浅谈保险网上业务系统安全防护建设范文

【关键词】社会保险；网上业务；信息安全

1目前社保网上业务办理系统存在的安全隐患

1.1技术角度存在的隐患

从技术角度，社保网上业务办理系统面临从互联网外部进行攻击的风险，最近几年常发生的有五个几个方面的问题。一是网上业务办理系统框架问题。网上业务办理系统的框架漏洞很容易被网络自动攻击工具所查找到，框架漏洞会造成整个网上系统被攻破；二是网络安全链路问题。网络安全链路能够保障整个网络访问路径的安全，其中任何一个环节的缺失或者存在漏洞都有可能造成整个网络安全链路的防护失败，进而造成信息泄露；三是系统软件漏洞。随着信息技术的快速发展，系统软件出现漏洞是很正常的事情，特别是对于刚被发现的漏洞很容易被利用，如不及时发现并打补丁进行修复，就会存在较大的信息安全隐患；四是Web漏洞。Web漏洞包括SQL注入漏洞、跨站脚本漏洞、弱口令漏洞、Struts2远程命令执行漏洞、文件上传漏洞、未加密登录请求、HTTP报头追踪漏洞等多种常见方式，任何一个漏洞都是安全隐患；五是数据传输问题。社保网上业务办理系统涉及到数据的传输，外网到内网的传输，以及与上级部门的信息传输等。数据在传输过程中，如未进行加密，进行明文传输，就会存在数据被劫持、信息泄露的风险。

1.2管理角度存在的隐患

1.2.1信息部门管理信息部门负责整体系统的运行，信息人员如果对网上业务办理系统的不了解，或者管理不到位可能造成信息安全存在风险。

1.2.2第三方软件开发人员及运维人员管理第三方软件开发及运维人员对数据库中数据存在批量导出风险，特别是第三方人员的数据库DBA（数据库管理人员）的拖库风险，同时运维人员违规访问数据库等都会造成系统数据的泄露。

1.2.3测试环境管理信息系统都涉及到一个测试环境的问题，软件系统上线前需要在测试环境进行测试、联调。测试环境的数据不应为真实的生产环境的数据，如果测试环境的数据没有经过数据处理或者测试环境的数据部分为生产环境的真实数据，都会存在数据泄漏风险。

2社保网上业务办理系统安全防护建设

2.1加强规章制度建设

加强建立信息安全管理规章制度,根据《信息系统安全等级保护基本要求》，《信息系统安全管理要求》，《数据库安全管理规范》等标准规范要求，结合自己的实际情况在信息安全管理制度、人员管理、系统建设管理、系统运维管理、数据库安全管理等方面建立健全符合实际需要的安全管理制度。

2.2提升技术防护建设

2.2.1漏洞扫描通过Web扫描器和漏洞扫描设备进行漏洞扫描，可以针对性的发现漏洞，根据漏洞扫描结果，及时进行漏洞修复。

2.2.2渗透测试通过人工模拟恶意攻击者在不同的位置（比如从内网、从外网等位置）利用各种方式对某个特定网络进行攻击测试并发现漏洞的技术和攻击手段，对网络链路、系统软件、服务器、应用系统的安全性作深入的探测，发现系统最脆弱的环节，以期发现和挖掘系统中存在的漏洞的过程。完成渗透测试之后，根据结果对漏洞进行及时修复。

2.2.3系统安全框架防护在系统建设时根据安全要求，完成安全框架的设计和建设。比如对访问IP进行实时监控，根据访问时长、频率等进行记录分析，及时发现攻击行为并自动添加黑名单，保护系统安全。

2.2.4安全加固安全加固包括操作系统加固、数据库加固、中间件加固等。根据信息安全的相关标准和要求，对系统所涉及网络结构、网络设备、主机设备、安全设备、应用系统等进行安全加固。

2.2.5安全巡检安全巡检包括物理安全、设备安全、主机安全、应用安全等方面的定期巡检。通过对部署的所有的信息化设备、应用系统、网络的检查等，能够早期发现各设备、应用系统、网络的故障征兆和性能隐患、以便及时预防和排除，保证和保障所有信息化设备及应用系统正常、安全的运行。

2.2.6实时监控通过自动化程序，对社保网上业务办理系统服务器进行实时监控，及时发现服务器问题。对应用服务通过监控软件实施7×24小时全天候监控，对系统存在的异常情况，通过邮件、短信、电话等多种形式及时通知管理人员，以便及时进行维护。

2.2.7密码安全防护和密文传输加强用户密码的安全认证，避免使用弱密码；用户修改密码时，不允许使用弱密码。在数据的前后端交互中，对敏感信息进行加密传输，保护数据不会轻易被劫取、篡改。

2.2.8读写分离添加数据访问层，将对数据库的操作通过不同用户权限进行读写分离，增强数据安全防护。

2.2.9使用HTTPS协议HTTP协议信息流为明文传输，攻击者可截取数据报文或伪造站点劫持用户访问，造成数据信息泄漏。使用HTTPS协议访问，通过对数据进行加密传输，加强用户数据的安全。

2.3加大人员培训管理

2.3.1信息人员队伍建设社保经办机构信息部门负责信息化的整体运行。应该加强对信息部门工作人员的安全培训，提高技术水平，提升安全防范意识，规避信息安全风险。同时根据系统特征，配备专门网络维护人员并建立紧急预案，对随时可能到来的攻击以及网络瘫痪等随机状况进行有效监督和及时处理。

2.3.2第三方开发、运维公司队伍建设对第三方开发人员及运维人员进行安全培训，一方面提升开发及运维过程中的系统安全，在程序开发及维护过程中，加强代码的安全管理和审计，不留漏洞；另一方面对涉及到敏感数据的系统开发人员及维护人员签订保密协议，从法律层面对人为故意信息泄露给予预防。

3结语

以上从多个角度分析了社保网上业务办理系统存在的风险问题，并给出了系统安全防护措施的一些建议。社保网上业务办理系统在为公众提供便利的社保服务的同时，对其系统的安全性、数据的安全性等切实加强保护，可以有力保障社保参保人员的信息安全。

参考文献

[1]魏小霞.Web应用漏洞攻击及其防护[J].甘肃科技纵横,2016.

[2]石磊.提升社会保障信息系统网络安全管理水平研究[J].信息与电脑,2016.

作者：王为光 单位：苏州工业园区社会保险基金和公积金管理中心