社会保险网络信息安全问题分析与建议

亓爱玲

社会保险是社会保障制度的重要部分，在市场经济条件下加强和完善适合我国国情的社会保障制度，对维护社会稳定、促进深化改革和经济建设具有重要作用。但是在当前计算机科学技术飞速发展的环境下，社会保险工作不可避免的和网络结合到了一起，相应的网络安全问题也就成为保证社会保险系统正常运行，确保网络数据安全的首要问题。社保作为我国基本保障制度之一，其网络信息安全防护工作同样值得重视。

网络环境为信息共享、信息交流、信息服务创造了理想空间，同时也产生了许多安全问题如信息泄漏、信息污染、信息不易受控等。网络运用的趋势是全社会广泛参与，但随之而来的是控制权分散的政府电子政务管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使社保信息安全问题变得广泛而复杂。在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁。随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临更大的威胁。

一、网络安全风险分析

我国政府电子政务网络安全问题日益突出的主要标志是：一是计算机系统遭受病毒感染和破坏的情况相当严重；二是电脑黑客活动已形成重要威胁；三是信息基础设施面临网络安全的挑战；四是网络政治颠覆活动频繁。

电子政务运行管理是过程管理，是实现全网安全和动态安全的关键。有关电子政务信息安全的政策、计划和管理手段等最终都会在政府电子政务运行管理机制上体现出来。就目前的电子政务运行管理机制来看，有以下几方面的缺陷和不足。

1、政府电子政务网络安全管理方面人才匮乏。由于互联网通信成本极低，分布式客户服务器和不同种类配置不断更新和发展及技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。政府电子政务信息安全技术管理方面的人才无论是数量还是水平，都无法适应政府电子政务信息安全形势的需要。

2、安全措施不到位。互联网越来越具有综合性和动态性特点，这同时也是互联网不安全因素的原因所在。然而，网络用户对此缺乏认识，未进入安全就绪状态就急于操作，结果导致敏感数据暴露，使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统却不进行同步升级，主要是管理者未充分意识到网络不安全的风险所在，未引起重视。

3、缺乏综合性的解决方案。面对复杂的不断变化的互联网世界，大多数政府电子政务部门缺乏综合性的安全管理解决方案，使这些政府电子政务部门就此产生了虚假的安全感，渐渐丧失警惕。实际上，一次性使用一种方案并不能保证系统一劳永逸和高枕无忧，网络安全问题远远不是防毒软件和防火墙能够解决的，也不是大量标准安全产品简单堆砌就能解决的。近年来，国外的一些互联网安全产品厂商及时应变，由防病毒软件供应商转变为企业安全解决方案的提供者，他们相继在我国推出多种全面的企业安全解决方案，包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案等一整套综合性安全管理解决方案。

4、缺乏制度化的防范机制。不少政府电子政务部门单位没有从管理制度上建立相应的安全防范机制，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为（尤其是非法操作）都是因为内部联网电脑和系统管理制度疏于管理而造成的。同时，政策法规难以适应网络发展的需要，政府电子政务部门信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点，给侦破和审理网上犯罪案件带来极大困难。

二、对解决社会保险网络安全问题的几点建议

一是不断加强信息网络安全管理工作，进一步加强网络安全抗风险能力。社会保险系统涉及养老保险、医疗保险、失业保险等多种业务，管理着每个职工的个人帐户资金，因此，做好网络安全管理与信息安全保护是本系统建设的首要前提，建立层次性多重安全保护体系是实现系统系统安全性目标的基础。本系统属单位内部网，它与国家公网或其他行业网络系统等外部网必须从物理上断开连接。内网的安全保护是通过设立虚拟网络（VLAN）或网络分段（物理分段通过交换连接，逻辑分段通过路由相连）形成相对独立的不同子网，子网内部可以自由访问和使用网络资源，子网之间的互通需经过严格的安全访问控制，在从网络层到应用层不同层次的设置上确保网络的安全性。信息资源的安全保护可采取的措施有：在信息的传输过程中，对“信息边界”中的有关部件实施用户身份识别、身份认证，链路层和网络层上采取包过滤、存取控制，传输层上使用代理服务，表示层上进行数据加密和数字签名，应用层上实现安全审计等。

二是加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的现状，对各种政府电子政务信息主体的权利、义务和法律责任，做出明确的法律界定。

三是在信息技术尤其是政府电子政务信息安全关键产品的研发方面，提供全局性的具有超前意识的发展目标和相关产业政策，保障政府电子政务信息技术产业和政府电子政务信息安全产品市场有序发展。

四是加强我国政府电子政务信息安全基础设施建设，建立一个功能齐备、全局协调的安全技术平台（包括应急响应、技术防范和公共密钥基础设施等系统），与政府电子政务信息安全管理体系相互支撑和配合。

网络安全关系到国家安全、关键信息基础设施安全、社会公共安全和公民个人信息安全，在维护国家安全、促进经济发展和社会进步的进程中至关重要，维护好网络空间安全和网络社会秩序是全社会共同的责任。互联网发展到今天与现实社会紧密关联、密不可分。现实社会是法制社会，网络社会也必须是法制社会。为此全社会应自我约束和主动履行义务，严格按照“依法管网、综合治理”的原则，有效保护互联网健康发展，促进国家经济、文化的繁荣发展和社会进步。