射阳县机关事业单位养老保险中心 孙永刚

浅述人力资源和社会保障工作中网络应用及个人信息的安全与维护

射阳县机关事业单位养老保险中心 孙永刚

随着网络应用的越来越普遍，人力资源和社会保障方方面面工作在网络的应用下越来越高效，近期我们地区在网络应用的稳定性及安全性遇到点问题，本文就这两个方面如何防护等方面谈谈个人的观点。

人力资源社会保障；网络应用；个人信息；安全维护

通常人们认为自己的数据和网络目前有一种虚假的安全感：在系统安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据，另外各大网络安全公司不断增强安全工具和补丁程序……似乎可以松口气了，但果真如此吗？

许多人还认为，自己的Mac系统跟老系统一样，也不容易遭到黑客的攻击。但是，许多Mac机运行微软Office等Windows程序，或者与Windows机器联网。这样一来，Mac机同样难免遇到Windows用户面临的漏洞。正如安全专家Cigital公司的CTO Gary McGraw所说：出现针对Win32和OS X的跨平台病毒“只是迟早的事”。Mac OS X环境也容易受到攻击，即便不是在运行Windows软件。赛门铁克公司最近发布的一份报告发现，2004年查明Mac OS X存在37种漏洞。该公司警告，这类漏洞可能会日渐成为黑客的目标，特别是因为Mac系统开始日渐流行。譬如在2004年10月，黑客编写了名为Opener的一款脚本病毒。该脚本可以让Mac OS X防火墙失效、获取个人信息和口令、开后门以便可以远程控制Mac机，此外还可能会删除数据。

另外，对数据进行加密是保护数据的一个重要环节，但不是绝无差错。Jon Orbeton是开发ZoneAlarm防火墙软件的Zone Labs的高级安全研究员，他支持加密技术，不过警告说：如今黑客采用嗅探器可是越来越完善，能够截获SSL和SSL交易信号，窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取，但加密标准却存在着几个漏洞。黑客只要拥有适当工具，就能够钻这些漏洞的空子。Orbeton说：“黑客在想方设法避开安全机制。

一、做好业务专网与互联网物理隔离

今年国庆期间，我市部分县（市、区）金保工程网络发生通讯故障，医保刷卡短时中断，经排查发现是部分县（区）机房断电和业务专网与互联网混用等原因引起的。经了解，普遍存在部分单位和窗口业务专网与互联网混网运行现象（同一台电脑既可以上业务系统又可以上互联网），存在极大的安全隐患。

互联网应用对经济社会发展和公共服务带来了广泛和深刻的影响。与此同时，网络与信息安全的问题也日益突出，据统计，75%的安全问题都来自于互联网应用层。金保工程等人社信息系统包含了大量的公民隐私信息，根据信息系统建设规范和部、省关于金保工程系统安全保护的相关要求，上述系统必须与互联网严格物理隔离。

1、明确要求。我局现有的金保系统、就业系统、新农保系统、劳动关系仲裁与监察系统、社会保障卡管理信息系统、全民参保登记、高校毕业生登记、省异地就医平台等均为专网运行的业务系统，各处室、单位人员使用业务内网的电脑只允许接入业务内网，不允许接入互联网，也不允许将内网系统接入无线网络。

2、强化责任。各单位主要负责人为信息系统安全的第一责任人。市局信息中心主要负责全市信息系统安全管理和维护工作。各县（市、区）人社部门信息中心为本单位信息安全责任部门，应做好机关处室及下属经办机构、延伸的服务窗口的内外网隔离等信息安全工作；市局各处室、直属单位的信息科（或办公室）为本区域的安全责任部门，负责本单位及延伸的服务窗口内外网隔离等安全工作。

3、加快整改。各单位、窗口和个人应做好自查和整改工作，边查边该，自查和整改工作在规定时间内结束。市局将不定期组织安全巡查，对整改情况进行督查、考核和通报。

二、加强网络工程的运维

1、检修通信设备。各地区信息中心要对机房设备、网络线路、中断设备等进行全面的故障排查，及时更换损坏设备，排出网络运行故障，确保金保信息系统运行快捷畅通。

2、加强环境监测。各地区信息中心要明确专人定期巡检设备和用电线路，彻底整改插座松动破损、线路散落交叉、用电过载等问题，并做好重点部位的温湿度检测和通风散热，谨防用电短路、电线烧灼、设备超负荷运作等安全隐患。

3、保证业务正常。为保证金保系统等各项业务正常运行，各县（市、区）机房内的市县联网交换机、电信汇聚交换机以及运营商光纤传输设备必须接入不间断UPS电源，还没单独配备UPS的县（市、区）要尽快到位。

4、梳理网络结构。各地区信息中心要准确把握机房和经办机构网络互联情况，统计各经办机构金保工程内网IP地址分配情况，并最终形成网络拓扑图，以方便网络检修和故障排除。

5、明确专职人员。各地区应明确一名专职的机房运维人员，无论是上班还是节假日期间，一定要保持电话畅通，确保能在第一时间赶到故障发生地配合检查。同时做好日常防护和上级部门的沟通汇报工作。

三、网络安全规范

1、为保证网络安全，应加强应用人员的遵纪守法教育和信息安全教育，提高安全防范意识，使操作人员具有良好的工作作风和职业道德。

2、机关事业单位局域网内各部门应设立网络安全员，负责本部门网络的安全保护工作，制定安全防范责任制，信息中心部门将定期进行检查，及时通报有关信息和网络安全管理经验。

3、信息中心部门提供公开服务的web站点。应有专人负责web站的信息发布，一般应用人员只有浏览权。

4、机关事业局域网内各部门新增用户应向中心提出申请，获准后由中心分配IP地址并提供接入服务，不得擅自私拉乱接。

5、信息中心部门负责网络设备的运行管理、负责网络资源、用户账户和安全性管理，系统管理员口令绝对保密，根据用户需求严格控制。合理分配用户权限。

6、网络用户应经常更新网络防杀病毒软件，从根源上避免病毒的传播。

7、信息中心网站信息发布以自行发布为主，信息来源及处理方式经专门负责人审定，系统软件应对访问权限严格限制，对不同的操作人员、不同的信息等级分设口令。

8、信息中心进行定期备份，对备份数据有专人进行妥善保管，确保发生意外情况时能及时恢复运行。

9、中心机房采用防静电和防火装修，平时应注意定期检查维护硬件设备，消除事故隐患。局域网内的光缆及其他网络设施应妥善保护，避免人为损坏。

10、加强监督管理工作，将使用过程中的重要信息记录到审计文件中，便于掌握全面情况，发现可疑现象，及时追查安全事故责任。

11、各入网部门应积极配合公安部门的安全检查，自觉接受公安机关的监督。发现可疑情况应及时向有关部门反映。

四、个人信息安全

坚守“三要三不要”定律护航隐私安全。

如何保护个人信用信息安全？用“三要三不要”原则护航隐私安全，可有效堵塞个人信用信息泄露的各种出口。

所谓“三要”是，一要妥善保管身份证及复印件，复印件交予他人时要注明用途；二要保管好信用报告，以及互联网查询信用报告的用户名和密码，不将金融信息告知他人；三要收藏央行征信中心官网，避免坠入钓鱼网站，一步错，步步错，最终掉入骗子连环布局的圈套，遭遇经济损失。顺应着金融互联网化的趋势，网络已成为骗子行骗新阵地，各种银行的钓鱼网站层出不穷，而央行征信中心也未能免俗。

而“三不要”则是，不将身份证件借给他人；不在网吧使用公共wifi查询征信报告，保存信用报告；不点击陌生电子邮件和手机短信中的链接网址，当心系统中病毒，导致隐私外泄。

五、提高员工信息安全意识

1、在不影响正常工作的前提下，合理利用员工碎片化时间进行宣贯工作。企业内部IT或信息安全部门，在企业内部开展员工信息安全意识宣教工作时，员工往往会觉得：一定又要耽误很多工作时间来配合。如果这项工作在开展初期就让员工产生这样的想法，那基本上已经算是失败了。

由此可见，开展这项工作时，利用员工的碎片化时间非常重要。那么，哪些是员工的碎片化时间呢？上下班地铁、公交车上；等待和上下电梯时；走路经过办公楼大厅或走廊时；工作开始前电脑开机时等。这些都是能够被利用起来，开展信息安全意识宣传教育工作的碎片化时间。

2、注重与员工工作、生活息息相关的信息安全知识点

我们在前接触国内较早开展员工信息安全意识教育工作的企业时，有个很深的感受是，不少企业在选择向员工推送的知识点时，只会选择和员工工作相关的内容，而生活方面的知识则被全部排除在外。

但随着安全意识宣教工作的不断推进，尤其是在加入与员工生活相关的信息安全知识点后，我们发现员工对信息安全宣教工作关注度反而有所提高。员工对生活相关内容的关注，反而更容易拉近信息安全宣教工作本身与员工之间的距离。

3、选择不易引起员工反感的宣传教育形式

选择了恰当的时间和员工更关注的知识点，接下来要确定的就是采用什么样的形式。基本原则就是，采用不易引起员工反感的形式。员工普遍不喜欢被动的强制教育，例如组织一场培训后强制考试。那么在开展宣教工作的时候，就一定要避免这一点。

在某些办公场所展示信息安全宣教内容，例如会议室、茶水间、打印房等，张贴相关提示的海报，开会前后或者中场休息的间隙，播放信息安全意识的宣传教育短片，这些都是不易引起员工反感，润物细无声的宣教方式。

4、新颖的表现形式，引起员工注意力

如何将信息安全知识更好地呈现给员工，是尤其需要注意并且花心思的事情。如果将内容白纸黑纸的直接呈现在员工面前，那基本上就可以不用期待多高关注度了。普通员工绝大部分不是做IT或者信息安全的，因此“将知识本身转换成为员工能懂的语言”这一点至关重要。同时还要以员工更易接受的形式输出，例如赏心悦目的海报、生动幽默的动画片、震撼冲击力强的教育宣传片，或者随时可翻阅的手机图片等，都是不错的选择。

5、短期与长期计划相结合

选择好了宣教的对象、知识点和内容及其表现形式，接下来就需要制定实际适合企业的信息安全意识宣教计划。一般建议企业先制定一个长期计划和目标，再将长期计划分解成具体、可执行的短期计划。例如，制定一份员工信息安全意识宣教的3年计划，通过每年连续举办信息安全宣传周来实现；另外，除了每年信息安全宣传周的其它时间，则可以每月通过邮件或手机微信等方式，向员工推送信息安全期刊等宣教材料。