简析社保系统漏洞及信息化管理模式

王 远

（烟台市福山区社会保险服务中心，山东 烟台 265500）

当前我国在信息安全方面颁布实施了一系列法规及技术标准，如《通信网络安全防护管理办法》《信息安全等级保护管理办法》等，这些规定均对信息网络安全作出了明确的规定。但是具体到社保系统来看，还未建立起相应的信息安全管理制度，以致于社保信息系统存在较多的安全隐患。

1 社保系统的管理现状

从我国社保系统管理的现状来看，仍然存在许多系统漏洞，这反映出了我国关于国计民生的重要信息系统在安全防护上存在不足。社保系统漏洞主要表现在以下几个方面：

1.1 结构化查询语言注入漏洞

结构化查询语言（SQL）注入系统中，可以达到欺骗服务器执行恶意的命令后果，表现为不安全的数据库配置、不合适的转义字符处理、不当的错误处理等，这一漏洞的存在，给予攻击者在数据库恶意执行命令的机会，且可以探测到数据库中重要的敏感信息。

1.2 越权访问漏洞

越权访问也是社保系统漏洞的一大表现，指的是在系统检查授权时存在纰漏，以致于攻击者通过不正当的受到绕过权限检查，从而访问或操作服务器的代码，这样攻击者便可以直接获取所有用户的信息，进而造成大量的信息泄露。

1.3 框架注入漏洞

框架注入指的是在网站站点中通过创建一个未命名的框架，且这个框架中内容可以是任何浏览器程序窗口的内容。如果存在框架注入漏洞，攻击者便可以同创设一个看似无害的网站站点，并每隔一段时间自动运行脚本，虽然它的外观与设备网站框架的常规内容相同，但是其中包含木马功能，一旦有用户输入就会将所有输入的数据提交给攻击者。

1.4 弱口令漏洞

弱口令漏洞是当前社保系统中最简单的漏洞之一，指的是容易被破解的口令，主要表现为部分地区社保系统管理人员安全意识较薄弱，在设置高权限数据库用户时使用了弱密码，这给系统敏感性泄漏创造了有利条件。

2 社保系统信息化管理模式的探讨

2.1 各系统漏洞的解决方法

首先，针对社保系统存在的SPL注入漏洞，可从使用参数化过滤性语句、检查用户输入合法性、加密处理用户登录名称和密码、控制数据库访问权限等措施，以此降低SOL注入的风险。其次，针对越权访问漏洞，主要是通过优化程序设计的方式得以防范，即根据不同的应用场景设计对应的检验逻辑，并对数据的安全域进行划分，以此对不同的安全域进行隔离。再次，针对框架注入漏洞，也需要优化程序设计，但考虑每个会话中会有不同的命名框架，且难以预测框架名称，为此可在每个框架名称后附加用户的会话令牌，以此实现有效防范。最后，针对弱口令漏洞，则需要加强系统管理员和用户的安全教育，提升他们的安全意识，应设置复杂度强的密码，并定期修改。对于重要信息，应单独进行设置，避免与个人其他信息关联。

2.2 加快信息安全防御体系的完善

要想提高社保系统信息安全管理水平，还需要从安全技术和管理制度两个层面不断完善。首先，在技术层面，在完善信息安全防御体系时，应注重计算机网络安全技术、防火墙技术、病毒防护技术、入侵检测技术等技术的综合运用，以此构建出完整的网络安全防护体系。其次，在管理制度方面，则需要加快完善信息安全方面的法规和技术标准，以此为社保系统安全管理和技术作用有效发挥提供可靠的制度支持。

2.3 优化系统的架构设计

为解决社保系统漏洞的问题，需要从全局的角度考虑，以此探索出科学有效的信息化管理模式。首先，在大数据背景下，可通过构建大数据分析平台，以此进行大数据监管、大数据服务、大数据统一等工作，可有效对社保系统中相关业务进行管理分析，并为系统管理提供有效的技术支持。比如，可通过云结构设计，将一切数据信息存放在云上，达到共享访问的目的。同时通过多级权限设计，让系统形成一个统一的认证接口，保证数据访问无障碍的同时，确保系统信息安全。其次，应建立一个统一的社保信息系统，将各地独立运营的局限打破，然后在此基础基础上配置专业的运维队伍，实现对社保信息系统的运维管理，确保社保信息系统漏洞修复及安全检测工作专业化开展。再次，综合运用各种数据分析技术，实现数据交换、基础计算、管理分析、实时分析等集为一体的社保信息平台，并使用OGG相关技术捕获系统中增量信息，使用流程调度平台实现系统的维护及调用，实现对社保系统数据的统一管理。最后，建立健全国家公民信息安全体系，将社保信息、医疗信息、户籍信息等进行统一管理，避免信息重复建设和资源浪费，也能够在政府和社会化管理的基础上实现智能化管理和联动分析，从而减少分散管理和独立运营过程中存在的信息泄露风险。

3 结语

综上，虽然我国加强了网络信息安全防护的关注，并颁布实施了一系列政策法规及技术标准，但是从实际运行的情况来看，对于社保系统等敏感信息系统的涉及还不足，还需要针对社保信息系统中存在的问题及漏洞，加快完善相应的信息安全管理制度，同时要加大技术层面的投入，通过建立一体化的信息安全防御体系，以此加强社保系统的安全防护，进而保证个人信息的安全。