社保系统漏洞与信息化管理模式探索

随着互联网经济的发展，个人信息安全越来越成为影响社会生活稳定和经济金融健康发展的重要因素。2015年4月中下旬，媒体报道我国多个省市地区的社保系统存在泄露个人敏感信息的高风险漏洞。据全球最大的漏洞响应平台(补天漏洞响应平台)20l5年4月22日的数据显示，围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证号码、社保参保信息、财务、薪酬、房屋等敏感信息。

　　人力资源和社会保障部在第一时间发布消息，已与国家相关信息部门进行了联系和沟通，向报道中所称的漏洞信息平台了解其所监测到的漏洞信息，同时向报道中所提及的地方人社部门了解情况，要求这些地区对所报道的隐患进行排查，对确实存在漏洞的要求在第一时间采取措施，予以封堵。

　　大范围的社保系统数据等个人敏感信息存在安全漏洞问题，反映出我国部分关于国计民生的重要信息系统尚无法在主机、网络、数据库等信息系统重要组成部分提供足够的安全防护。针对我国社保信息系统管理现状，需要探索与实际情况相适应的信息化管理模式，实现技术防护和管理制度的高度融合。

一、社保系统漏洞及风险

　　乌云平台20l5年8月14日的数据显示，被披露的社保系统漏洞信息共109条，涉及的系统漏洞主要为SQL注入、越权访问、框架注入、弱口令等。

　　1. SQL注入(SQL Injection)

　　SQL注入攻击，即通过把恶意的SQL命令插入到Web表单递交、输入域名或页面请求的查询字符串，以达到欺骗服务器执行恶意的SQL命令。

　　根据不同的入侵技术原理，SQL注入可以分为平台层注入和代码层注入。其中平台层SQL注入，主要由于在服务器端使用了不安全的数据库配置；代码层SQL注入主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。

　　SQL注入漏洞的产生通常表现在以下几方面：①不安全的数据库配置；②不当的数据类型处理；③不合适的转义字符处理；④不合理的查询集处理；⑤不当的错误处理。

　　如果网站存在SQL注入漏洞，攻击者可以构造恶意语句输入，在数据库中执行恶意命令，通过服务器返回的错误信息，可以探测数据库类型、数据表结构等重要信息，并猜解出数据库用户名、密码，或绕过身份验证，登录到服务器系统，达到获取数据库敏感信息甚至控制整个服务器的目的。

　　 2. 越权访问(Broken Access Control，BAC)

　　越权访问是OW ASP Top 10中一大类漏洞的统称，这类漏洞是指应用在检查授权时存在纰漏，使得攻击者可以利用一些方式绕过权限检查，访问或者操作到原本无权访问的代码。

　　对存在越权访问漏洞的网站，在服务端对请求的数据和当前用户身份缺少校验检查，或因为此类应用场景较多，无法保证对所有的数据访问都经过了严格的权限检查。在网站开发阶段的代码安全审查中，这类漏洞往往也很难通过工具进行自动化检测。

　　攻击者对存在越权访问漏洞的网站，利用传入参数的可猜测性(使用整形数据做记录ID)，获取和直接变更输入的参数，就可以得到所有的用户信息，进而造成敏感信息大量泄露。

　　3. 框架注入

　　框架注入漏洞是指在一个Web站点创建一个命名框架，那么相同浏览器进程打开的任何窗口都允许写这个框架的内容，即使它的内容已由另一个Web站点发布。

　　如果应用程序存在框架注入漏洞，那么攻击者就可以使用以下步骤利用这种漏洞：

　　(1)攻击者创建一个看似无害的Web站点，其中包含一段每隔一段时间(例如10s)就会自动运行的脚本，并尝试使用它覆写main_display框架的内容。新内容保存在攻击者的站点中，其中包含木马功能，它的外观与某社保网站框架的常规内容完全相同，但可将用户输入的所有数据提交给攻击者。

　　(2)攻击者或者等待某社保网站用户浏览他创建的站点，或者使用其他方法诱使他们这样做，如发送电子邮件、购买横幅广告等。

　　(3)如果用户在浏览攻击者创建的看似无害的Web站点的同时还在使用某社保网站，或者在另一个浏览器窗口显示攻击者的站点的同时访问该社保网站，那么攻击者的木马内容就会覆写该社保网站窗口中的main_display框架。如果用户继续使用貌似为该社保网站的应用程序，那么他输入的任何数据都将被提交给攻击者。

　　即使社保网站使用HTTPS，框架注入攻击依然能够成功，同时浏览器窗口中显示的安全信息还将继续揭示该社保网站的正确证书。这是因为当浏览器显示一个框架标记时，主窗口的安全信息即与包含框架标记的页面关联起来，这时框架标记仍然源自该社保网站。因此，框架注入攻击表现出高度的隐蔽性。

　　4. 弱口令

　　弱口令在一般意义上指的是容易被猜测到或被破解工具破解的口令。弱口令是最简单的漏洞之一，但其造成的危害却非常严重。

　　我国部分地区的社保系统管理员、社保系统用户缺乏安全意识，对具备高权限的数据库用户设置弱密码，造成系统性的敏感信息泄露。

　　从信息安全整体形势上来说，互联网平台、社交网络等领域已发生了多次大规模个人信息泄露事件，攻击者利用已掌握的个人信息，可以使用撞库等方式猜测社保系统的用户名、密码等信息，进入社保系统获取他人敏感信息。

二、社保系统漏洞安全防护

　　1、对主要风险漏洞的防范

　　(1)对SQL注入漏洞的防范，主要是通过一些合理的操作和配置来降低SQL注入的危险：①使用参数化的过滤性语句，而不是将用户输入、嵌入到语句中，以此修正SQL语句；②检查用户输入的合法性，在客户端和服务器端都执行数据检查，以弥补客户端验证机制脆弱的安全性；③将用户登录名称、密码等数据进行加密处理，然后再将它与数据库中保存的数据比较；④控制数据库访问权限，只给访问数据库的Web应用功能所需的最低的权限，撤销不必要的公共许可；⑤控制错误消息显示，避免出现系统信息相关的详细错误消息提示。

　　(2)对越权访问漏洞的防范，从原理上讲，在应用程序设计时，需要根据不同的应用场景，设计各自的检验逻辑。但在实际应用中，需要进行权限检验的应用力度小而繁琐，在机制上无法保证对每一个可能的应用都经过严格的权限检查。一种实用的解决思路是对数据的安全域进行划分，根据不同的场景设计符合要求的后端API／Service，同时对后端API／Service根据不同的安全域进行隔离。

　　(3)对框架注入漏洞的防范，在应用程序设计时，需要在每个会话中使用不同的命名框架，并且使用无法预测的框架名称。在实际应用中的一种可行方法是在每个基本的框架名称后附加用户的会话令牌，如main_display。

　　(4)对弱口令漏洞的防范，主要是要加强系统管理员和系统用户的安全意识教育，使用高复杂度的密码设置，并定期修改。为防御社会工程学攻击，对重要信息系统的密码，需要单独设置，并避免与个人其他信息，如身份证号等信息出现关联。

　　 2. 建立一体化信息安全防御体系

　　信息安全防御体系是一项复杂的系统工程，涉及信息安全技术、管理制度等多方面因素。目前，我国部分地区的社保系统在信息安全技术和管理制度方面均存在缺失。

　　从技术层面讲，信息安全防御体系需要综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，形成一套完整的、协调一致的网络安全防护体系。其实现措施主要有：网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦洲与实时响应系统、网络病毒防护系统、强力存取控制系统等。

　　在管理制度方面，社保信息系统的安全，在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略，后续所有安全技术和手段，都围绕此策略来选择和使用。从某种意义上说，信息安全技术手段和相关安全防御社保都只是信息安全管理的辅助手段，如果缺失完善的管理制度与措施，技术手段就没法发挥应有的作用。目前，我国在信息安全方面发布了一系列的法规和技术标准，如《信息安全等级保护管理办法》、《通信网络安全防护管理办法》等，对信息网络安全进行了明确的规定。但具体到社保系统等敏感信息系统，目前的信息安全管理制度尚有待完善和强化。

三、信息化管理模式探索

　　当前我国社保信息系统存在分散建设、运维不足、升级滞后、审计缺失、责任不明等风险，无法满足社保系统高度信息安全保障需求，需要探索出适合我国社保系统现状的管理模式。

　　1. 社保信息系统的管理风险问题

　　2000年4月，朱镕基同志在辽宁就国有企业改革和社会保障体系建设问题进行调查研究时提出“运用电子技术手段，建立统一的、覆盖全国的社会保障技术支持系统，实行现代化管理。各地社会保障资金的缴纳、记录、核算、支付、查询服务等，都要纳入计算机管理系统，并逐步实现全国联网”。

　　当前，我国社保信息系统已基本建立完成，但在管理上还存在如下问题：

　　一是分散建设，运维不足。各地政府建设自己的社保系统，独立运维。在具体实践中，部分社保信息系统由政府机构独立运维，部分系统外包给第三方企业运维。虽然在功能上实现了全国联网，但在运维上分散管理，致使不同地区的社保系统信息安全防护水平不一，易出现形式不一的安全风险漏洞，严重影响整体的社保信息系统安全防护水平。

　　二是系统运行压力大，升级滞后。社保信息系统数据具有数据量大(涉及面广、参保人数多、人员情况复杂)、存储时间长(最长的达到60年以上)、数据更新快(每天都在变化)、实用性强(随时随地要用)、联网要求高(需满足全国联网实时查询)等特性，也因此造成系统运行压力大，升级动力不足等问题。

　　三是信息系统审计不足，安全漏洞检测缺失。在分散建设和运维的情况下，对信息系统进行审计，进行例行化安全检测和渗透性测试以及时修复风险漏洞的成本较高，增加了政府财政支出，易造成投入不足，必要的安全检测缺失等问题。

　　四是管理人员的安全意识不够，信息技术水平不足。一方面是部分社保信息系统管理人员安全意识不够，维护态度不积极，对系统安全漏洞修复不及时；另一方面是缺乏精通社保专业和信息技术专业的复合型专业人才，致使社保系统管理维护无法满足信息技术快速发展的安全防护需求。

　　五是责任机制不完善。我国目前对信息安全泄露尚缺乏明确的问责机制，对社保信息系统存在的安全风险漏洞，缺少强制措施进行管理和问责，这就在一定程度上导致了相关管理人员在信息维护态度上的懈怠。

　　2. 信息化管理模式探索

　　在互联网、大数据技术、移动终端快速发展的信息化时代，社保系统信息安全已不是一个地区、一个部门的责任，而是与国家安全、政府治理、经济管理、公民隐私合法权益保护等息息相关的重要问题，需要有从全局角度考虑，探索系统性的信息化管理模式。

　　一是建立统一的社保信息系统，取消各地区独立运维的压力。在此基础上，由专业化的运维团队对社保信息系统进行运维管理，专业化的信息安全保障团队对社保信息系统进行安全检测和漏洞修复。

　　二是考虑对社保系统数据进行统一管理，建立国家级的社保信息中心，并做好应急恢复和灾备工作。对社保信息的安全保护，应符合《信息安全等级保护管理办法》等法律规范要求。在社保信息大集中的基础上，可以综合运用各种数据分析技术，对全国社保数据进行分析处理，为国家宏观经济决策提供数据基础。

　　三是建立国家公民信息安全体系，将户籍信息、医疗信息、社保信息等纳入统一管理，不仅可以减少信息系统的重复建设，避免资源浪费，而且可以为政府管理、社会管理的信息化和智能化提供坚实的数据基础，进行联动分析和智能处理。在信息安全保障上，也避免了分散管理、独自运维造成的信息泄露风险。

（文章来源：《中国金融电脑杂志》杂志）

扫码即可手机
阅读转发此文