社会保障信息系统网络安全论文

摘要：近年来，人力资源和社会保障专网建设取得了长足发展，部省市三级网络进一步贯通，实现了各类就业管理机构、社会保险经办机构、定点医院、定点药店的互通互联，并进一步向下延伸至各街道、乡镇、社区、行政村，建立起了庞大的人社信息化专网。然而，信息化技术的发展日新月异，网络安全已经成为人社信息化发展的绊脚石。下面是小编整理的《社会保障信息系统网络安全论文(精选3篇)》，欢迎阅读，希望大家能够喜欢。

社会保障信息系统网络安全论文 篇1：

人力资源社会保障网络信任体系建设

【摘要】随着我国对于人力资源方面的社会保障互联网信息系统建设完成度的大幅提升，以及我国人力资源方面社会保障互联网信息系统的覆盖范围的逐步增大，对于数据方面的集中程度相较于过去有了一个长足的进步，正因为这样，所以对于网络、数据以及系统的安全方面的防范能力提出了更加严格的要求。与此同时，我国人力资源方面社会保障网络信息系统的副本框架的形成，实现了省、市乃至是村、县的网络相互性以及连接性，并且在网上陆陆续续的提供了一系列为企业以及老百姓服务的便民措施，这也使得此系统必须以加强密码保护技术为主要基础，以授权管理、责任认定以及身份认证为主要内容的人力资源方面社会保障网络信息系统。

【关键词】人力资源；社会保障；网络信任；主要基础；主要内容

一、我国人力资源方面社会保障互联网信任系统概述

我国人力资源方面社会保障互联网信任体系是主要以密码认证技术为主要的技术支撑，同时以电子认证系统作为主要的基础设施，其次也是建立在数字证书模块的应用开发的基础之上的，面向人力资源方面社会保障互联网信息以及各类业务的系统，应当做到同时实现以授权管理、责任认定以及身份认证为主要建设内容的安全应用。

包括授权管理以及电子认证这两大社会保障互联网信任系统，其中，授权管理是建立互联网信任体系的最基本条件，同时是建立于密码技术之上的用以实现证书的生命周期的管理以及加密码揭秘、签名验证、身份认证等证书应用类功能的管理体系以及技术体系。

我国的人力资源方面社会保障互联网信任体系中包括了我国人力资源方面社会保障电子性质政务外网以及内网的服务认证系统。而内网的电子信息认证系统，其主要根据的是国际要求而办理的相关系统，而内网电子信息认证系统则是根据群众需求、主要面向全国人民并使其访问的电子服务认证系统。而前者主要是为内部人员访问所使用的认证服务，后者的重点则是面向大众化的社会服务性质的电子服务认证系统。

二、建设全国各地区网络统一的信任体系的必然性以及必要性

建设全国各地区统一网络的信任体系，其主要目的是为了确保我国在人力资源方面的社会保障系统的安全性的最基本的需求。而在我们的人力资源方面社会保障联网的主要应用包括了对于医疗保险以及养老保险的基金监督业务、经办业务以及公共方面的服务性等等，在这些主要业务系统的应用过程中，有一部分为了保证整个系统的安全性以及保密性最佳操作，需要核对这些应用使用者的操作权限以及有效的身份证明，并且其中一部分还需要去保证数据传输过程中的信息的保密性、准确性以及其不可抵赖性，在事后可能会追究其部分的相关法律责任等。同时，作为21世纪唯一能够对访问控制、信息保密、抗抵赖以及身份认证等系列问题进行同时处理的安全技术，基于公钥基础设施技术的互联网信任体系的建立是对于解决我国人力资源方面社会保障系统应用安全问题的一大有力措施和有效方法。

其次，是为了解决同等行业内的跨地区工作和相互间的安全信用的迫切需要。目前在世界各地区，各个核心业务的扩散以及应用为了满足各自对业务的不同方面的不同需求，也逐渐开始使用不同的安全级别、不同的认证机构或者基于不同的技术支持的认证系统。但是由于每一种安全认证系统之间的认证标准、建设体系的不一致，也导致其对于我国的人力资源方面社会保障行业业内的安全认证来说不存在权威性，同时也致使在行业内部的应用系统方面形成了一道甚至是多道的天然隔离墙，从本质上来讲，极难实现在行业内部的相互间的安全信任，同时在各个省市甚至是全国并不能到达我们所希冀的结果，因此，在国家的整体规划下，我国自行建设行业内部统一的互联网信任体系已经是刻不容缓的一项重要措施。

然后，人力资源方面社会保障互联网信息系统就是为了保证行业内部相互间安全信任的权威性的必然要求。为了保证整个国家的人力资源方面社会保障行业各式认证系统的统一性、权威性以及高度的安全性，应该在整体上下功夫，用以保证对行业的公钥基础设施网络认证体系的建设进行统一的建设以及统一的规划，并且在管理认证上做到规范的管理以及严格的控制。只有这样，国家才能够适应社会上参差不齐的网络应用系统对于安全的需求，以确保保持统一的中国人力资源方面社会保障互联网信息系统信任源，并且维护我国人力资源方面的社会保障互联网信息的权威性，这样做也有利于其他认证节点以及源点用来促进、实现相互间的认识和信任，更深层次的意义在于有利于各省市地区间的劳动保障工作的推行和开展。

最后一点，也是当下进行电子信息安全应用保护等级的全面整改的一项最为重要的内容。我国规定，根据电子信息技术系统以及安全信息系统等级保护在设计技术方面的额具体要求，对于大于等于三级的信息系统，当用户在进行身份鉴定时必须提出采用了强化管理以后的口令，或是基于生物特点特征、数字化证书以及具有其他相当应的安全强度的其他类的两种或者两种以上通过组合机制进行用户方面的身份鉴别，并且在针对数据鉴别是进行的完整性以及保密性措施。因此，积极建设互联网信任系统以及开展建立于数字证书的大众化应用，对于安全等级大于等于三级的信息系统而定建设起着十分有利的促进作用。

三、我国人力资源方面社会保障网络信息认证系统建设模式的选择

(一)省级、直辖市人力资源方面社会保障互联网信任体系电子认证系统的相应建设模式选择

模式方案一：我国人力资源方面社会保障互联网信任体系认证系统属于二级电子信息认证节点，并且以社会保障方面和人力资源方面的电子认证系统作为主要依托关系，直接简历第二等级的密钥管理系统以及证书签发接受管理系统，甚至还包括密码服务系统、证书注册系统以及最终的证书查找验证系统，其通过业务部专网与省部级的Certificate Authority认证中心进行重点连接，并且实现其与基础认证系统的电子信息通信，同时也会在专网中以及对外网服务的INTERNET晚上分别进行详细的部署证书审查验证的服务系统，并且通过对数据的同步来实现为互联网以及专网提供对数字证书的查询以及验证等服务。

模式方案二：将我国人力资源方面社会保障互联网信任体系电子信息认证系统看作是人力资源以及社会保障电子认证系统的一个延伸服务或是互联网端的，同步建立证书的查询验证以及注册服务系统，并且在同时通过业务类的专用网络与省部级的Certificate Authority认证中心进行一定时间与内容的电子信息链接，实现对证书的有效查询、申请以及下载服务，与此同时，在外部网络以及对外进行服务的INTERNET网络上分别实行部署证书查验服务系统端，其次通过对数据同步也可以实现为专用网络以及INTERNET服务提供一定的数子证书的查询以及验证服务。

(二)市级人力资源方面社会保障互联网信任体系电子认证系统模式的选择

市级人力资源方面社会保障互联网信任体系电子认证系统作为我国人力资源方面社会保障电子信息认证系统的一个延伸，如果根据所处于的市县所选建的模式，我们可以冲一下两种建设模式中任选其一：

模式方案一：如果在市县级建设子Cer-tificate Authority系统的基本方式上，建设相对应的管理中心，其中主要就包括一下几点内容：一是证书的注册认证管理系统，第二就是用户登录的密码服务管理系统，第三是在证书方面的验证查询系统，以及最后的证书注册点。并且通过业务专用网络与市县级的证书认证中心实现联机，并且市县对证书的下载以及申请。与此同时在对外部进行服务连接的internet互联网上以及内部专用网络上分别取不是证书的验证服务系统以及查询系统，并且可以通过一定的数据同步来实现互联网服务以及专用网络说提供的查询服务以及验证服务。

模式方案二（注册点方式）：在市县级建设的RA（Registration Authority注册审批系统机构）系统的基础上建设证书的注册点，其中包括以下三个终端模式：第一种是录入终端，其次是审核中断，以及最后是证书的制作终端。而其主要提供的服务及时为市县级的人力资源方面社会保障互联网信任体系电子认证系统的审核、证书以及注册下载等服务。

四、结语

目前我国人力资源方面社会保障互联网信任体系主要是建立在一系列的安全密码保护措施以及对内部网络以及外部网络的登录人员的服务系统上的，并且对这些用户提供一系列的并且全面的证书的注册认证管理服务，用户登录的密码管理服务，其次就是在证书方面的验证查询服务，以及最后的证书注册点服务，并且这些事具有一定的统一性、权威性以及高度的安全性。

但是，我国目前的人力资源方面社会保障互联网信任体系才刚刚建立，还并不是很完善，需要在结合我国的基本国情的情况下，并且对国际上有关于人力资源方面社会保障互联网信任体系资源的取长补短上，我们需要在不断地进步中，促进我国的互联网人力资源或者是社会保障工作的进步和使其有一个良性并且长远的发展前景。而要做到这些，就必须我们的技术人员，以及我们的访问人员为此做出积极的努力，哪怕只是建议或者是实际系统功能上的改善。

参考文献

[1]吕丽娟.人力资源和社会保障部可信安全应用支撑平台建设[J].信息网络安全,2008(10):51-52.

[2]于亚东.信息技术在提升劳动保障公共服务中的作用及实践[J].科技信息,2011(27):415-415,423,424.

[3]秦月华.城市社区卫生服务运行现状评估与发展研究[D].江西财经大学,2006.

[4]张峰.关于人力资源和社会保障信息管理探讨[J].中国电子商务,2011(2):167-167.

[5]周俊.粤豫人力资源社会保障工作交流合作协议签订[J].人才资源开发,2012(5):F0002-F0002.

[6]常勇斌.人力资源和社会保障的信息化建设探究[J].财经界,2012(4):285-285.

[7]毛常盛.对内蒙古人力资源公共服务体系建设的探讨[J].北方经济,2011(8):79-80.

作者简介：徐忠飞（1982—），男，江苏大丰人，大学本科，助理工程师，研究方向：信息系统管理。

作者：徐忠飞

社会保障信息系统网络安全论文 篇2：

人社信息系统网络安全防护体系建设研究

摘要：近年来，人力资源和社会保障专网建设取得了长足发展，部省市三级网络进一步贯通，实现了各类就业管理机构、社会保险经办机构、定点医院、定点药店的互通互联，并进一步向下延伸至各街道、乡镇、社区、行政村，建立起了庞大的人社信息化专网。然而，信息化技术的发展日新月异，网络安全已经成为人社信息化发展的绊脚石。因此，构建完善的人社信息系统网络安全防护体系，保障人社事业蓬勃发展，已是当务之急。

关键词：人力资源;社会保障;网络安全;防护体系

Key words： human resources; social security; network security; protection system

1引言

随着网络技术的不断发展和移动终端的快速普及，互联网以其智能、普惠、便捷的突出优势，有力推动了互联网和电子政务的深度融合，已经成为建设信息化公共服务平台的必备工具。人力资源和社会保障信息系统是提供社会保险、人事人才、劳动关系、公共就业等一系列综合业务的平台。系统部署较为广泛，向上连接部省人社部门，向下连接成千上万的社区、医院、单位等，横向跨部门连接到税务、公安、民政、银行等，接入终端千差万别、接入网络各式各样、使用主体不计其数，网络安全已经阻碍了人力资源和社会保障信息化的发展，时代发展对于人社网络安全提出了更高的要求，构建完善的人社信息系统网络安全防护体系是保障人社事业快速发展的必要手段[1]。

2人力资源和社会保障网络特征

目前，我国人社信息系统主要以地市级业务集中模式为主，并处于向省级系统集中的过渡时期，少部分省份建成了省级集中式的业务信息化系统。因此当前我国人社网络主要以地市为核心向上连接部省人社机构，向下延伸连接到县区、街道、社区，网络呈现出了规模庞大、结构复杂、网络开放、易受攻击等一系列特征[2]。图1以市级人社网络为核心描述了当前我国人社网络的典型拓扑结构。

2.1规模庞大，结构复杂

人社网络纵向连接部、省、市、县区、街道（乡镇）、社区（村），横向连接民政、公安、税务等其他政府部门，扩展连接到银行、定点医院、定点零售药店等各类社保待遇享受及经办场所。同时，网络对外开放供各类外网用户查询社保和就业相关信息、办理各类人社相关业务，因此人社网络地域跨度大、覆盖范围广、用户数量多，网络整体规模非常庞大。

人社网络具有结构复杂特性。首先，接入网络的设备各式各样，包括各类社保卡读卡器、自助服务终端、医疗机构和银行结算相关设備、各类手机和电脑等终端设备;其次，接入的网络性质差异大，接入网络分为内网、专网、因特网三套网络，网络安全与保密要求不同、网络地址划分相对隔离。最后，接入网络的线路类型多样，有专线直连、VPN、MSTP等多种线路类型。

2.2网络开放，易受攻击

人社业务类型多、复杂度高，为保障各类人社业务的顺利开展，人社信息化系统普遍采取大而集中的开放式系统架构，系统接口数量庞大、接入难度较低、系统漏洞易被发现。尽管人社部门采取了各种不同的安全措施、网络安全访问控制机制，但无法从根本上解决系统固有隐患。同时，网络黑客和病毒攻击较为常见，网络安全防御难度非常大[3]。防火墙可以很大程度上防范外部攻击，但很难防范内部网络间的访问控制，难于防范内部网络间的恶意攻击。计算机网络以资源共享为目的，但攻击者很有可能利用共享资源来对人社系统进行入侵和破坏。

2.3安全措施被动，过度依赖硬件

人社专网自建立之初，普遍部署了各类安全硬件设备，比如防火墙、网闸、堡垒机等，并根据当前人社所遇到的主要威胁预定义各类防护设备的防护规则。然而，信息化技术发展日新月异，各类入侵手段层出不穷，很难依靠固定传统软硬件手段做到有效防护。在依靠传统防护方法的同时，也应该不断调整网络体系架构、做好数据审计、及时更新各类防护软件、强化人员能力水平和安全意识，做到全方位防护。

3网络安全防护体系建设

3.1强化准入和访问控制机制

实施网络和设备准入制度，严格限制各类网络和设备接入人社专网，对于已经接入的网络和终端设备应该定期进行核查，对于违规接入的网络进行清理，对不符合准入标准的设备通报整改。建立完善的访问控制机制，首先对各类访问进行有效管控，特别是对于分散部署的各类终端设备，必须采取一些较为安全的访问控制策略，防止各类终端用户的非法操作。其次建立访问日志制度，将访问日志单独存储以便备查。最后做好入侵检测工作，将入侵检测设备部署在防火墙之后，并设置合理的安全控制策略，对于网络边界进行检查，对传输数据进行有效识别。

3.2实施外网访问单向隔离措施

近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。电子政务与国家和个人的利益密切相关，在人社信息系统建设中，互联网连接着广大企事业单位和民众，业务专网连接着政务工作人员桌面办公系统和金保、就业、人事人才等信息系统，在互联网、业务专网之间交换信息是基本要求。

人社信息系统网络建设中应该采取单向逻辑隔离方式，只开放业务专网到互联网一侧的单向访问，关闭所有互联网向业务专网一侧的访问接口，在内外网同时建立交换数据库、数据库之间配备软件式安全交互网关，实现内网数据的实时同步，以此解决从民众到人社的网络畅通、资源共享、实时交互的问题，同时又可以有效保护人社内网数据的安全[4]。

3.3建立基于PKI的人社服务渠道

PKI（Public Key Infrastructure）即“公钥基础设施”，是提供一整套完善、可靠安全机制的软硬件系统和安全策略集合，包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等[5]。

人社网上业务类型多、安全性要求高，业务涵盖养老保险、失业保险、工伤保险、创业申报等，业务办理过程需要对办理人进行身份核查、操作权限审核、确保数据安全传输、数据内容保密、不可抵赖、事后可追责。基于上述需求，采用PKI/CA技术，涉及工资待遇、基础信息、参保基数的关键性业务，在用户端使用USB Key进行网上办理。非关键性业务或者是安全性要求低的业务采取用户名和密码登录方式办理，这样既可以最大限度地拓展人社网上业务办理范围，又能为办事群众提供更加便捷的服务渠道[6]。

3.4提高安全防护意识

人社专网不仅是人社部门内部人员使用的网络，除人社工作人员外还有医院、药店、参保人员等，只有不断地提升人们的网络安全防范意识、充分认识网络安全重要性，才能够确保人社网络的安全运行。首先，在人社内部进行定期教育活动，强化工作人员安全防范意识，不在电脑上安装双网卡、不随意接入不明来路或者有安全隐患的移动磁盘或U盘等设备、不将用户账号透露给他人等。其次，规范各类定点医疗机构行为，定期对各类医疗机构进行检查，并对系统和网络管理进行考核、设置岗位技能评审，提升定点机构的信息系统和网络管理能力[7]。最后，将各类涉及人社信息系统的违法案例装订成册向广大参保人员进行宣传，以此提升广大群众规范、合法使用人社信息系统和网络的意识。

3.5建立等级保护制度

首先对人社信息系统进行风险评估，风险评估的目的是对目前和未来可能发生的风险以及这些风险可能带来的威胁和影响程度，为后续系统安全策略的制定、建设方案的选择、系统的运行维护提供必要依据。因此，人社信息系统风险评估是信息安全等级保护工作的重要前提和必要流程。

其次，各级人力资源和社会保障部门依据国家信息安全等级保护政策和标准规范，开展等级保护工作，作为一项基础性、制度性、保障性的长期工作。以等级保护工作为中心，全面开展信息系统和网络安全建设工作，建立人社信息系统等级保护体系，有效提高信息系统整体安全防护能力[8]。

4结语

网络技术的应用使得人社工作效率得到了有效提升，但信息系统安全问题也对人社工作产生了巨大威胁，如何强化人社信息系统网络安全成为人们关注的重点。首先，人社信息系统网络安全涉及技术、管理等多个方面，任何一项短板都会形成木桶效应，造成整个系统的安全大幅度的下降，因此需要构建全方位的信息系统网络安全防护体系。其次，信息技术的发展日新月异，人社信息系统面临的网络安全在不断发生变化，要想做到万无一失需要人社工作者不断学习、根据技术发展方向不停地完善网络安全防护体系。最后，人社部门也应加强与公安、财政、民政等其他政府部门的合作，共同制定针对系统更新与安全漏洞等方面的技术方案，携手共进、共筑网络安全防线[9]。

參考文献：

[1] 宁向延，张顺颐.网络安全现状与技术发展[J].南京邮电大学学报（自然科学版），2012，32（5）：49-58.

[2] 吕丽娟.金保工程网络系统安全防护体系建设[J].信息网络安全，2005（5）：13-15.

[3] 汪余宏.企业网络防病毒解决方案与实践[J].计算机时代，2013（7）：24-27.

[4] 李炫均，李朝铭.一种基于软件的安全网闸实现技术[J].信息技术与信息化，2019（1）：88-90.

[5] 霍艳清.基于PKI技术的电子政务网身份认证系统的设计与实现[D].长春：吉林大学，2014.

[6] 骆慧勇.基于云桌面实现网络安全隔离的应用[J].计算机应用与软件，2020，37（2）：15-17，38.

[7] 陈辉.强化金保工程信息安全建设的对策探讨[J].软件导刊，2011，10（3）：143-145.

[8] 毕海钰.D市人社数据中心信息安全风险管理研究[D].大连：大连理工大学，2018.

[9] 张康林.网络安全技术的现状与发展趋势[J].网络安全技术与应用，2015（4）：176，179.

【通联编辑：代影】

作者：秦涛

社会保障信息系统网络安全论文 篇3：

人事考试信息系统网络安全建设的探讨

摘要：人事考试信息化的不断提高，信息系统的广泛应用，对信息系统的网络安全提出了更高的要求。本文针对内蒙古自治区特别是包头市人事考试信息系统网络安全进行分析，对人事考试中心信息系统网络安全建设提出一些建议。

关键词：人事考试;信息系统;网络;安全

在国家大力提倡互联网+的大环境下，信息系统已被广泛使用到各个领域，但随之而来的网络安全问题也越来越被人们所重视，如何防止非授权用户使用信息和资源，如何保障网络中信息数据的完整性、可用性和保密性，确保网络上信息系统的安全，是每个领域都需要认真考虑和对待的问题。近年来，随着人事考试信息化的逐步深入，人事考试信息系统网络安全的风险也随之增大，不法分子利用安全漏洞，非法获得人事考试信息资源。如何更好地防范网络安全风险，合理地构建网络安全解决方案，对于确保人事考试的公平、公正、公开，保证考试安全、科学、规范的顺利开展有着重要的现实意义。

1 人事考试信息系统

1.1 定义

狭义的人事考试信息系统，是指人事考试中心依托网络平台构建的对考试报名数据、考试相关信息、考试政策法规等内容整合的平台，以网站的形式提供考生访问，方便考生网上报名，管理考试相关信息数据的信息系统。如中国人事考试网、包头市人事考试信息网等。广义的人事考试信息系统，是指与人事考试工作相关的各种信息系统的总和。如通用人事考试管理信息系统GPTMIS、人事考试管理信息系统PTMIS、网上报名系统、门户网站管理系统等。

1.2 重要性

人事考试信息系统是支撑人事考务工作的重要平台，对于管理考试信息，处理考试相关数据起着决定性的作用。①方便考生及时掌握考试报名信息。②考生通过信息系统及时地进行网上报名和缴费。③管理考生报名信息，掌握考試报名动态。④节省人力物力，无纸化，方便考试工作顺利进行。

1.3 风险性

人事考试信息系统管理和使用存在着一定的风险性，人事考试部门需加强安全防范意识。管理风险主要是指考生信息丢失、出错、泄露等风险。网上报名过程中，非法人员通过攻击获取考生信息，从事非法活动等。使用风险主要是指考试管理机构内部人员在考试信息操作过程中，因自我主观意识放松、业务技术能力不足以及缺乏有效的外部管理制约机制等原因，造成的考生信息泄露、丢失等。

2 人事考试信息系统网络安全

2.1 威胁因素

（1）非授权访问。非法用户在没有经过授权或同意的情况下，使用网络或计算机资源。如查看考生网上报名信息，获取考生信息牟利。（2）信息泄漏或丢失。考试敏感数据在使用过程中有意或无意地被泄露或被遗失。（3）破坏数据完整性。不法分子非法窃得对网站数据库的操作使用权，对考试相关数据进行操作，甚至恶意添加、修改、删除数据，以干扰考生正常使用。取得网站的发布权限，篡改或重发考试重要信息，对考试造成恶劣影响。（4）植入病毒、木马。通过植入病毒的方式，恶意破坏人事考试信息系统，导致系统瘫痪无法使用，或通过植入木马盗取或篡改相关考试信息。

2.2 防范措施

（1）技术手段。利用各种网络安全技术手段，防范计算机病毒和网络入侵攻击等危害网络安全的行为。如杀毒软件、防火墙技术、网络安全认证技术、入侵检测技术、网络监测日志管理技术、数据加密技术等。（2）管理制度。制定各项网络安全制度和使用守则，从制度上保障人事考试信息系统的网络安全。（3）安全意识。加强信息系统管理人员的安全意识，定期开展警示教育和网络系统安全培训，警钟长鸣，减少“内患”事件发生。如系统设置复杂密码，并定期更换;专机专人使用，并杜绝外部载体如U盘的使用。

3 自治区各人事考试中心人事考试信息系统网络安全概述

3.1 基本概况

内蒙古自治区人事考试中心以及12个盟市的考试中心，在自治区人事考试中心的统一领导下，使用外包托管方式进行人事考试信息系统的管理。信息系统结构采用全区集中的模式，整个信息系统部署在阿里云平台上，并由阿里云提供网络安全保障，各盟市人事考试中心通过授权方式，直接访问阿里云服务进行相关操作。在系统使用和维护中，外包公司负责技术支持、网络服务器运维及系统升级维护等相关服务。各中心工作人员负责考试设置、内容更新和信息发布等工作。各盟市人事考试中心信息网在各盟市人力资源和社会保障局官网上都有链接入口，方便考生及时了解人事考试相关信息和进行相关考试报名。考生也可通过内蒙古人事考试信息网的友情链接对全区各盟市的考试信息网进行访问。

3.2 存在问题和建议

（1）黑盒式的管理运行方式，存在潜在风险。考试中心使用相同的管理平台和托管方式，在现有的人力、技术和资源的情况下是合理选择，但对于网络平台的构建、阿里云托管方式和相关技术知识的不确定性，会给各中心带来潜在风险。系统出现故障，考试中心工作人员往往束手无措，只能等待托管公司进行处理。所以必须严格落实合同，细化责权，确保服务到位，各考试中心需指定专人进行联系和监督，确保系统安全稳定。（2）信息系统网络安全风险防控培训交流机制薄弱。随着人事考试信息系统的广泛深入使用，不法分子利用网络和技术漏洞窃取信息的方式和手段层出不穷，给人事考试中心的信息技术工作带来挑战。工作人员需要进行风险防控培训交流学习，取长补短，确保平台正常运行，考试工作顺利进行。自治区应定期开展信息系统网络安全培训，及时更新系统管理人员知识结构，提高管理人员安全操作和安全防范意识。（3）网络安全防范制度建设需进一步加强完善。虽然各盟市考试中心信息系统管理和安全管理都有自己的制度和规定，但是制度的制订、执行和落实情况参差不齐，不利于网络信息安全防范。所以制定统一的安全防范规定和安全操作手册可以更好地统一安全防范意识，更加规范地进行系统操作和安全管理，保障信息系统的安全稳定。

4 包头市人事考务中心人事考试信息系统网络安全建设

4.1 现状

包头市人事考务中心使用自治区考试信息系统服务统一平台。使用过程中，平台运行顺畅，考试报名工作顺利。在网络安全方面，平台基本保障了信息系统的安全性和完整性。包头市人事考务中心对信息化建设和信息系统安全十分重视，及时完成各信息系統的部署、升级和更新，并积极配合做好调试测试工作，为系统的正常运行提出意见和建议。在考试报名和平时的信息系统使用中，中心严格按照规范操作，网络信息系统专人负责，考试系统严格杜绝互联网连接，数据交换使用VPN，在与自治区数据信息传递时，使用专用管理平台。中心通过制定相关政策，加强人员安全防范意识，尽量保证考试信息系统的安全使用。

4.2 存在的问题和建议

（1）信息系统工作存在潜在安全风险。上网和外部设备的使用，可能造成计算机感染病毒或被植入木马。为尽可能减少安全风险，建议操作网上报名系统的计算机专机专用，并将机器的mac地址和登录IP绑定服务器，避免外部非授权机器的操作和使用。（2）信息系统登录安全性策略需进一步提高。系统管理员虽使用复杂登录名和密码，并定期更换，但网络安全风险始终存在，有被撞库盗用用户名密码的风险。建议加强登录安全策略，增加手机或Ukey动态验证码策略。（3）考试数据备份策略和灾难防控机制需更加健全。虽然阿里云服务提供了相应的备份策略，但考试数据的完整性和安全性至关重要。中心应建立健全数据备份机制，备份和加密相关数据，做好数据灾难防控。

4.3 信息系统网络安全建设

（1）确保上下统一系统兼容，保证系统稳定性和安全性。市级人事考试中心信息系统建设要与国家、自治区步调一致，及时完成系统建设配置更新，并向上汇总使用中的问题和建议，完善网络安全防护措施。（2）加强安全制度建设，提高安全意识，避免内部风险。结合国家和自治区制度管理规范，根据本中心实际，制定更加细致的安全管理规定。用制度约束，强化痕迹管理，坚持“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，做到权限明确，责任到人，监管到位。定期开展网络安全检查，防堵漏洞，确保安全。（3）强化沟通机制，将外包公司和当地网监纳入安全防范体系。与外包公司建立有效沟通机制，确保7*24小时服务，保障系统安全运行。建立与公安网监部门的长效合作机制，考试报名期间，对网站、服务器等进行监管，最大程度保障考试信息系统安全。（4）建立健全信息系统网络安全教育培训机制。专业技术人员的业务水平和操作技能直接关系到系统的安全，定期学习培训，提高专业技能和知识水平，深化网络安全意识，才能更好地保证考试信息系统安全，保障考试顺利进行。

参考文献：

[1]人力资源和社会保障部.人力资源社会保障部关于印发“互联网+人社”2020行动计划的通知[Z].20161101.

[2]何志成.加强信息网络技术的管理是当前保密工作的新课题[J].国家安全通讯，2001（07）.

[3]李昭.国家信息安全战略的思考[J].中国人民公安大学学报（自然科学版），2004（03）.

作者简介：姚震（1980—），男，汉族，内蒙古包头人，硕士研究生，研究方向：人事考试信息系统网络安全。

作者：姚震