作者 | 陳峻

審校 | 重樓

眾所周知，專為管理和跟蹤員工信息而設(shè)計(jì)的人力資源信息（HRIS）系統(tǒng)，是各個(gè)企業(yè)處理和存儲(chǔ)敏感個(gè)人信息的關(guān)鍵性平臺(tái)。此處不乏從就業(yè)記錄和工資薪酬，到績(jī)效評(píng)估和出勤跟蹤等，范圍廣泛的數(shù)據(jù)與文件。雖然HRIS系統(tǒng)可以通過(guò)自動(dòng)化的流程，來(lái)簡(jiǎn)化招聘、入職、培訓(xùn)、升遷、離職等各項(xiàng)日常人事活動(dòng)與員工管理任務(wù)。但是，鑒于其承載信息的敏感程度與“含金量”，HRIS系統(tǒng)往往成為了內(nèi)、外部惡意行為者的攻擊目標(biāo)。一旦發(fā)生數(shù)據(jù)泄露，攻擊事件則可能給個(gè)人、以及企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失和長(zhǎng)遠(yuǎn)的法律與名譽(yù)影響。

HRIS系統(tǒng)的安全重要性

現(xiàn)如今，世界各地的惡意行為者都在陰暗的角落，通過(guò)將先進(jìn)的AI技術(shù)與傳統(tǒng)的攻擊手段結(jié)合使用的方式，持續(xù)制造著一波又一波詭異多端的復(fù)雜攻擊。而HRIS系統(tǒng)往往存儲(chǔ)著身份證號(hào)碼、家庭住址、銀行賬號(hào)、績(jī)效評(píng)估等敏感的員工數(shù)據(jù)，因此，面對(duì)此類(lèi)不斷迭代的攻擊，HRIS需要通過(guò)構(gòu)建完善的防御機(jī)制，來(lái)應(yīng)對(duì)各種網(wǎng)絡(luò)威脅，確保在風(fēng)險(xiǎn)日益增加的數(shù)字環(huán)境中，系統(tǒng)及其數(shù)據(jù)的機(jī)密性、完整性和可用性。

一、HRIS系統(tǒng)的安全管控實(shí)踐

為了簡(jiǎn)化問(wèn)題，我們可以從傳統(tǒng)的網(wǎng)絡(luò)與系統(tǒng)安全理論出發(fā)，結(jié)合法律法規(guī)，通過(guò)如下優(yōu)秀實(shí)踐來(lái)保護(hù)HRIS系統(tǒng)。

盡職調(diào)查

在構(gòu)建新的、或是升級(jí)改造現(xiàn)有HRIS系統(tǒng)之前，為了保障將來(lái)交付出的系統(tǒng)能夠達(dá)到業(yè)界普遍的安全規(guī)范要求（如：能夠順利通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)的測(cè)評(píng)），企業(yè)應(yīng)對(duì)承建系統(tǒng)的供應(yīng)商進(jìn)行全面考核與盡職調(diào)查。此處主要涉及到評(píng)估供應(yīng)商的安全與協(xié)議能力，以及審查其對(duì)于行業(yè)標(biāo)準(zhǔn)和法規(guī)的遵守與滿足狀況（如：是否持有ISO、SOC、以及FedRAMP等認(rèn)證）。

當(dāng)然，如果企業(yè)考慮為現(xiàn)有的HRIS系統(tǒng)更換新的運(yùn)維服務(wù)供應(yīng)商，那么此類(lèi)盡職調(diào)查與安全審計(jì)也是必不可少的環(huán)節(jié)之一。

身份驗(yàn)證

為了確保只有合法的用戶才能登錄和查看人事相關(guān)信息，HRIS系統(tǒng)應(yīng)默認(rèn)啟用單點(diǎn)登錄（SSO）、或多因素身份驗(yàn)證（MFA，即要求用戶在登錄系統(tǒng)之前，提供兩個(gè)或多個(gè)身份驗(yàn)證因素，如：密碼+短信驗(yàn)證碼的組合等）、以及生物特征識(shí)別等身份驗(yàn)證方法，以阻斷未經(jīng)授權(quán)的訪問(wèn)，保護(hù)HRIS系統(tǒng)中存儲(chǔ)的員工帳戶信息。

數(shù)據(jù)加密

對(duì)于存儲(chǔ)在物理磁盤(pán)或虛擬機(jī)、以及云端應(yīng)用中的非頻繁修改的數(shù)據(jù)，應(yīng)采用靜態(tài)加密。例如：

• 使用AES Crypt，進(jìn)行文件/文件夾級(jí)加密；
• 使用TDE（透明數(shù)據(jù)加密），進(jìn)行數(shù)據(jù)庫(kù)的列級(jí)或表空間加密；
• 使用Azure Storage Service Encryption等進(jìn)行云存儲(chǔ)加密。

對(duì)于在HRIS系統(tǒng)內(nèi)頻繁流轉(zhuǎn)的、以及需要與其他系統(tǒng)之間交換傳輸?shù)臄?shù)據(jù)，應(yīng)按需予以動(dòng)態(tài)加密。例如：

• 在傳輸層，可使用TLS/SSL、IPsec加密；
• 在應(yīng)用層，可自定義實(shí)現(xiàn)AES/RSA、或使用加密庫(kù)OpenSSL加密。另外，對(duì)于使用HRIS系統(tǒng)來(lái)處理的、某些高敏感性的個(gè)人信息，如果無(wú)需直接展示，則需要在使用的過(guò)程中，保持其處于加密狀態(tài)，以提供一個(gè)額外的安全層。
  當(dāng)然，上述提及的加密技術(shù)也應(yīng)得到例行的評(píng)估和更新。例如：當(dāng)前，TLS 1.0、TLS1.1、以及SHA都已被認(rèn)定為不夠安全的加密技術(shù)，因此我們需要禁用它們，且僅使用更新的版本（如：TLS 1.3）。

訪問(wèn)控制

和其他應(yīng)用系統(tǒng)類(lèi)似，HRIS也需要實(shí)現(xiàn)基于角色的訪問(wèn)控制（RBAC），即：根據(jù)用戶在企業(yè)內(nèi)的角色對(duì)其能夠訪問(wèn)到的內(nèi)容與數(shù)據(jù)予以限制。對(duì)應(yīng)到HRIS系統(tǒng)的使用場(chǎng)景中，便是不同職級(jí)或職責(zé)的員工在使用該系統(tǒng)時(shí)，可以查閱到的信息深度與廣度是不一致的。與此同時(shí)，在系統(tǒng)的后臺(tái)管理上，我們也需要本著“三權(quán)分立”的思想，通過(guò)設(shè)立如下管理員角色，以規(guī)范例行運(yùn)維過(guò)程。

系統(tǒng)管理員(SysAdmin)

• 負(fù)責(zé)HRIS系統(tǒng)日常的技術(shù)維護(hù)工作。
• 包括但不限于服務(wù)器或數(shù)據(jù)庫(kù)管理、系統(tǒng)功能的配置與維護(hù)等。
• 該角色不應(yīng)直接參與用戶數(shù)據(jù)的操作或訪問(wèn)控制規(guī)則的設(shè)定，不應(yīng)有日志模塊的訪問(wèn)權(quán)限。

安全管理員(SecAdmin)

• 主要負(fù)責(zé)制定和執(zhí)行安全策略。
• 賦予用戶角色，設(shè)置相關(guān)訪問(wèn)權(quán)限，管理用戶的認(rèn)證信息(如：密碼策略、登錄措施)、以及對(duì)敏感資源的保護(hù)措施。
• 安全管理員不應(yīng)有日志模塊的訪問(wèn)權(quán)限。

審計(jì)管理員(AuditAdmin)

• 負(fù)責(zé)監(jiān)督系統(tǒng)運(yùn)行情況、以及異?；顒?dòng)。
• 賦予日志模塊的訪問(wèn)權(quán)限，擁有查看并分析系統(tǒng)相關(guān)日志的權(quán)利，但不能修改這些記錄。

此外，我們需要定期調(diào)整與更新訪問(wèn)權(quán)限，以便最大限度地防止因員工疏忽或惡意行為，導(dǎo)致敏感數(shù)據(jù)的泄露。

守法合規(guī)

對(duì)于跨國(guó)企業(yè)來(lái)說(shuō)，其HRIS系統(tǒng)的使用場(chǎng)景和用戶數(shù)據(jù)具有較強(qiáng)的地域特征。因此HRIS在構(gòu)建和運(yùn)維過(guò)程中，我們需要嚴(yán)格遵守本企業(yè)所在運(yùn)營(yíng)區(qū)域的數(shù)據(jù)保護(hù)法規(guī)的相關(guān)要求。例如：

• 如果HRIS處理和存儲(chǔ)的是中國(guó)大陸員工的數(shù)據(jù)，那么就應(yīng)該遵循《個(gè)人數(shù)據(jù)保護(hù)法（PIPL）》；
• 如果HRIS處理和存儲(chǔ)的是中國(guó)香港員工的數(shù)據(jù)，那么就應(yīng)該遵循《個(gè)人隱私保護(hù)條例（PDPO）》；
• 如果HRIS處理和存儲(chǔ)的是歐洲員工的數(shù)據(jù)，那么就應(yīng)該遵循《通用數(shù)據(jù)保護(hù)條例（GDPR）》；
• 如果HRIS處理和存儲(chǔ)的是美國(guó)員工的數(shù)據(jù)，那么就應(yīng)該遵循《加州消費(fèi)者隱私法案（CCPA）》或《健康保險(xiǎn)攜帶和責(zé)任法案（HIPAA）》。

監(jiān)控警報(bào)

為了能夠準(zhǔn)確地識(shí)別和應(yīng)對(duì)各種異常行為或潛在的安全威脅，我們需要持續(xù)監(jiān)控并按需跟蹤在HRIS系統(tǒng)內(nèi)的各項(xiàng)活動(dòng)。這不僅能夠起到及早發(fā)現(xiàn)違規(guī)行為的作用，而且可以及時(shí)阻止違規(guī)行為的持續(xù)與蔓延。而監(jiān)控的結(jié)果通常會(huì)被系統(tǒng)自動(dòng)記錄到日志里。在日志中至少需要包含如下關(guān)鍵信息項(xiàng)：

• 時(shí)間戳：記錄事件發(fā)生的具體時(shí)間，精確到秒或更細(xì)的粒度，以便準(zhǔn)確地追蹤操作順序和時(shí)間間隔。
• 事件類(lèi)型：記錄屬于何種類(lèi)型的事件，如登錄、注銷(xiāo)、查詢、修改、刪除等，以便分類(lèi)與分析。
• 用戶信息：包括產(chǎn)生該操作的用戶賬號(hào)等標(biāo)識(shí)信息，如有可能，還應(yīng)包括角色與所屬部門(mén)等信息。
• 操作結(jié)果：記錄操作是成功還是失敗，如失敗，應(yīng)記錄失敗的原因。
• 客戶端信息：記錄發(fā)起操作的客戶端IP地址或主機(jī)名等，以便定位事件的來(lái)源。而在達(dá)到甚至超過(guò)設(shè)定的異常門(mén)限值時(shí)，系統(tǒng)應(yīng)能夠自動(dòng)觸發(fā)安全警報(bào)，以通知系統(tǒng)和安全管理員按需采取行動(dòng)。

風(fēng)評(píng)審計(jì)

企業(yè)應(yīng)定期（如每半年、或是在系統(tǒng)發(fā)現(xiàn)重大改變的時(shí)候）對(duì)HRIS系統(tǒng)開(kāi)展風(fēng)險(xiǎn)評(píng)估，盡早識(shí)別潛在風(fēng)險(xiǎn)和脆弱性，并根據(jù)風(fēng)評(píng)結(jié)果制定相應(yīng)的安全控制措施，以減輕安全威脅。下文我們將詳細(xì)討論針對(duì)系統(tǒng)隱私影響的風(fēng)險(xiǎn)評(píng)估。

同時(shí)，我們前面提到了審計(jì)管理員這一角色，他應(yīng)負(fù)責(zé)通過(guò)既定的策略和流程，定期開(kāi)展安全審計(jì)，以審查安全措施的有效性，并確定需要調(diào)查和整改的領(lǐng)域。此類(lèi)審計(jì)工作可由專門(mén)的內(nèi)、外部審計(jì)人員執(zhí)行，也可以交給安全紅隊(duì)來(lái)開(kāi)展。

意識(shí)培訓(xùn)

常言道，員工往往是企業(yè)安全防御中最薄弱的環(huán)節(jié)。這在HRIS系統(tǒng)的使用場(chǎng)景中顯得尤為突出。除了傳統(tǒng)的教學(xué)式安全意識(shí)培訓(xùn)，我們需要定期通過(guò)新穎的互動(dòng)、游戲、演練等形式，以及借助VR、AI等媒介，提供涉及密碼管理、社會(huì)工程和釣魚(yú)攻擊等場(chǎng)景的識(shí)別案例與處置能力，以降低人為錯(cuò)誤所導(dǎo)致的數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

同時(shí)，我們應(yīng)在業(yè)務(wù)部門(mén)通過(guò)設(shè)立安全聯(lián)絡(luò)員（security champions）這一角色，來(lái)更好地宣貫安全意識(shí)，敏銳地發(fā)現(xiàn)安全隱患。

二、HRIS系統(tǒng)的隱私影響評(píng)估

如前所述，HRIS系統(tǒng)中處理和存儲(chǔ)著各類(lèi)員工個(gè)人隱私信息。為了確保這些隱私信息能夠得到恰當(dāng)?shù)?/span>保護(hù)，我們應(yīng)定期對(duì)其進(jìn)行隱私影響評(píng)估（PIA），以降低泄漏的風(fēng)險(xiǎn)。在具體實(shí)踐中，我們可以參照如下方面開(kāi)展：

基本觸發(fā)條件

HRIS系統(tǒng)的新建、與其他系統(tǒng)的對(duì)接、系統(tǒng)發(fā)生重大變更、有新類(lèi)別數(shù)據(jù)的導(dǎo)入、以及默認(rèn)定期（每半年或一年），都屬于觸發(fā)PIA的基本條件。

收集系統(tǒng)基本信息

在PIA的最初階段，我們應(yīng)當(dāng)通過(guò)收集信息來(lái)了解HRIS系統(tǒng)。其中包括：各個(gè)業(yè)務(wù)功能模塊，應(yīng)用技術(shù)組件（如：前端、微服務(wù)、中臺(tái)、后臺(tái)集成、以及數(shù)據(jù)庫(kù)）、系統(tǒng)部署方式（可以邏輯架構(gòu)圖的方式呈現(xiàn)）、用戶入口（如：URL、客戶端程序、以及微信小程序）、以及數(shù)據(jù)字典等。

檢查系統(tǒng)安全態(tài)勢(shì)

• 如何確保收集到的數(shù)據(jù)的準(zhǔn)確性？如：是否在字段級(jí)別限制用戶僅輸入系統(tǒng)認(rèn)可的特定數(shù)據(jù)格式或選項(xiàng)，以及是否有用戶確認(rèn)的輸入提示。
• 如何檢查數(shù)據(jù)的完整性？如：是否使用SHA-256、MD5等哈希算法，是否做技術(shù)校驗(yàn)等。
• 是否設(shè)定數(shù)據(jù)在系統(tǒng)中的保留期限？如：3年或5年。
• 是否有過(guò)期數(shù)據(jù)的安全銷(xiāo)毀流程與相關(guān)記錄？
• 在系統(tǒng)展示個(gè)人數(shù)據(jù)時(shí)，是否能按需采取匿名化和去識(shí)別化？

評(píng)估信息生命周期

• 梳理HRIS系統(tǒng)會(huì)收集、使用、共享或維護(hù)哪些個(gè)人信息（如：姓名、地址、身份證號(hào)、財(cái)務(wù)薪資、銀行賬號(hào)、簡(jiǎn)歷、求職信、成績(jī)單、資格證書(shū)等）。
• 據(jù)此將其分類(lèi)為：聯(lián)系信息、身份信息、招聘信息、受聘信息、財(cái)務(wù)信息、健康信息、福利信息、資產(chǎn)使用八大類(lèi)。
• 羅列個(gè)人信息的收集來(lái)源，特別區(qū)分商業(yè)來(lái)源與公開(kāi)途徑的獲取。
• 在要求個(gè)人提供個(gè)人信息前，是否已獲得其明確同意？
• 明確信息收集的預(yù)期用途，是否已向數(shù)據(jù)主體通知或說(shuō)明？
• 是否有選項(xiàng)讓個(gè)人拒絕提供信息、或拒絕被用于特定用途？
• 注明信息的收集與處理的方式。
• 查明是否會(huì)將收集的數(shù)據(jù)與其他數(shù)據(jù)合并，或?qū)⑵溆糜谌魏未我虡I(yè)或其他目的。
• 注明信息會(huì)共享給內(nèi)、外部哪些系統(tǒng)、部門(mén)、實(shí)體。
• 是否對(duì)限制個(gè)人信息的再次傳播與非法使用采取了防范措施？

審查系統(tǒng)風(fēng)險(xiǎn)影響

• 有能力判定新收集/導(dǎo)入的數(shù)據(jù)是否帶有個(gè)人信息？
• 在收集數(shù)據(jù)時(shí)是否明示了必填項(xiàng)與可選項(xiàng)？
• 是否定義了個(gè)人信息保護(hù)的隱私政策？
• 是否提供個(gè)人信息查詢和糾誤的途徑（如：電話、郵件、在線提交、以及線下請(qǐng)求等方式），以及在查詢和糾正前，是否能夠驗(yàn)證請(qǐng)求者的身份？
• 是否有設(shè)定角色來(lái)處理和告知有關(guān)個(gè)人信息的請(qǐng)求、投訴、糾正、以及刪除的結(jié)果？
• 是否定義了哪些角色類(lèi)型可以訪問(wèn)個(gè)人數(shù)據(jù)？(如：普通用戶、供應(yīng)商、開(kāi)發(fā)人員、管理員等)，以及他們的權(quán)限矩陣。
• 供應(yīng)商對(duì)系統(tǒng)的運(yùn)維服務(wù)（如：補(bǔ)丁、升級(jí)、響應(yīng)等）是否有日志記錄？
• 是否帶有識(shí)別、定位和監(jiān)控員工行為的服務(wù)（如：考勤記錄）？如有，如何保障過(guò)程的合法與安全？
• 羅列已采取的個(gè)人信息安全保護(hù)措施。例如：

A.物理控制，包括：密碼鎖、CCTV、門(mén)禁卡、專用設(shè)備、托管中心等。

B.技術(shù)控制，包括：密碼、防火墻、入侵檢測(cè)系統(tǒng) (IDS)、虛擬專用網(wǎng)絡(luò) (VPN)、公鑰基礎(chǔ)設(shè)施 (PKI) 證書(shū)、生物識(shí)別、硬件密鑰認(rèn)證等。  

C.管理控制，包括：定期安全審計(jì)、離線安全備份、用戶行為規(guī)則、隱私和記錄管理培訓(xùn)、定期監(jiān)控用戶行為等。

• 是否有設(shè)定角色向監(jiān)管機(jī)構(gòu)、以及數(shù)據(jù)主體報(bào)告?zhèn)€人信息的丟失、泄露、以及未經(jīng)授權(quán)的訪問(wèn)。
• 是否有應(yīng)急響應(yīng)計(jì)劃和流程？

可見(jiàn)，上述評(píng)估方面里的每一個(gè)項(xiàng)，都有助于維護(hù)安全合規(guī)的HRIS系統(tǒng)環(huán)境，確保員工數(shù)據(jù)免受外部攻擊和內(nèi)部濫用?？梢哉f(shuō)，隨著企業(yè)越來(lái)越依賴數(shù)字化工具進(jìn)行人力資源的管理，這些安全管控與隱私影響評(píng)估怎么細(xì)致都不為過(guò)。

作者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。