作者 | 陳峻

審校 | 重樓

眾所周知，專為管理和跟蹤員工信息而設計的人力資源信息（HRIS）系統，是各個企業處理和存儲敏感個人信息的關鍵性平臺。此處不乏從就業記錄和工資薪酬，到績效評估和出勤跟蹤等，范圍廣泛的數據與文件。雖然HRIS系統可以通過自動化的流程，來簡化招聘、入職、培訓、升遷、離職等各項日常人事活動與員工管理任務。但是，鑒于其承載信息的敏感程度與“含金量”，HRIS系統往往成為了內、外部惡意行為者的攻擊目標。一旦發生數據泄露，攻擊事件則可能給個人、以及企業帶來巨大的經濟損失和長遠的法律與名譽影響。

HRIS系統的安全重要性

現如今，世界各地的惡意行為者都在陰暗的角落，通過將先進的AI技術與傳統的攻擊手段結合使用的方式，持續制造著一波又一波詭異多端的復雜攻擊。而HRIS系統往往存儲著身份證號碼、家庭住址、銀行賬號、績效評估等敏感的員工數據，因此，面對此類不斷迭代的攻擊，HRIS需要通過構建完善的防御機制，來應對各種網絡威脅，確保在風險日益增加的數字環境中，系統及其數據的機密性、完整性和可用性。

一、HRIS系統的安全管控實踐

為了簡化問題，我們可以從傳統的網絡與系統安全理論出發，結合法律法規，通過如下優秀實踐來保護HRIS系統。

盡職調查

在構建新的、或是升級改造現有HRIS系統之前，為了保障將來交付出的系統能夠達到業界普遍的安全規范要求（如：能夠順利通過網絡安全等級保護的測評），企業應對承建系統的供應商進行全面考核與盡職調查。此處主要涉及到評估供應商的安全與協議能力，以及審查其對于行業標準和法規的遵守與滿足狀況（如：是否持有ISO、SOC、以及FedRAMP等認證）。

當然，如果企業考慮為現有的HRIS系統更換新的運維服務供應商，那么此類盡職調查與安全審計也是必不可少的環節之一。

身份驗證

為了確保只有合法的用戶才能登錄和查看人事相關信息，HRIS系統應默認啟用單點登錄（SSO）、或多因素身份驗證（MFA，即要求用戶在登錄系統之前，提供兩個或多個身份驗證因素，如：密碼+短信驗證碼的組合等）、以及生物特征識別等身份驗證方法，以阻斷未經授權的訪問，保護HRIS系統中存儲的員工帳戶信息。

數據加密

對于存儲在物理磁盤或虛擬機、以及云端應用中的非頻繁修改的數據，應采用靜態加密。例如：

• 使用AES Crypt，進行文件/文件夾級加密；
• 使用TDE（透明數據加密），進行數據庫的列級或表空間加密；
• 使用Azure Storage Service Encryption等進行云存儲加密。

對于在HRIS系統內頻繁流轉的、以及需要與其他系統之間交換傳輸的數據，應按需予以動態加密。例如：

• 在傳輸層，可使用TLS/SSL、IPsec加密；
• 在應用層，可自定義實現AES/RSA、或使用加密庫OpenSSL加密。另外，對于使用HRIS系統來處理的、某些高敏感性的個人信息，如果無需直接展示，則需要在使用的過程中，保持其處于加密狀態，以提供一個額外的安全層。
  當然，上述提及的加密技術也應得到例行的評估和更新。例如：當前，TLS 1.0、TLS1.1、以及SHA都已被認定為不夠安全的加密技術，因此我們需要禁用它們，且僅使用更新的版本（如：TLS 1.3）。

訪問控制

和其他應用系統類似，HRIS也需要實現基于角色的訪問控制（RBAC），即：根據用戶在企業內的角色對其能夠訪問到的內容與數據予以限制。對應到HRIS系統的使用場景中，便是不同職級或職責的員工在使用該系統時，可以查閱到的信息深度與廣度是不一致的。與此同時，在系統的后臺管理上，我們也需要本著“三權分立”的思想，通過設立如下管理員角色，以規范例行運維過程。

系統管理員(SysAdmin)

• 負責HRIS系統日常的技術維護工作。
• 包括但不限于服務器或數據庫管理、系統功能的配置與維護等。
• 該角色不應直接參與用戶數據的操作或訪問控制規則的設定，不應有日志模塊的訪問權限。

安全管理員(SecAdmin)

• 主要負責制定和執行安全策略。
• 賦予用戶角色，設置相關訪問權限，管理用戶的認證信息(如：密碼策略、登錄措施)、以及對敏感資源的保護措施。
• 安全管理員不應有日志模塊的訪問權限。

審計管理員(AuditAdmin)

• 負責監督系統運行情況、以及異常活動。
• 賦予日志模塊的訪問權限，擁有查看并分析系統相關日志的權利，但不能修改這些記錄。

此外，我們需要定期調整與更新訪問權限，以便最大限度地防止因員工疏忽或惡意行為，導致敏感數據的泄露。

守法合規

對于跨國企業來說，其HRIS系統的使用場景和用戶數據具有較強的地域特征。因此HRIS在構建和運維過程中，我們需要嚴格遵守本企業所在運營區域的數據保護法規的相關要求。例如：

• 如果HRIS處理和存儲的是中國大陸員工的數據，那么就應該遵循《個人數據保護法（PIPL）》；
• 如果HRIS處理和存儲的是中國香港員工的數據，那么就應該遵循《個人隱私保護條例（PDPO）》；
• 如果HRIS處理和存儲的是歐洲員工的數據，那么就應該遵循《通用數據保護條例（GDPR）》；
• 如果HRIS處理和存儲的是美國員工的數據，那么就應該遵循《加州消費者隱私法案（CCPA）》或《健康保險攜帶和責任法案（HIPAA）》。

監控警報

為了能夠準確地識別和應對各種異常行為或潛在的安全威脅，我們需要持續監控并按需跟蹤在HRIS系統內的各項活動。這不僅能夠起到及早發現違規行為的作用，而且可以及時阻止違規行為的持續與蔓延。而監控的結果通常會被系統自動記錄到日志里。在日志中至少需要包含如下關鍵信息項：

• 時間戳：記錄事件發生的具體時間，精確到秒或更細的粒度，以便準確地追蹤操作順序和時間間隔。
• 事件類型：記錄屬于何種類型的事件，如登錄、注銷、查詢、修改、刪除等，以便分類與分析。
• 用戶信息：包括產生該操作的用戶賬號等標識信息，如有可能，還應包括角色與所屬部門等信息。
• 操作結果：記錄操作是成功還是失敗，如失敗，應記錄失敗的原因。
• 客戶端信息：記錄發起操作的客戶端IP地址或主機名等，以便定位事件的來源。而在達到甚至超過設定的異常門限值時，系統應能夠自動觸發安全警報，以通知系統和安全管理員按需采取行動。

風評審計

企業應定期（如每半年、或是在系統發現重大改變的時候）對HRIS系統開展風險評估，盡早識別潛在風險和脆弱性，并根據風評結果制定相應的安全控制措施，以減輕安全威脅。下文我們將詳細討論針對系統隱私影響的風險評估。

同時，我們前面提到了審計管理員這一角色，他應負責通過既定的策略和流程，定期開展安全審計，以審查安全措施的有效性，并確定需要調查和整改的領域。此類審計工作可由專門的內、外部審計人員執行，也可以交給安全紅隊來開展。

意識培訓

常言道，員工往往是企業安全防御中最薄弱的環節。這在HRIS系統的使用場景中顯得尤為突出。除了傳統的教學式安全意識培訓，我們需要定期通過新穎的互動、游戲、演練等形式，以及借助VR、AI等媒介，提供涉及密碼管理、社會工程和釣魚攻擊等場景的識別案例與處置能力，以降低人為錯誤所導致的數據泄露的風險。

同時，我們應在業務部門通過設立安全聯絡員（security champions）這一角色，來更好地宣貫安全意識，敏銳地發現安全隱患。

二、HRIS系統的隱私影響評估

如前所述，HRIS系統中處理和存儲著各類員工個人隱私信息。為了確保這些隱私信息能夠得到恰當的保護，我們應定期對其進行隱私影響評估（PIA），以降低泄漏的風險。在具體實踐中，我們可以參照如下方面開展：

基本觸發條件

HRIS系統的新建、與其他系統的對接、系統發生重大變更、有新類別數據的導入、以及默認定期（每半年或一年），都屬于觸發PIA的基本條件。

收集系統基本信息

在PIA的最初階段，我們應當通過收集信息來了解HRIS系統。其中包括：各個業務功能模塊，應用技術組件（如：前端、微服務、中臺、后臺集成、以及數據庫）、系統部署方式（可以邏輯架構圖的方式呈現）、用戶入口（如：URL、客戶端程序、以及微信小程序）、以及數據字典等。

檢查系統安全態勢

• 如何確保收集到的數據的準確性？如：是否在字段級別限制用戶僅輸入系統認可的特定數據格式或選項，以及是否有用戶確認的輸入提示。
• 如何檢查數據的完整性？如：是否使用SHA-256、MD5等哈希算法，是否做技術校驗等。
• 是否設定數據在系統中的保留期限？如：3年或5年。
• 是否有過期數據的安全銷毀流程與相關記錄？
• 在系統展示個人數據時，是否能按需采取匿名化和去識別化？

評估信息生命周期

• 梳理HRIS系統會收集、使用、共享或維護哪些個人信息（如：姓名、地址、身份證號、財務薪資、銀行賬號、簡歷、求職信、成績單、資格證書等）。
• 據此將其分類為：聯系信息、身份信息、招聘信息、受聘信息、財務信息、健康信息、福利信息、資產使用八大類。
• 羅列個人信息的收集來源，特別區分商業來源與公開途徑的獲取。
• 在要求個人提供個人信息前，是否已獲得其明確同意？
• 明確信息收集的預期用途，是否已向數據主體通知或說明？
• 是否有選項讓個人拒絕提供信息、或拒絕被用于特定用途？
• 注明信息的收集與處理的方式。
• 查明是否會將收集的數據與其他數據合并，或將其用于任何次要商業或其他目的。
• 注明信息會共享給內、外部哪些系統、部門、實體。
• 是否對限制個人信息的再次傳播與非法使用采取了防范措施？

審查系統風險影響

• 有能力判定新收集/導入的數據是否帶有個人信息？
• 在收集數據時是否明示了必填項與可選項？
• 是否定義了個人信息保護的隱私政策？
• 是否提供個人信息查詢和糾誤的途徑（如：電話、郵件、在線提交、以及線下請求等方式），以及在查詢和糾正前，是否能夠驗證請求者的身份？
• 是否有設定角色來處理和告知有關個人信息的請求、投訴、糾正、以及刪除的結果？
• 是否定義了哪些角色類型可以訪問個人數據？(如：普通用戶、供應商、開發人員、管理員等)，以及他們的權限矩陣。
• 供應商對系統的運維服務（如：補丁、升級、響應等）是否有日志記錄？
• 是否帶有識別、定位和監控員工行為的服務（如：考勤記錄）？如有，如何保障過程的合法與安全？
• 羅列已采取的個人信息安全保護措施。例如：

A.物理控制，包括：密碼鎖、CCTV、門禁卡、專用設備、托管中心等。

B.技術控制，包括：密碼、防火墻、入侵檢測系統 (IDS)、虛擬專用網絡 (VPN)、公鑰基礎設施 (PKI) 證書、生物識別、硬件密鑰認證等。  

C.管理控制，包括：定期安全審計、離線安全備份、用戶行為規則、隱私和記錄管理培訓、定期監控用戶行為等。

• 是否有設定角色向監管機構、以及數據主體報告個人信息的丟失、泄露、以及未經授權的訪問。
• 是否有應急響應計劃和流程？

可見，上述評估方面里的每一個項，都有助于維護安全合規的HRIS系統環境，確保員工數據免受外部攻擊和內部濫用。可以說，隨著企業越來越依賴數字化工具進行人力資源的管理，這些安全管控與隱私影響評估怎么細致都不為過。

作者介紹

陳峻（Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。