浅谈网络安全等级保护建设对住房公积金业务系统的意义

董庆军 陈强

中国石化集团江汉石油管理局有限公司住房公积金管理中心 湖北 潜江 433123

随着国家社会保障体系的不断建立、健全及公积金制度覆盖范围不断扩大，各地方住房公积金管理中心的业务也相应地迅速拓展。目前，住房公积金已覆盖到机关、事业单位和国有、集体、外资、私营企业、社会团体等各种性质单位，住房公积金归集、贷款、管理工作逐渐步入持续增长、健康发展的轨道。

在信息化的不断发展，信息化建设的不断深入的背景下，网络信息安全的问题也逐步引起大家的重视，进而安全建设也显得愈发重要。近年来，维护和保障网络信息安全已经成为各国领导人的共识，并且已经上升到了国家安全的战略高度。网络安全等级保护是我国信息安全保障的一项基本制度和方法，开展网络安全等级保护工作是促进信息化发展，保障国家信息安全的重要举措。

根据《中华人民共和国网络安全法》（第二十一条）、《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》和《关于信息安全等级保护工作的实施意见》和《GB/T 22239-2019 网络安全等级保护基本要求》的相关规定及要求，各地方公积金单位核心业务系统需要及时开展网络安全等级保护（以下简称“等保”）建设整改和测评工作，切实保障核心业务系统的安全稳定运行[1]。随着等级保护2.0制度的逐步落实和实施，以应对日渐严峻和复杂多变的网络安全形势。

1 信息系统被入侵破坏的危害

公积金业务系统主要服务涵盖范围有[2]：缴存登记、账户提现、贷款办理、信息查询、政策咨询、投诉建议等服务内容；主要服务对象多为在岗职工且受众人群数量庞大。由此可见公积金业务服务范围众多，服务形式流程较为复杂，与银行、经济、金融等产业相关，关系社会民生问题。一旦业务信息系统遭到入侵破坏，将对公积金管理中心的社会形象造成特别严重影响，同时影响正常社会秩序，出现较严重的法律问题，造成严重社会不良影响。因此，对这公积金系统开展等级保护建设是必要的，不仅有利于公积金管理中心自身安全体系建设，而且更能保障业务的正常开展。

2 技术安全层面

安全技术管理，主要通过技术化的手段对信息系统进行综合分析、加固、巡检、防范，以确保信息系统的安全，降低系统所面临的风险，把风险的可能性降到最低。

2.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；确保计算机系统有一个良好的电磁兼容工作环境；从物理环境角度讲，地震、水灾、火灾、雷击等环境事故，电源故障，人为操作失误或错误，电磁干扰，线路截获等，都对信息系统的安全构成威胁，保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理层的安全设计应从三个方面考虑：环境安全、设备安全、线路安全。采取的措施包括：机房屏蔽，电源接地，布线隐蔽，传输加密。

2.2 访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

2.3 数据储存和备份恢复

由于住房公积金管理中心的网络中有大量的服务器和数据库。数据库和服务器是网络安全中具有战略性的资产，通常都保存着重要的隐私信息及机密信息, 这些信息需要被保护起来，以防止竞争者和其他非法者获取。互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战。为了预防数据遭到攻击或者人为损坏，公积金中心需要特别重视数据储存和备份恢复，确保遇到突发事件时可以快速恢复。

2.4 加强对系统信息安全的审计

信息安全审计可以通过上网行为监控审计、网络内容监控审计、异常行为监控审计等手段，对管理对象的操作行为进行审计，有效的屏蔽黄、赌、毒、邪教、黑客等敏感信息，保护信息系统，进而达到提升政府形象、避免潜在的危害信息流传、提高企业用户的工作效率、营造绿色网络环境的目的。

2.5 健全入侵检测机制

入侵检测机制主要是为了防范来自内部和外部攻击，作为防火墙的补充，建议住房公积金管理中心电子政务内网和呼叫中心网络部署入侵检测系统，通过对网络行为的监视，来识别网络的入侵的行为，并与防火墙实行联动设置，增强网络安全系数。

2.6 加强防病毒网关建设

在所有计算机安全威胁中，计算机病毒是最为严重的，它往往是发生的频率高、损失大、潜伏性强、覆盖面广。计算机病毒直接涉及每一个计算机使用人员，是每一个使用人员经常会碰到和感到头痛的事。计算机病毒事实上是一种计算机程序，具有可自我复制性、传染性、潜伏性、破坏性等。对于公积金管理中心的网络安全系统我们部署网关型的全硬件防病毒设备，实时进行网络病毒的查杀，隔离。

2.7 信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

2.8 加强安全巡检

安全巡检服务是指使用多种手段，对公积金管理中心的网络设备、服务器、操作系统、应用系统进行周期性的安全扫描、手工检查、专家分析，并提交制定评估报告及加固建议。安全巡检服务每周一次提供包括住房公积金管理中心网络维护和评估、安全审计、监控和配置管理、对相关报告和分析活动的现场支持、分析并解决问题等服务。

3 安全管理层面

在安全管理层面，主要是对人员和制度的管理，信息安全管理领域一直有“三分技术，七分管理”的原则，技术固然重要，但是管理才是核心，在信息安全管理过程中我们可以借助先进的技术手段辅助我们进行多层次、全方位的管理。

3.1 人员管理

人员安全管理是信息安全管理的重中之重，人员安全管理就是让员工能正确使用和处理信息、系统保障信息系统的安全。如何对公积金管理中心的人员进行有效的管理是安全管理的重要内容，主要措施如下：

（1）建立有效的安全管理组织机构。安全管理组织机构是信息安全管理的基础。是否拥有健全的安全组织机构与网络信息的安全与保密密切相关。这种安全组织机构不应隶属于诸如网络或信息之类的部门，而应由从中心层面成立信息安全领导小组,职责包括制度的审批、批准发布及定期组织对安全管理制度进行更新、审定，并形成评审记录或在管理制度文档中填写版本修改历史信息。安全组织机构的目的是为了统一规划公积金中心信息安全组织机构的建立，明确了信息安全管理的目标，保障信息安全有关的决策和实施。

（2）加强对人员岗位的管理。首先是明确人员的职责范围和权限，做到责任到人，根据人员的工作经验、能力、业务要求等决定员工需要能够掌握的信息范围及权限，员工日常的信息安全管理必须做到细致与日志记录。

（3）定期对人员进行安全培训。信息安全是动态发展的，黑客攻击手段在不断更新，新的病毒程序也不断产生。安全培训可以帮助及时掌握 新的安全技术。同时工作人员还要求充分了解公积金业务中的安全方针政策、相关法律法规，另外还要专门针对技术管理人员进行培训，提高管理和执行组织的安全解决方案的制定能力。

（4）加强工作人员安全意识。现实管理中，有很多信息风险是因为操作人员安全意识薄弱所造成的，而加强工作人员安全意识是降低内部系统安全隐患的 好的、投入回报比 高的措施。通过培养管理人员的安全意识，会提高管理人员发现安全问题的敏锐性和自觉性。

（5）加强对人员安全管理。建议与招聘人员签署保密协议，并与从事关键岗位的工作人员签署岗位安全协议，在岗位安全协议中对离职后的保密义务进行约定。并对关键岗位的人员进行全面、严格的安全审查和技能考核，考核内容及考核方式应与其他岗位人员进行区别，记录考核结果，并将结果进行归档保存。

3.2 制度管理

（1）制度建设。完善制度体系建设，按照信息保密级别的不同，对机关、部门、组织甚至个人，设定信息安全防范等级标准，而每个级别的标准要求具体化。避免定密过宽过高，以及不定密等情况的发生。根据业务需求，梳理、重塑业务流程，制定整套成体系的管理制度。安全管理制度集内应至少包含以下安全管理制度：对机构信息化工作的总体目标、范围、原则和安全框架等进行说明的《信息安全管理办法》以及针对管理活动中的各类管理内容进行规范的《机房安全管理制度》、《网络安全管理制度》、《系统运行维护管理制度》、《数据及信息安全管理制度》、《信息资产管理制度》、《用户登记与用户管理制度》、《备份与恢复管理制度》、《密码管理制度》、《安全责任制度》、《岗位与人员管理制度》、《信息安全产品采购、使用管理制度》、《安全事件报告和处置管理制度》、《信息系统安全应急处置预案》等[3]。

（2）落实责任。根据赫次伯格的激励-保健理论，管理中，要通过改变人的精神力量或状态，起到加强、激发和推动作用，并且指导和引导人们的行为指向目标，其中，责任是一种重要的激励方式。把责任落实到人，关键是要制定符合实际的管理制度。有相关学者提出，信息安全保密管理要向“精细化管理”转变，其实质就是要以管理制度为基础，并落实好制度。

（3）建立应急预案制度。应急预案制度，要求按照安全事件相关标准，结合信息系统的实际情况，通过预测、评估和分析事件对信息系统的破坏程度，以及所造成后果严重程度，将安全事件依次进行等级划分，通过对安全事件的等级分析，在统一的应急预案框架下制定不同安全事件的应急预案。并在统一的应急预案框架下，明确应急预案中各部门的职责，并协调各部门间的合作和分工。要制定安全事件的报告程序，对接报的安全事件进行分析，明确安全事件等级、影响程度以及优先级等，确定是否应对安全事件启动应急预案。对于应该启动应急预案的安全事件按照应急预案响应机制进行安全事件处置。对未知安全事件的处置，应根据安全事件的等级，制定安全事件处置方案，包括安全事件处置方法以及应采取的措施等；并按照安全事件处置流程和方案对安全事件进行处置。

一旦安全事件得到解决，对于未知的安全事件进行事件记录，分析记录信息并补充所需信息，使安全事件成为已知事件，并文档化；对安全事件处置过程进行总结，制定安全事件处置报告，并对相关的文档资料进行归档保存。

4 结束语

随着信息化建设步伐的加快，信息安全管理显得愈发重要，因此全面加强公积金管理中心信息安全管理，信息系统建设和安全管理的基础，也是实现公积金安全发展的迫切需要，是新时期管理工作的一个重大课题。网络安全等级的保护的建设只是一个基础的开始，公积金管理中心的信息网络安全管理工作，是一个长期、艰巨的工作，它涉及每一个员工以及日常运行维护的每一个环节。信息安全管理体系本身并不能带来信息安全，只有靠每一个员工的身体力行，积极参与，把安全体系一步步落实到信息化建设的每一个环节，才能给信息管理带来真正的安全。