)機(jī)制主要是為了防范來(lái)自內(nèi)部和外部攻擊，作為防火墻的補(bǔ)充，建議住房公積金管理中心電子政務(wù)內(nèi)網(wǎng)和呼叫中心網(wǎng)絡(luò)部署入侵檢測(cè)系統(tǒng)，通過(guò)對(duì)網(wǎng)絡(luò)行為的監(jiān)視，來(lái)識(shí)別網(wǎng)絡(luò)的入侵的行為，并與防火墻實(shí)行聯(lián)動(dòng)設(shè)置，增強(qiáng)網(wǎng)絡(luò)安全系數(shù)。

2.6 加強(qiáng)防病毒網(wǎng)關(guān)建設(shè)

在所有計(jì)算機(jī)安全威脅中，計(jì)算機(jī)病毒是最為嚴(yán)重的，它往往是發(fā)生的頻率高、損失大、潛伏性強(qiáng)、覆蓋面廣。計(jì)算機(jī)病毒直接涉及每一個(gè)計(jì)算機(jī)使用人員，是每一個(gè)使用人員經(jīng)常會(huì)碰到和感到頭痛的事。計(jì)算機(jī)病毒事實(shí)上是一種計(jì)算機(jī)程序，具有可自我復(fù)制性、傳染性、潛伏性、破壞性等。對(duì)于公積金管理中心的網(wǎng)絡(luò)安全系統(tǒng)我們部署網(wǎng)關(guān)型的全硬件防病毒設(shè)備，實(shí)時(shí)進(jìn)行網(wǎng)絡(luò)病毒的查殺，隔離。

2.7 信息加密策略

信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端-端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。

2.8 加強(qiáng)安全巡檢

安全巡檢服務(wù)是指使用多種手段，對(duì)公積金管理中心的網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)、應(yīng)用系統(tǒng)進(jìn)行周期性的安全掃描、手工檢查、專家分析，并提交制定評(píng)估報(bào)告及加固建議。安全巡檢服務(wù)每周一次提供包括住房公積金管理中心網(wǎng)絡(luò)維護(hù)和評(píng)估、安全審計(jì)、監(jiān)控和配置管理、對(duì)相關(guān)報(bào)告和分析活動(dòng)的現(xiàn)場(chǎng)支持、分析并解決問(wèn)題等服務(wù)。

3 安全管理層面

在安全管理層面，主要是對(duì)人員和制度的管理，信息安全管理領(lǐng)域一直有“三分技術(shù)，七分管理”的原則，技術(shù)固然重要，但是管理才是核心，在信息安全管理過(guò)程中我們可以借助先進(jìn)的技術(shù)手段輔助我們進(jìn)行多層次、全方位的管理。

3.1 人員管理

人員安全管理是信息安全管理的重中之重，人員安全管理就是讓員工能正確使用和處理信息、系統(tǒng)保障信息系統(tǒng)的安全。如何對(duì)公積金管理中心的人員進(jìn)行有效的管理是安全管理的重要內(nèi)容，主要措施如下：

（1）建立有效的安全管理組織機(jī)構(gòu)。安全管理組織機(jī)構(gòu)是信息安全管理的基礎(chǔ)。是否擁有健全的安全組織機(jī)構(gòu)與網(wǎng)絡(luò)信息的安全與保密密切相關(guān)。這種安全組織機(jī)構(gòu)不應(yīng)隸屬于諸如網(wǎng)絡(luò)或信息之類的部門，而應(yīng)由從中心層面成立信息安全領(lǐng)導(dǎo)小組,職責(zé)包括制度的審批、批準(zhǔn)發(fā)布及定期組織對(duì)安全管理制度進(jìn)行更新、審定，并形成評(píng)審記錄或在管理制度文檔中填寫版本修改歷史信息。安全組織機(jī)構(gòu)的目的是為了統(tǒng)一規(guī)劃公積金中心信息安全組織機(jī)構(gòu)的建立，明確了信息安全管理的目標(biāo)，保障信息安全有關(guān)的決策和實(shí)施。

（2）加強(qiáng)對(duì)人員崗位的管理。首先是明確人員的職責(zé)范圍和權(quán)限，做到責(zé)任到人，根據(jù)人員的工作經(jīng)驗(yàn)、能力、業(yè)務(wù)要求等決定員工需要能夠掌握的信息范圍及權(quán)限，員工日常的信息安全管理必須做到細(xì)致與日志記錄。

（3）定期對(duì)人員進(jìn)行安全培訓(xùn)。信息安全是動(dòng)態(tài)發(fā)展的，黑客攻擊手段在不斷更新，新的病毒程序也不斷產(chǎn)生。安全培訓(xùn)可以幫助及時(shí)掌握 新的安全技術(shù)。同時(shí)工作人員還要求充分了解公積金業(yè)務(wù)中的安全方針政策、相關(guān)法律法規(guī)，另外還要專門針對(duì)技術(shù)管理人員進(jìn)行培訓(xùn)，提高管理和執(zhí)行組織的安全解決方案的制定能力。

（4）加強(qiáng)工作人員安全意識(shí)?，F(xiàn)實(shí)管理中，有很多信息風(fēng)險(xiǎn)是因?yàn)椴僮魅藛T安全意識(shí)薄弱所造成的，而加強(qiáng)工作人員安全意識(shí)是降低內(nèi)部系統(tǒng)安全隱患的 好的、投入回報(bào)比 高的措施。通過(guò)培養(yǎng)管理人員的安全意識(shí)，會(huì)提高管理人員發(fā)現(xiàn)安全問(wèn)題的敏銳性和自覺(jué)性。

（5）加強(qiáng)對(duì)人員安全管理。建議與招聘人員簽署保密協(xié)議，并與從事關(guān)鍵崗位的工作人員簽署崗位安全協(xié)議，在崗位安全協(xié)議中對(duì)離職后的保密義務(wù)進(jìn)行約定。并對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核，考核內(nèi)容及考核方式應(yīng)與其他崗位人員進(jìn)行區(qū)別，記錄考核結(jié)果，并將結(jié)果進(jìn)行歸檔保存。

3.2 制度管理

（1）制度建設(shè)。完善制度體系建設(shè)，按照信息保密級(jí)別的不同，對(duì)機(jī)關(guān)、部門、組織甚至個(gè)人，設(shè)定信息安全防范等級(jí)標(biāo)準(zhǔn)，而每個(gè)級(jí)別的標(biāo)準(zhǔn)要求具體化。避免定密過(guò)寬過(guò)高，以及不定密等情況的發(fā)生。根據(jù)業(yè)務(wù)需求，梳理、重塑業(yè)務(wù)流程，制定整套成體系的管理制度。安全管理制度集內(nèi)應(yīng)至少包含以下安全管理制度：對(duì)機(jī)構(gòu)信息化工作的總體目標(biāo)、范圍、原則和安全框架等進(jìn)行說(shuō)明的《信息安全管理辦法》以及針對(duì)管理活動(dòng)中的各類管理內(nèi)容進(jìn)行規(guī)范的《機(jī)房安全管理制度》、《網(wǎng)絡(luò)安全管理制度》、《系統(tǒng)運(yùn)行維護(hù)管理制度》、《數(shù)據(jù)及信息安全管理制度》、《信息資產(chǎn)管理制度》、《用戶登記與用戶管理制度》、《備份與恢復(fù)管理制度》、《密碼管理制度》、《安全責(zé)任制度》、《崗位與人員管理制度》、《信息安全產(chǎn)品采購(gòu)、使用管理制度》、《安全事件報(bào)告和處置管理制度》、《信息系統(tǒng)安全應(yīng)急處置預(yù)案》等[3]。

（2）落實(shí)責(zé)任。根據(jù)赫次伯格的激勵(lì)-保健理論，管理中，要通過(guò)改變?nèi)说木窳α炕驙顟B(tài)，起到加強(qiáng)、激發(fā)和推動(dòng)作用，并且指導(dǎo)和引導(dǎo)人們的行為指向目標(biāo)，其中，責(zé)任是一種重要的激勵(lì)方式。把責(zé)任落實(shí)到人，關(guān)鍵是要制定符合實(shí)際的管理制度。有相關(guān)學(xué)者提出，信息安全保密管理要向“精細(xì)化管理”轉(zhuǎn)變，其實(shí)質(zhì)就是要以管理制度為基礎(chǔ)，并落實(shí)好制度。

（3）建立應(yīng)急預(yù)案制度。應(yīng)急預(yù)案制度，要求按照安全事件相關(guān)標(biāo)準(zhǔn)，結(jié)合信息系統(tǒng)的實(shí)際情況，通過(guò)預(yù)測(cè)、評(píng)估和分析事件對(duì)信息系統(tǒng)的破壞程度，以及所造成后果嚴(yán)重程度，將安全事件依次進(jìn)行等級(jí)劃分，通過(guò)對(duì)安全事件的等級(jí)分析，在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同安全事件的應(yīng)急預(yù)案。并在統(tǒng)一的應(yīng)急預(yù)案框架下，明確應(yīng)急預(yù)案中各部門的職責(zé)，并協(xié)調(diào)各部門間的合作和分工。要制定安全事件的報(bào)告程序，對(duì)接報(bào)的安全事件進(jìn)行分析，明確安全事件等級(jí)、影響程度以及優(yōu)先級(jí)等，確定是否應(yīng)對(duì)安全事件啟動(dòng)應(yīng)急預(yù)案。對(duì)于應(yīng)該啟動(dòng)應(yīng)急預(yù)案的安全事件按照應(yīng)急預(yù)案響應(yīng)機(jī)制進(jìn)行安全事件處置。對(duì)未知安全事件的處置，應(yīng)根據(jù)安全事件的等級(jí)，制定安全事件處置方案，包括安全事件處置方法以及應(yīng)采取的措施等；并按照安全事件處置流程和方案對(duì)安全事件進(jìn)行處置。

一旦安全事件得到解決，對(duì)于未知的安全事件進(jìn)行事件記錄，分析記錄信息并補(bǔ)充所需信息，使安全事件成為已知事件，并文檔化；對(duì)安全事件處置過(guò)程進(jìn)行總結(jié)，制定安全事件處置報(bào)告，并對(duì)相關(guān)的文檔資料進(jìn)行歸檔保存。

4 結(jié)束語(yǔ)

隨著信息化建設(shè)步伐的加快，信息安全管理顯得愈發(fā)重要，因此全面加強(qiáng)公積金管理中心信息安全管理，信息系統(tǒng)建設(shè)和安全管理的基礎(chǔ)，也是實(shí)現(xiàn)公積金安全發(fā)展的迫切需要，是新時(shí)期管理工作的一個(gè)重大課題。網(wǎng)絡(luò)安全等級(jí)的保護(hù)的建設(shè)只是一個(gè)基礎(chǔ)的開(kāi)始，公積金管理中心的信息網(wǎng)絡(luò)安全管理工作，是一個(gè)長(zhǎng)期、艱巨的工作，它涉及每一個(gè)員工以及日常運(yùn)行維護(hù)的每一個(gè)環(huán)節(jié)。信息安全管理體系本身并不能帶來(lái)信息安全，只有靠每一個(gè)員工的身體力行，積極參與，把安全體系一步步落實(shí)到信息化建設(shè)的每一個(gè)環(huán)節(jié)，才能給信息管理帶來(lái)真正的安全。