“互联网+人社”的信息安全及应用风险
1引言
“互联网+人社”是人力资源社会保障部门服务群众的重要方式,在建立多种服务能力过程中,需要解决高效便捷与信息安全及服务风险之间的矛盾,从不同方面加强信息安全保障和应用风险防范。
“互联网+人社”是加快人力资源和社会保障领域简政放权、优化服务改革的重要举措,本质上是依托互联网打造一种新的服务模式,是供给侧改革的具体表现,是一种将多年积累的人力资源社会保障工作基础,通过互联网方式释放应用能力,形成服务水平的一种新方法。民生事业与互联网具有天然的结合优势和必要性,而作为“金保工程”专网体系和大量公民个人信息的安全要求,以及人社业务的复杂性,给“互联网+人社”应用提出了很高的要求,尤其是信息安全领域。“互联网+人社”应用的关键在于基础能力的全面提升,针对精准识别能力、信息汇聚能力、需求感知能力、信用评价能力及支付结算能力等能力建设,需要从不同方面加强信息安全保障和应用风险防范。
2精准识别过程中的应用风险
实现精准识别需满足2个条件:一是识别方法精准,二是判断依据可靠。行业内线上线下综合身份认证手段已经很完整,普遍具备了很强的业务办理实名制验证能力,信息安全的重点应放在判断依据的可靠性上。目前主要通过社保卡持卡人员基础信息库、用人单位基础信息库为依据进行识别判断,但“库数据”在建模之初的数据质量可能对识别过程及结果造成影响,即准确的外部信息与不准确的内部库数据比对结果出现偏差。该环节一般不会对信息安全造成大的威胁,存在因为“库数据”某一指标数据质量差或变更维护难等原因影响工作效率和服务风险。
对此问题,需建立基础信息库数据的冗余和智能更新能力,对数据指标设定可靠指数,当通过可靠识别方法获取的数据指标可靠指数高于既有数据信息指标时,对获取指标信息进行保存并迭代更新。此外,还应建立包括传统方法及生物识别技术在内的多重符合识别体系,提升識别技术的普遍适用性。
3信息汇聚过程中的信息安全
人社部门通过外部数据资源共享和互联网获取的数据资源,已经建立起了一定的数据规模,并逐步汇聚形成大数据应用平台。汇聚的信息一方面用于方便群众办事,另一方面用于开展大数据分析,为需求感知和信用评价提供基础支撑。对于外部数据,绝大多数不进行严格甄别或不具备相应的基础条件,而外部数据更多是用于业务经办及公共服务的辅助作用,比如用于进行人脸识别基础建模的照片信息。在此过程中,对外部数据质量管控能力直接影响到服务效果,并相应地存在应用风险。针对这一问题,关键要通过“一数一源”标记,尤其是群众自行申报的数据信息。
通过互联网获取的大量数据信息,信息入口和通道是信息泄漏的重灾区。人社部门代表政府汇聚各类信息并服务人民群众,责任重大,在利用互联网渠道的过程中,要确保互联网渠道的入口及通道属性,相关信息不能在第三方落地,务必直接进入金保工程专网内或可控的互联网容器中。此外,金保工程专网与互联网的数据通信一般通过网闸,要建立对网闸及通道的独立检测能力和智能分析能力。
4需求感知和信用评价过程中的应用风险
需求感知和信用评价有相似之处,核心是基于各类数据资源,运用大数据技术对服务对象的基础属性、业务属性以及行为轨迹等进行建模和“画像”,开展比对和关联分析,其结果对政策制定和监察执法都具有指导性,对某一群体或某一类企业会产生一定的影响。我国地域辽阔,各地发展状况及产业结构差异较大,人员流动频繁,想要建立较强的需求感知和信用评价能力,重点要确保实现跨地区、跨业务共建共享共用,实现区域间和全国性协同。
5支付结算过程中的信息安全
人社领域的支付结算能力主要依托社保卡的金融功能建立,人社部门实际上不是金融数据信息的管理主体,支付结算能力在向外输出的过程中,要与金融管理部门明确信息安全职责,让社保卡的金融信息能最大限度在政府服务领域发挥作用的同时,避免出现外部通过人社系统的数据库或服务接口批量获取金融信息的情况,并会同主管部门加强第三方支付平台监管。
6结束语
“互联网+人社”能力建设是一项长期工作,在最大限度提升能力、便利群众的同时,也需要不断加强新技术的运用,重点保障应用过程中的信息和数据安全遥。