浅谈人资和社保信息系统网络安全

浅谈人资和社保信息系统网络安全

摘要:随着“互联网+人社”不断推进,人力资源和社会保障信息系统的网络安全问题变得越来越严重,本文借鉴了“纵深防御(Defense-in-Depth)”理论,提出了通过多维度要素相互配合协调以完成信息保障工作,这三要素由人、技术和操作构成,形成一个有机的整体,来共同实现组织职能、业务运作的思想。

关键词:互联网+;网络安全;纵深防御

随着南京市金保二期上线以来,人社部门着力于打破原有的信息壁垒,努力建设“互联网+人社”的网络新生态。通过和“我的南京”APP互动、网上办事和查询功能,逐渐实现“数据多跑路、群众少跑腿”的目标。但是,不可否认的是,随着“互联网+”的推动,网络安全面临的风险也在逐渐增加。人社系统的关键业务系统和业务数据,全部位于内网。随着“互联网+”的推动,内外网的协作应用越来越多,两网从最早的完全隔离,到有数据交换,再到应用与数据的实时调用,内外网之间的边界功能正在变得越来越模糊。因此,从互联网侧向内网发起渗透的可能也越来越高,内网的重要资产面临更多种类的威胁。此外,随着数据的集中,人社系统的信息资产价值也在不断提升。现在已有的用户数据基本囊括了所有参保人员的个人信息、家庭成员、户籍信息、劳动关系、社保数据、医保数据,并且与房产、民政、公安等部门实现了互联……如此庞大数量的信息,一旦被泄露、篡改或者破坏,带来的影响是灾难性的。综上所述,人力资源和社会保障信息系统的网络安全建设重任在肩,丝毫不能懈怠。

1整体建设思路

如何去实践网络安全建设,合理保障人力资源和社会保障信息系统中的数据安全呢?从攻防对抗的角度而言,攻击者的能力越来越强、攻击方式越来越智能,以合规为目标的安全建设已经不能完全满足实际需求,通过网络安全设备的单纯堆叠构成的防护措施面对新型威胁诸如APT攻击、勒索病毒和挖矿木马显得非常脆弱。当前,人力资源和社会保障部门需要构建纵深防御体系以应对新型安全威胁,控制整体安全风险。这里,信息保障技术框架(InformationAssuranceTechnicalFramework)理论从整体过程的角度看待信息安全问题,值得我们借鉴学习。IATF是一项专业面向商业和政府机构网络安全的研究,其代表理论为“深度防御(Defense-in-Depth)”。首次提出了通过人、技术和操作三者的融会贯通来共同实现组织和技术两个维度的性能提升。其既是组织职能/业务运作的中心思想,同时也是技术/信息基础设施管理的关键三要素。IATF认为,这种融合能够为信息保障的策略、过程、技术和机制乃至为整个组织的信息基础设施的所有层面提供稳健的信息保障[1]。

(1)人(People)

人是信息系统的主体,信息系统生命周期的每个阶段都和人息息相关。系统开发单位是信息系统的提供者;采购方是信息系统的拥有者和管理者;而信息系统的使用者更有可能是没有任何具象特征的普通大众。人的复杂性和不可预知性决定其是信息保障体系的核心,是系统管理的第一要素,但却也是最不可控、最脆弱的因素。由于有了如上的认知,为信息系统制定一个完善的安全管理体系就愈发重要。信息安全保障体系,就是一套完善的安全培训、管理体系,包含了意识培训、组织管理、技术管理和操作管理等多方面[2]。然而在信息系统的安全建设中,却经常忽视人的作用,认为技术手段是解决问题的主要手段,这种思路是偏颇的。对人的管理,需要三个要素,缺一不可。其一,行政力度。《中华人民共和国网络安全法》第二十一条“制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任”。根据网络安全法、等级保护2.0系列标准和即将施行的关键信息基础设施安全保护条例,明确了各单位网络安全负责人为该单位的一把手。由上向下的安全管理才可以保证其执行力度,有执行力度的安全管理才能确保有效。其二,精细条目。如果单纯从合规性角度出发,很多管理制度往往流于形式。真正能够解决问题和适用于本单位的管理制度,一定是精细的、量身制定的。能够与岗位挂钩,落实到具体经办人,并且有可操作性、可记录性。辅以各类记录、表单,能够把各类常态化事务和临时性事务都做好记录,便于追溯。其三,量化考评。在确定管理制度的力度和条目后,还需要通过量化考评,将安全管理制度体系落到实处、严格执行。这里需要制定网络安全领域的KPI,将安全管理制度的执行状况,通过指标体系转换为可以量化评估的一系列单元(如关键资产在线率、防病毒软件安装率、定期任务完成率、应急事件处理成功率等)。如此一来,可以将管理与技术结合起来,实现客观评估的管理。

(2)技术(Technology)

技术是实现信息保障的重要手段。除了包含以防护为主的静态技术体系,还包含了主动防御、入侵检测、异常响应、快速恢复并重的动态的技术体系。一套完备的信息保障体系是由静态、动态两套防护机制来实现的[3]。从技术角度而言,传统的基于网关设备的静态的防护能力已经不能够适应新的安全环境,因为没有任何防护技术或者安全设备是100%永久有效的。纵深防御的技术路线是假设边界防护已经不够安全和随时可能失效,通过高能力的检测、细粒度的审计、智能化的分析,最快时间定位安全事件,迅速响应,从而消除影响和控制损失,最终实现更全面的保障效果。这和P2DR模型的理念也是趋同的——“及时的检测和响应就是安全”,“及时的检测和恢复就是安全”。我们的安全技术路线的方向:提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。具体的实现方法,就是构建全面态势感知体系。态势感知最早被运用在军事领域,按顺序分别为态势提取、态势理解和态势预测三个步骤。随着互联网技术日益复杂、互联网价值日益提升,网络空间已然为继海陆空之后的“第四大战场”。网络态势感知(CyberspaceSituationAwareness,CSA)也由此应运而生,通过对海量的网络数据进行实时监控,动态提取其中会对安全态势产生重要影响的数据并加以分析,以此来判断网络当前状态。并根据人工智能、大数据等技术,结合资深网络安全工程师的经验智慧,来预测网络未来一段时间内的安全态势。形象地说,网络态势感知的目标就是要准确找出那只能够掀起网络安全风暴的蝴蝶,并提前捏住它的翅膀[4]。2016年4月19日,在与网络安全业界人士座谈会上明确指出:“加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力[5]。”全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。全方位态势感知的实现流程大致包括4个步骤,分别是各类安全要素信息的获取、面向态势感知的集中数据分析、多维度态势感知的呈现、预警通告及处置。

一、要素获取。态势感知体系通过对接网络中的各类安全设备、子系统、安全数据源来获取各类影响网络安全的因素,包括攻击类信息、对象弱点类信息、系统运行类信息以及外部威胁情报信息。

二、数据分析。汇集了海量多方位安全要素信息的基础上,态势感知体系将综合这些数据,面向总体安全态势的认知和监测进行数据的融合、关联分析和发掘分析。这其中包括对资产及业务对象受到攻击威胁和自身风险程度的分析、复杂攻击的攻击过程及攻击目标分析、攻击的危害及影响范围分析、攻击威胁溯源分析、外部威胁情报与内部安全信息比对分析等。这些分析处理工作将为上层态势呈现提供数据和计算任务的支撑。

三、态势呈现。经过全面的安全要素获取和数据信息的集中处理分析,态势感知可以实现全方位的态势呈现,包括资产感知、攻击感知、风险感知、漏洞感知、威胁感知、运行感知这六个主要维度和安全态势总揽。通过这六个维度有助于把庞大复杂的态势感知信息处理体系进行分维度的理解和构建,所有的安全要素信息的采集和处理都可以围绕这几个维度展开,并且在态势感知过程中所有的数据分析及可视化呈现都可以在对应的维度中进行。

四、预警通告。可以通过触发规则来触发告警或预警,各种类型的安全信息或态势分析结果作为条件来触发告警或预警。通过多种通告方式,快速的通知相关责任人员,使相关人员实时得知安全威胁和态势预警,便于快速做出响应。通过工单流处理的方式,将安全问题放在定义好的处置流程中,由指定的人员和规范的步骤来操作。每类告警、预警或安全问题都可以设定对应的处理流程,工单流程自动处置流转,直至问题的解决。

综上所述。态势感知可以极大提升安全检测、安全分析能力,辅助提升安全响应能力,从而降低检测时间Dt和响应时间Rt,从而显著提升安全保障能力。(3)操作(Operation)操作(或称运行),它构成了安全保障的主动防御体系。正是操作和流程将完全客观被动的技术和发挥主观能动性的人紧密结合起来。通过技术高效提升人的效率、降低人的不可靠性。具体来说,操作包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容[1]。考虑到人力资源和社会保障信息系统数量多、系统研发周期长、系统生命周期不同步等等性质,单纯基于运行阶段的安全运维管理不足以满足人社信息系统的安全保障要求。为了保证信息系统在“规划-开发-测试-运行-废弃”阶段的全生命周期安全,体现《网络安全法》要求的“同步规划、同步建设、同步使用”原则,人力资源和社会保障部门需要引入信息系统全生命周期的安全运维管理。通过全生命周期的安全运维管理,可以将安全服务与安全技术结合,把信息安全风险管理引入信息系统生命周期的每一阶段,从信息系统规划阶段开始进行风险控制,使用最小投入,达到最佳的风险管理效果,最终实现全面的信息安全保障。

一、规划阶段。从规划阶段开始引入安全设计会显著减少后续的应用漏洞,降低安全运营成本。本阶段就开始做等级保护定级与功能设计,可以引入安全架构设计与安全开发培训。

二、开发阶段。开发阶段可以通过源代码审计和风险评估实现软件质量的控制,提前解决安全隐患,降低风险控制成本。

三、测试阶段。应用系统上线之前,需要和运行环境一起,通过漏洞扫描、安全配置核查和渗透测试,确保系统上线前的脆弱性可控。

四、运行阶段。通过日常安全运维,定期做策略配置优化、系统更新、补丁和规则库更新、安全事件分析处理;处理好临时性事务如应急响应和重大时期保障。和集成商、供应商、服务商、电信运营商和执法机关等外联单位保持良好沟通以便随时合作。

五、废弃阶段。做好数据备份和剩余信息清除工作。

2小结

构建纵深防御体系的三要素之间的关系是——“人”利用“技术”进行“操作”。所以说,三要素之间是一个有机的整体,是需要紧密结合的,缺一不可。对人力资源和社会保障部门而言,构建纵深防御体系是长久大计,不是一朝一夕之功;是上下齐心内外结合,不是孤军作战。建议以本单位人员为主,联合协同单位,建设一套完备的安全梯队,分工合作,共同成长。

参考文献:

[1]张勇.基于访问控制的铁路网络安全系统设计与实现[D].复旦大学,2009.

[2]唐洪玉.电信支撑系统信息安全体系研究及应用[D].太原理工大学,2008.

[3]赵进延.国家电子政务建设中构建可信体系的重要性[C].中国计算机学会计算机安全专业委员会会议论文集,2007.

[4]李治霖.工业控制网络安全态势感知的研究[D].长春工业大学,2020.[5]王雅蕾.中国网络社会政治风险的风险源研究[D].华中科技大学,2019.

作者: 李哲 单位:南京市江宁区人力资源和社会保障信息化管理服务中心