社保系统漏洞与信息化管理模式探索

王芹 定州市社会保险事业管理局

随着信息时代的到来，互联网经济的发展日益改变着公众的日常生活。在看到互联网经济带来的利好的同时，也要看到公众对个人信息的安全越来越重视，加强信息漏洞防护，采取有效的措施最大限度保障信息安全，成为当前社保管理工作的重点。可以看到每年各地区媒体针对社保系统存在个人敏感信息风险漏洞等方面的报道不断增多，社保信息化管理系统需要不断优化，这样才能更好地提升社会保障整体服务价值。加强社保系统漏洞与信息化管理模式研究，意义重大。

一、社保系统漏洞类型及形成的原因分析

社保系统漏洞，是指社保信息系统中出现的SQL注入攻击、BAC越权访问、框架注入、弱口令等方面的技术故障。这些技术风险如果不加以防范，将会导致出现个人信息的泄露，严重时还会影响社会稳定和国家安全。

SQL注入攻击主要是指恶意SQL命令侵入Web表单递交、输入域名或页面请求的查询字符串系统中，从而导致出现恶意命令执行等情况导致信息的非法访问。产生该漏洞的原因主要和数据库系统自身的安全防护性能偏低以及数据不合理处置等有关。BAC越权访问是指在进行授权时发现的漏洞，一些攻击者通过非法的方式获得相关权限进入不应当访问的区域进行访问并盗取信息的过程。这类漏洞往往检测难度比较大，且容易导致大面积的信息泄露或丢失风险。框架注入是指攻击者应用一些程序在一个Web站点创建命名框架，一旦相同浏览器打开，所有进程的窗口都可以进行框架内容的写入，从而导致信息泄露，这种漏洞攻击往往隐蔽性比较强，所以应当注重防范。此外还有容易被猜测到或被破解工具破解口令引起的弱口令风险，这主要是一些管理人员在密码设定等方面不够注意，导致防护系统性能下降，进而导致信息被盗取。

二、加强社保系统漏洞防护及信息化管理的具体措施分析

为了进一步提升社保系统安全防护水平，构建完善的信息化管理模式，建议做好以下几个方面的工作：

1.针对不同的漏洞风险或者类型，探索针对性的安全防护措施。不同的社保系统漏洞引发的原因不同，可能引发的问题不相同，导致出现的后果也难以预测，所以需要从源头上进行原因排查，了解不同社保系统漏洞可能存在的原因以及出现的根源，并通过建立完善的信息防护机制来进行技术处理和防范。针对SQL注入攻击，可以通过应用参数化过滤性语句，加强用户输入、登录、密码以及访问权限的访问检验和防御等方式来进行应对。针对越权访问导致的漏洞，可以通过划分安全域并结合各自场景设定相应的后端API/Service及安全域隔离防护的方式来进行风险防范。针对框架注入方面引发的风险，可以进行每一个程序会话针对性框架命名并建立不能预测框架名称的方式来进行防护。针对弱口令引发的风险，可以通过加强系统安全防护，优化系统资源安全配置等方式来进行信息的加密处理。

2.完善信息安全综合防护技术体系。无论社保系统出现哪种漏洞都有可能导致信息出现泄露等风险，造成的损失难以估量，加强信息的安全防护对于社保系统的运行而言具有重要的保障意义，所以应当形成完善的综合性信息防御机制。国家有关部门要在深入了解社保业务的基础上，结合信息技术平台应用现状，构建安全操作、防火墙防护、入侵防御、安全扫描以及病毒防护等全面综合信息化处置模式。建立分级监控机制，加强后台的关联分析，一旦发现问题或者漏洞启动应急响应程序，并做好备份系统管理，确保社保系统稳定运行。国家还要在立法层面加强信息化安全机制建设，尽快出台完善的社保信息漏洞防御与安全管理机制，明确各级部门相关的责权，并注重加强培训和队伍建设，切实提高风险防护能力。

3.优化社保信息系统，加强大数据管理和公民信息安全体系建设。一方面国家要从整体的层面建立统一负责的专业化社保信息运维管理机制，通过专业化的力量加强社保信息系统的专业化维护和全面监控，提高风险漏洞及时发现和防御水平，另一方面要完善社保信息大数据库体系，根据不同的风险划分等级，加强隐患排查和监督，积极探索新技术和新方法，提高社保数据分析利用价值，此外还应当完善公民信息安全体系，加强社保部门和户籍管理、医疗信息管理系统的融合，避免信息重复建设，并设定层层加密处理机制，切实提高信息安全保障水平。

总之，社保系统漏洞对于社保信息的维护管理而言影响非常大，所以应当加强社保信息系统建设，积极引入新技术，做好漏洞的全面监控，并完善基础保障机制，形成信息化综合服务平台，不断提高社保管理人员的综合素质和能力，加强和其他部门的联动，减少信息的重复建设等可能引发的风险，这样才能更好地提高社保信息安全保障能力，为推动国家社会保障事业持续健康发展提供强大的动力支持。