核心二板人社系统信息化建设安全设计方案样本.doc

资源描述

1、五、系统安全设计245（一）系统安全建设目的245（二）系统安全建设内容245（三）系统安全设计原则246（四）系统安全体系构造246（五）设计中参照某些国标248（六）系统安全需求分析250（七）系统安全方略254（八）基本安全防护系统建设259（九）CA认证中心系统建设265（十）容灾备份中心系统建设273（十一）安全管理体系建设284五、系统安全设计在信息系统建设过程中，计算机系统安全建设是一种必不可少环节。社会保险信息系统不但是一种涉及多地区、多部门、多业务、多应用信息系统，并且其安全性涉及到每个公民切身利益。社会保险系统中存有社会保险各项业务核心数据和各单位敏感信息，影响着政府管理

2、决策和形象，存在着社会政治经济风险，其安全设计至关重要。社会保险信息系统网络参照国家涉密网络安全设计规定进行设计。社会保险信息系统安全设计，一方面是针对系统所面临来自网络内部和外部各种安全风险进行分析，特别是对需要保护各类信息及可承受最大风险限度分析，制定与各类信息（系统）安全需求相应安全目的和安全方略，建立起涉及“风险分析、安全需求分析、安全方略制定和实行、风险评估、事件监测和及时响应”可适应安全模型，并作为系统配备、管理和应用基本安全框架，以形成符合社会保险信息系统合理、完善信息安全体系。并在形成安全体系构造基本上，将信息安全机制（访问控制技术、密码技术和鉴别技术等）支撑各种安全服务（机密

3、性、完整性、可用性、可审计性和抗抵赖性等）功能，合理地作用在社会保险信息系统各个安全需求分布点上，最后达到使风险值稳定、收敛且实现安全与风险适度平衡。（一）系统安全建设目的针对社会保险信息系统特点，在既有安全设施基本上，依照国家关于信息网络安全系统建设法律法规和原则规范以及系统对安全性设计详细规定，并结合当前信息安全技术发展水平，针对也许存在安全漏洞和安全需求，在不同层次上提出安全级别规定，制定相应安全方略，设计一套科学合理、多层次、分布式、并且融合技术和管理安全体系，采用合理、先进技术实行安全工程，加强安全管理，保证社会保险信息系统安全性。建设一种具备可操作性、高性能、高可用性、高安全性安全

4、体系是总建设目的。（二）系统安全建设内容1建立完整安全防护体系，全方位、多层次实现社会保险信息系统安全保障。2实现多级安全访问控制功能。对网络中主机及服务进行基于地址粗粒度访问控制和基于顾客及文献细粒度访问控制。3实现对重要信息传播加密保护，防止信息在网络传播中被窃取和破坏。4建立安全检测监控系统。通过在系统中配备实时监控及入侵检测系统，加强对重要网段和核心服务器保护，为不断提高系统安全强度、强化安全管理提供有效技术手段。5建立全方位病毒防范体系。采用网络防病毒系统，并与单机防病毒软件相结合，构建一套完整防病毒体系。6建立重要应用系统数据备份机制，并实现核心主机系统冗余及备份和劫难恢复。7建立

5、服务于劳动保障系统数字证书认证服务基本设施。运用数字证书系统实现重要数据加密传播，身份认证等。8建立有效安全管理机制和组织体系，制定实用安全管理制度，安全管理培训制度化，保证系统安全办法执行。（三）系统安全设计原则1对的解决保密、安全与开放之间关系；2安全技术与安全管理结合；3分析系统安全风险，构造系统安全模型，从保护、检测、响应、恢复四个方面建立一套全方位立体信息保障体系；4遵循系统安全性与可用性相容原则，并具备合用性和可扩展性。（四）系统安全体系构造l系统安全层次与构造社会保险信息系统是以开放层次化网络系统作为支撑平台，为使各种信息安全技术功能合理地作用在网络系统各个层次上，从技术和管理上

6、保证安全方略得以完整精确地实现，安全需求得以满足，拟定社会保险信息系统安全层次划分和体系构造如下图所示：插图6-55 网络系统安全层次构造图2系统安全体系框架社会保险信息安全体系是一种三维立体构造，涉及系统单元、安全特性、安全子系统三个要素。其构造关系如图6-56所示。安全子系统安全特性系统单元物理环境网络单元业务系统安全管理身份鉴别访问控制数据保密数据完整性不可抵赖防病毒审计管理可用性身份认证子系统加密子系统安全防御与响应子系统安全备份与恢复子系统监控子系统授权管理子系统图6-56 社会保险信息

7、系统安全体系构造关系系统单元应涉及物理环境安全、网络单元安全、业务系统安全、安全管理等。安全特性涉及身份鉴别、访问控制、数据加密、数据完整性、不可抵赖、防病毒等安全服务。安全子系统涉及加密、身份认证、授权管理、安全防御与响应、安全检测与监控、安全备份与恢复等安全机制。（五）设计中参照某些国标安全原则是保证信息系统互联、互通、互操作安全基本，社会保险信息安全体系设计，是以国家电子政务原则化为基本，严格地遵循国家已有安全原则，在没有国标地方，参照了某些行业和安全主管部门原则，以及某些军用安全原则和其她有关国际安全原则。参照国家有关原则如下：GB 4943-1995 信息技术设备（涉及电气事务设备）

8、安全GB 9254-88信息技术设备无线电干扰极限值和测量办法GB 9361-88计算机场地安全规定GB 2887-计算站场地通用规范GB 50173-93 电子计算机机房设计规范GB 17859-1999计算机信息系统安全保护级别划分准则GB/T 15843.1-1999信息技术安全技术实体鉴别第1某些：概述GB/T 9387.2-1995信息解决系统开放系统互连基本参照模型第2某些：安全体系构造（ISO 7498-2-1989）GB/T 17143.7-1997 信息技术开放系统互连系统管理第7某些：安全告警报告功能GB/T 17143.7-1997 信息技术开放系统互连

9、系统管理第8某些：安全审计跟踪功能GB/T 17900-1999网络代理服务器安全技术规定GB/T 18018-1999路由器安全技术规定GB/T 18019-1999信息技术包过滤防火墙安全技术规定GB/T 18020-1999 信息技术应用级防火墙安全技术规定GB/T 15278-1994信息解决数据加密物理层互操作性规定（ISO 9160:1988）GB 15851-1995信息技术安全技术带消息恢复数字签名方案（ISO/IEC9796:1991）GB 15851-1995信息技术安全技术用块密码算法作密码校验函数数据完整性机制（ISO/IEC9797:1994）GB/T 1

10、5843.2-1997信息技术安全技术实体鉴别第2某些：采用对称加密算法机制GB/T 15843.3-1998信息技术安全技术实体鉴别第3某些：用非对称签名技术机制GB/T 15843.4-1999信息技术安全技术实体鉴别第4某些：采用密码校验函数机制GB/T 17902.1-1999信息技术安全技术带附录数字签名第1某些：概述GB/T 18238.1-信息技术安全技术散列函数第1某些：概述GB/T 17903.1-1999信息技术安全技术抗抵赖第1某些：概述GB/T 17903.2-1999信息技术安全技术抗抵赖第2某些：使用对称技术机制GB/T

11、 17903.3-1999信息技术安全技术抗抵赖第3某些：使用非对称技术机制GB/T 18237.1-信息技术开放系统互连通用高层安全第1某些：概述、模型和记法GB/T 18237.2-信息技术开放系统互连通用高层安全第2某些：安全互换服务元素(SESE)服务定义GB/T 18237.3-信息技术开放系统互连通用高层安全第3某些：安全互换服务元素(SESE)合同规范GB/T 14814-1993信息解决文本和办公系统原则通用置标语言(SGML)GB/T 18231-信息技术低层安全（六）系统安全需求分析在社会保险信息系统中，凡是受到安全威胁系统资源都要进行保护，受保护资源涉

12、及物理资源、信息资源和服务资源等。依照网络系统和受保护资源实际状况，统筹考虑，从物理安全、网络安全、系统及应用安全、数据安全以及容灾备份系统建设等方面分别对系统安全需求进行分析，以形成一套完整安全方略。1物理安全需求分析物理安全是社会保险信息系统安全运营前提，是安全系统重要构成某些。物理安全涉及环境安全、设备安全、媒体安全三个某些，它们分别针对信息系统所在环境、所用设备、所载媒体进行安全保护。（1）环境安全需求机房安全级别应符合GB936188A类；机房内部要按不同安全规定和功能划分区域，如业务系统数据解决区、数据操作录入区、网络管理区、办公应用区，社会保障IC卡制卡区）等；依照工作需要

13、拟定顾客可以进入相应区域，不同区域，实行不同控制办法；要有严格规章制度和技术手段（如密码锁、监视器等）限制人员进入非授权区域。（2）设备安全需求重要设备必要设立安全防盗报警装置和监视系统，防止设备被盗、被毁；重要设备，如服务器、核心互换机等，要有冗余热备份，并能迅速在线恢复；存储重要设备机房发生电源故障后，要能提供1个小时以上后备电力供应；重要设备要存储在能防止雷击等自然灾害破坏机房中；存储重要设备机房要具备防电磁干扰、防计算机辐射泄漏设施。（3）媒体安全需求保存重要数据介质要有异地备份；存储重要备份数据介质要保存在符合GBJ4582中规定一级耐火级别房间，或存储在具备防火、防

14、高温、防水、防震容器中；定期对备份介质进行检查，保证其可用性等；介质库必要有专人管理，严格控制人员进出。2网络安全需求分析网络安全是社会保险信息系统安全运营基本，保证系统安全运营核心。网络系统安全需求涉及网络边界安全需求、入侵监测与实时监控需求、安全事件响应和解决需求分析。（1）网络边界安全需求在具备不同安全级别网络安全域边界配备安全设备和访问控制方略，严格控制不同安全域之间访问行为；省市劳动保障部门办公网和业务专网之间按照国家和地方政府电子政务内网有关安全原则进行物理隔离，业务网络与Internet逻辑隔离；防止非法网络路由接入，制止非法者窃听、窃取、篡改网络数据，防范通过远程访问非

15、法接入；可以对IP数据包进行过滤；（2）入侵监测与实时监控需求可以定期自动地对网络安全进行扫描和风险评估，发现网络安全弱点和漏洞；可以监测和发现入侵行为，并对网络违规行为可以实时报警和响应；可以对系统中所有与安全关于事件进行跟踪审计；入侵监测系统需要与防火墙联动，实现网络安全域动态防护。（3）网络基本设施可用性连接中央、省、市三级业务专网广域主干网络基本设施需要进行高可用性配备，以保证业务信息无中断可靠传播。3系统及应用安全需求分析系统及应用安全需求分析涉及防病毒传播需求分析、操作系统安全需求、顾客权限管理需求、访问控制安全需求、业务信息系统安全需求等构成。详细需求为：（1）防范病毒

16、传播需求系统必要能自动侦测并清除来自网络或其她输入设备（软驱、光驱、移动存储设备等）病毒；病毒特性库和扫描引擎更新可通过网络分布布置，可通过服务器自动分发客户端工作站防毒软件，简化安装过程；系统必要可以在工作站引导区遭受病毒破坏后协助进行紧急恢复；服务器防病毒系统必要能监控、查杀服务器自身病毒，也能及时发现、解决来自网络上病毒，及时清除邮件系统病毒；（2）操作系统安全需求操作系统安全级别要达到C2级；可以通过对主体（人、进程）辨认和对客体（文献、设备）标注，划分安全级别和范畴，实现由操作系统对主、客体之间访问关系进行控制；可以定期自动地对操作系统安全进行扫描和风险评估，发现系统安

17、全弱点和漏洞，并及时补救；对于核心业务系统，应按照高可用性方案配备，系统具备冗余性和迅速故障恢复能力；必要可以按照制定安全审计筹划进行审计解决，涉及审计日记和对违规事件解决；（3）顾客权限管理需求可觉得顾客分派顾客标记符UID，并保证顾客唯一性；支持顾客分级和分组管理机制；可以设定顾客访问权限有效日期、有效时间段；可以提供可靠顾客身份认证手段，如密码等；权限管理必要满足最小授权原则，使每个顾客和进程只具备完毕其任务最小权限。（4）访问控制需求建立有效顾客身份认证机制，防范来自非法顾客非法访问和合法顾客非授权访问；可以提供涉及顾客名辨认与验证、顾客口令辨认与验证、顾客帐号缺省

18、限制检查等多道安全检查；可以支持按照自主访问控制规则对顾客进行访问控制，即按照顾客与被访问对象（文献等）关系来决定与否容许访问；可以支持使用强制访问控制规则对顾客进行强制访问控制检查，即依照该顾客在多级安全模型中所具备安全属性（级别和范畴）、本次访问操作所涉及对象（如文献）在多级安全模型中安全属性（级别和范畴）来拟定这次访问与否被容许；系统必要可以防止顾客通过被容许途径以外其她访问途径，隐蔽地实现某些越权非法访问；系统必要可以将每一次访问记录在日记文献中，并提供分析和审计功能。（5）业务信息系统安全需求业务经办社会保险信息系统网络重要支持社会保险经办业务，涉及本地业务经办和异地业务经

19、办，如基本养老保险、补充养老保险、基本医疗保险、补充医疗保险等本地经办业务信息传递，异地领取养老金人员关于信息传递，在职社会保险关系转移人员关于信息传递，异地就医信息传递等。此类业务传播是个体性数据，且与个体利益直接有关，则在安全需求方面，规定操作时必要核算操作者有效身份和操作权限，网络必要保证流程严格无漏洞，且系统持续稳定，数据传播必要保证信息精确、保密、且不可抵赖，在浮现事故后可追究责任。公共服务社会保险信息系统网络支持公共服务，除关于政策法规信息和参数类信息发布外，还面向参保人员和参保单位等社会对象提供个体性数据查询等服务。对于政策法规和缴费比例等公开性信息，不必在应用层做安全控制。对

20、于个体性数据，如个人帐户信息等查询，必要确认查询者具备合法身份，不完全强调查询者就是参保者本人，可以是参保者授权其她人员。对于将来逐渐开展异地网上业务办理，会规定核算个体真实身份。基金监管基金监管，重要为上级部门监管下级基金状况服务，规定既可以监管基金总体数据，又可以监管某详细单位数据，涉及记录数据上传、按非常规需求进行查询等方式。由于涉及基金问题，在数据传播方面必要保证信息保密性、精确性，在详细查询操作时还必要核算操作者有效身份和操作权限。宏观决策社会保险信息系统网络上宏观决策重要为上级部门提供决策支持服务，传递各种业务信息。这一过程将运用网络扫描方式实现，即通过下发关于操作指令实现记录

21、、查询或抽样，并上传关于数据，详细涉及三种方式。对于固定周期固定报表方式，指令先期下达，数据定期记录上传，不涉及个体性数据，则只需保证信息保密性、精确性，且在上传数据时满足操作权限规定。对于暂时构造记录报表并下发，以及原始数据抽样方式，指令为暂时下达，操作时则要核算下达指令者有效身份和操作权限，且不可抵赖；别的安全需求同固定周期固定报表方式。此外，对于详细个体性数据，不同字段有不同安全级别，应在数据库设计进行控制。表6-28 社会保险业务安全需求分析异地业务经办异地公共服务基金监管宏观决策政策信息个体信息查询和征询异地网上业务办理固定周期固定报表暂时构造表、原始抽样身份认证操作权限流程严格

22、无漏洞系统持续稳定信息精确信息保密不可抵赖可追究责任4数据安全需求分析数据安全需求涉及数据库安全需求、数据传播安全需求、数据存储安全需求等构成。（1）数据库管理系统安全需求数据库管理系统自身安全级别达到C2级；可以通过对主体（人、进程）辨认和对客体（数据表、数据分片）标注，划分安全级别和范畴，实现由系统对主、客体之间访问关系进行强制性控制；具备增强口令使用方式限制，顾客必要按规定格式设立口令，才干进行注册；可以按照最小授权原则，对数据库管理员、软件开发人员、终端顾客授予各自完毕自身任务所需最小权限；可以对于数据库安全关于事件进行跟踪、记录、报警和解决，供关于人员进行分析；（2）数据

23、传播安全需求数据传播安全需求涉及对数据传播机密性和完整性需求。数据传播机密性规定，需要对劳动保障业务专网传播敏感性业务数据（业务经办数据互换信息，异地领取养老金人员关于信息，在职社会保险关系转移人员关于信息，异地就医信息等）机密性进行保护，支持WWW、FTP、SMTP、Telnet等TCP/IP原则服务以及社会保险网络特有通讯业务；依照传播完整性规定，保护网络传播IP数据包不可篡改性。（3）数据存储安全需求社会保险信息系统主机操作系统、应用软件要有存储在可靠介质全备份，软件以及计算机和网络设备配备和设立所有参数也必要进行备份；与系统安装和恢复有关软硬件、资料等必要放置在安全地方；社会保

24、险业务系统重要数据必要定期进行备份，备份数据必要存储在可靠介质中并与系统分开存储；并且要制定详尽使用数据备份进行故障恢复预案，并进行预演；对于需要保密存储数据，应采用加密办法保证其机密性。5容灾备份安全需求为了保证社会保险核心业务系统（本地社会保险经办业务、异地领取养老金，在职社会关系转移，异地就医等）以及其她业务服务稳定性与持续性，需要建设异地容灾备份中心。当主中心发生劫难性事件时，由备份中心接管所有业务。备份中心要有足够带宽保证与主中心数据同步，有足够解决能力来接管主中心业务，要保证迅速可靠与主中心应用切换。同步需要在异地容灾备份中心配备数据备份系统对重要数据进行备份。6安全管理需求健全

25、安全管理体系是各种安全防范办法得以有效实行、网络系统安全实现和维系保证，为此需要建立一套符合社会保险系统实际安全管理体系。（七）系统安全方略社会保险信息系统安全方略涉及物理安全方略、网络层安全方略、主机系统、应用系统和数据安全方略以及系统容灾备份安全方略。1物理安全方略物理安全是保护计算机网络设备、设施以及其她媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致破坏过程。（1）物理安全内容重要涉及三个方面：环境安全：对系统所在环境安全保护，如区域保护和劫难保护；设备安全：重要涉及设备防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；媒体安全

26、：涉及媒体数据安全及媒体自身安全。（2）物理安全办法为保证社会保险信息系统物理安全，在网络系统安全建设中可重要通过几种方面来实现：机房环境和场地安全规定社会保险信息系记录算机机房建设须符合国家安全保密等部门规定以及电子计算机机房设计规范（GB50174-93）、计算机场地安全规定（GB9361-88）等国家有关安全原则，机房场地与设施安全管理满足机房场地选取、防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防办法等安全技术规定，保证设备物理安全；机房安全级别应符合GB9361-88A类；在主机房设备布局上，按应用系统不同安全控制级别和不同功能进行区域划分。特别是运营有渉密性

27、质办公系统设备，社会保障IC卡密钥设备等须布置在独立屏蔽机房环境中，以进行涉密信息传播和解决；对划分区域实行分区控制，依照工作需要拟定能否进入相应区域；采用门禁等安全办法，严格控制进入各分区人员；在机房内设立安全防盗报警装置和监视系统来实现防盗、防毁，保障设备安全；为防止因电网电压波动、干扰、断电等对系统影响，依照实际状况在机房内配备断电后持续供电UPS；按照有关设计规范和技术规定，在机房设计和建设中做好静电防护设施、防雷装置和接地保护系统；凡是渉密网络须符合国家安全保密等部门关于规定，布线采用光纤和屏蔽双绞线；接入端须放置干扰器，以减少或干扰扩散出去空间信号，防止计算机辐射信息泄漏

28、；对于重要数据要进行备份，备份数据存储位置应符合GBJ45-82中规定一级耐火级别，符合防火、防高温、防水、防震等规定；定期对备份数据进行检查，保证其可用性等；制定严格机房和设备管理制度，以及信息拷贝、介质保存出入库与销毁管理制度。2网络安全方略（1）网络边界安全方略社会保险网络层安全设计和建设采用硬件保护与软件保护、静态防护与动态防护相结合，由外向内多级防护总体方略。依照应用系统目和安全需求，网络系统划分为六个层次上不同安全区域，如图6-57所示。详细是：核心层（办公网、社会保障IC卡密钥应用区），安全层（社会保险应用区、宏观决策支持应用区、网络基本服务区、安全应用支持服务区、其她劳动保

29、障应用区等），基本安全层（劳动保障系统内部资源区、有关单位资源区），可信任层（劳动保障业务专网：政府信息网络平台/公共通信网络），非安全层（公共信息服务应用区），危险层（公共Internet，有关单位网络）。各层安全性逐级递减。社会保险信息系统各安全域中安全需求和安全级别不同，网络层安全重要是在各安全域间建立有效安全控制办法，使网间访问具备可控性。处在核心层办公应用局域网和社会保障IC卡密钥区应与其她网络物理隔离隔离。如果采用物理隔离，核心层网络和其她网络信息互换，须采用人工方式实现，并且所有操作按照严格保密制度规定进行；处在安全层劳动保障业务局域网中运营着各种即相联系，又相独立应用系统：

30、社会保险应用，其她劳动保障和宏观决策支持应用，综合应用等。对于安全层网络，安全重要来自局域网内部，在局域网中可通过划分虚拟子网对各安全域间、顾客和安全域间实行安全隔离，提供子网间访问控制能力。子网划分按照业务系统类别、部门级别、顾客权限等因素来进行，并以最大子网安全隔离来设立子网间访问控制；可结合基于互换机端口VLAN技术和基于节点MAC地址VLAN技术，实现局域网安全控制和隔离；处在基本安全层劳动保障系统内部资源区、对有关单位资源区、和非安全层公共信息服务应用区，作为内网和外网进行资源共享、数据互换和信息服务安全隔离带，在网络互连边界上运用专用网络安全设备（如防火墙）建立安全防护，或在边界

31、路由设备上进行访问控制ACL等安全方略配备，以有效地控制外界顾客和局域网信息互换；关于ACL配备，在对外边界路由器上设立粗略访问控制过滤规则，形成内部网络第一道防护线，在内部网上使用过滤规则，形成系统之间访问控制和逻辑隔离。为了不影响网络运营效率，不在边界路由器、中心三层互换机上配备过多ACL。细致控制在专用网络安全设备（如防火墙）中实现；安全隔离带作为联系内外网环节，易受到外界系统袭击，在各网段上配备网络安全分析、入侵监测及网络监控系统，以监视网络上通信数据流，捕获可疑网络活动，进行实时响应和报警，并实现和专用网络安全设备（如防火墙）联动，同步提供详尽网络安全审计分析报告；在处在信任层政府

32、信息网络平台/公共通信网络上进行数据传播时不考虑链路层加密方式，对于省市纵向业务专网和城域网上传播业务数据（如本地业务经办、异地业务经办、异地领取养老金人员关于信息、在职社会保险关系转移人员关于信息、异地就医信息等）可采用数据层加密方式，实现核心敏感性信息在广域网通信信道上安全传播。（2）网络基本设施可用性方略对于数据中心局域网、省市纵向业务专网和本地城域网网络基本如局域网主干互换机、广域网路由器、广域网线路、网络边界安全设备（如防火墙）等考虑采用冗余设计，以保证业务信息可靠传播。网络基本设施某些已在网络系统设计中考虑。插图6-57 网络层安全域构造图3系统及应用层安全方略（1）操作系统安全社

33、会保险信息系统主机选取安全可靠操作系统，绝大某些主机运营Windows NT操作系统，某些核心性业务系统主机运营UNIX系统。用“最小合用性原则”配备系统以提高系统安全性，并及时安装各种系统安全补丁程序。严格制定操作系统管理制度，定期检查系统配备。运用系统漏洞扫描软件对核心业务服务器系统（如社会保险管理系统及决策支持系统）、公共WWW服务器、邮件服务器、代理服务器、网管系统服务器等进行定期安全扫描分析，及时提供网络系统安全状况评估分析报告，并依照分析成果合理制定或调节系统安全方略，以保证这些设备安全隐患降至最低。在系统中建立基于顾客访问控制机制，监视与记录每个顾客操作（如通过登录过程）。顾客需

34、独立标记，监视数据应予以保护，防止越权访问。（2）应用系统安全应用层安全是建立在网络层安全基本之上，重要是对资源有效性进行控制，管理和控制什么顾客对信息资源和服务资源具备什么权限。其安全性方略涉及顾客和服务器间双向身份认证、信息和服务资源访问控制和访问资源加密，并通过审计和记录机制，保证服务祈求和资源访问防抵赖。对于外部应用，如WWW信息发布等公共服务应用、电子邮件等，其安全需求是在信息共享同步，保证信息资源合法访问及通讯保密性，因而必要严格按照顾客身份控制对个人性数据访问。基于劳动保障PKI系统，采用数字证书等方式建立应用层数据加密，保证数据保密性和完整性。对于WWW站点，需要配备页面侦测和

35、自动修复系统，以提高站点抗破坏能力。对于内部应用，如办公及其她核心性业务系统安全，对身份认证和访问控制有更高规定，访问控制控制粒度更细，在应用程序和数据库系统中都应有严格访问控制机制。（3）防病毒系统方略计算机病毒是一段可以自我复制，自行传播程序。病毒运营后可以损坏文献、使系统瘫痪，从而导致各种难以预料后果。在网络环境下，计算机病毒具备不可预计威胁性和破坏力，因而计算机病毒防范也是网络安全建设重要环节。社会保险信息系统运营环境复杂，网上顾客数多，同Internet有连接等因素，也许会受到来自于多方面病毒威胁，在办公网和业务专网上建立多层次病毒防卫体系，涉及桌面客户端、服务器、邮件系统、Inte

36、rnet网关上实行防病毒系统布置，配备病毒扫描引擎和病毒特性库数据自动更新方式，实现对网络病毒防止、侦测、消毒和预警，以防止病毒对系统和核心文档数据破坏。（4）数据和系统备份方略安全可靠网络数据备份系统不但在网络系统硬件故障或人为失误时起保护作用，也在入侵者非法授权访问或对网络袭击及破坏数据完整性时起到保护作用，同步也是系统劫难恢复前提。因而在网络系统中建立安全可靠网络数据备份系统是保证网络系统数据安全和网络可靠运营必要手段。网络系统数据备份涉及两种类型备份内容：网络系统中核心应用系统及运营操作系统备份；网络系统中数据备份。对于前者备份恢复，由于应用系统稳定性较高，可采用一次性全备份，以防止当

37、系统遭到任何限度破坏，都可以以便迅速地将本来系统恢复出来。对于后者备份，由于数据不稳定性，可分别采用定期全备份、差分备份、按需备份和增量备份方略，来保证数据安全。在数据中心网络系统中配备数据备份系统，以实现本地核心系统和重要数据备份。4故障恢复和容灾备份方略除配备数据备份系统，实现本地核心系统和重要数据备份外，为保证社会保险核心业务系统（本地社会保险业务经办、异地领取养老金，在职社会关系转移，异地就医等）以及其她业务服务稳定性与持续性，（阐明：考虑在本地地理位置相异其她劳动保障机构或合伙单位数据中心机房建设同城异地容灾备份中心）。运用容灾恢复软件和设备通过网络实现异地系统和数据备份及某些服务冗

38、余。当主中心发生劫难性事件时，由备份中心接管某些核心性业务。（八）基本安全防护系统建设基本安全防护系统建设涉及有防火墙、入侵检测、漏洞扫描、安全审计、病毒防治等。金保工程业务专网省市数据中心基本安全防护系统布置方案如图658所示。1防火墙在省、市业务专网各网络节点出入口处和局域网内部不同安全域之间布置防火墙设备。详细地，Internet到公共信息服务应用区之间、业务有关单位到有关单位资源区网络边界、省市网络到劳动保障系统内部资源区网络边界、各资源区和各业务应用区间、生产库数据区和其她业务应用区间、安全应用支撑服务区与内部业务网间布置防火墙，实现不同安全域之间逻辑隔离、访问控制及审计。对于省市纵

39、向业务专网采用主备线路和路由器冗余设计，在边界防火墙配备上也相应地采用主备方式。防火墙重要运用IP和TCP包头信息对进出被保护网络IP包信息进行过滤，依照在其上配备安全方略来控制（容许、回绝、监测）出入网络信息流。同步实现网络地址转换（NAT）、审计和实时报警功能。通过防火墙包过滤，实现基于地址粗粒度访问控制，通过口令认证对顾客身份进行鉴别，实现基于顾客细粒度访问控制。（1）防火墙工作模式防火墙重要工作在互换和路由两种模式下：对于互换模式：3个接口构成一种以太网互换机，自身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一种互通物理网络。路由模式：防火墙自身构成3个网络间路由

40、器，3个接口分别具备不同IP地址。三个网络中主机通过该路由进行通信。插图6-58 劳动保障省市数据中心业务专网基本安全防护系统构造图因而就防火墙系统配备而言，可以依照实际网络状况和实际安全需要来配备工作模式。当防火墙工作在互换模式时，内网、DMZ区和路由器内部端口构成一种统一互换式物理子网，内网和DMZ区还可以有自己第二级路由器，这种模式不需要变化原有网络拓扑构造和各主机和设备网络设立；当防火墙工作在路由模式时，可以作为三个区之间路由器，同步提供内网到外网、DMZ到外网网络地址转换，也就是说，内网和DMZ都可以使用保存地址，内网顾客通过地址转换访问Internet。内部网、DMZ区通过反向地址

41、转换对Internet提供服务。如对于Internet到公共信息服务应用区之间和省市广域网网络边界防火墙配备成路由模式。（2）防火墙重要功能支持互换模式下和路由模式下应用层过滤。在互换模式下和路由模式下均可以相应用级合同进行细度控制，支持通配符过滤。对HTTP合同可以进行命令级控制及URL、核心字过滤，并过滤Java Applet、ActiveX等小程序。对FTP合同可以进行命令级控制，并可以控制所存取目录及文献。对SMTP合同支持基于邮件地址、内容核心字、主题过滤，并可以设定容许Relay邮件域。支持不同子网间视频、语音应用，其她安全方略不受影响。具备实时在线网络数据监控功能，实

42、时监控网络数据包状态，网络上流量动态变化，并对非法数据包进行阻断。具备网络嗅探功能，实时抓取网络上数据包，并进行解码和分析。具备自动收集与防火墙相连子网中主机信息功能，收集信息涉及IP地址、MAC地址等，以减轻管理员工作承担。在防火墙设备基本上，具备平滑VPN扩充功能，VPN采用国家密码管理部门批准使用硬件加密和认证算法。具备与IDS设备联动能力。 2入侵监测系统入侵监测系统基于网络和系统实时安全监控，运营于敏感数据需要保护网络上，对来自内部和外部非法入侵行为做到及时响应、告警和记录日记，可弥补防火墙局限性。入侵监测系统通过实时监听网络数据流，辨认、记录入侵和破坏性代码流，寻找网络违规

43、模式和未授权网络访问尝试。当发现网络违规模式和未授权网络访问尝试时，网络信息安全检测系统预警系统可以依照系统安全方略作出反映。入侵监测报警日记功能时通过对所有对网络系统有也许导致危害数据流进行报警和响应，作为受到网络袭击重要证据。入侵监测系统重要安装在易受到袭击服务器或防火墙附近，对于数据中心局域网络，在防火墙和内部网主干互换机附近布置入侵监测系统，以检测核心部位数据流，防范非法访问行为，对非法网络行为审计、监控及安全监控，并实现与防火墙联动进行动态防护。即在业务专网各网络边界防火墙内（如Internet到公共信息服务应用区边界防火墙、业务有关单位到有关单位资源区边界防火墙、上、下级网络节点到

44、劳动保障系统内部资源区边界防火墙），Internet到公共信息服务应用区边界防火墙外，以及内部业务局域网主干互换机重要服务器网段监控端口布置入侵监测系统，以监控网络出入口和重要服务器进行访问数据流，并对袭击行为作出响应。入侵监测系统由控制中心和探测引擎（网络、主机）构成，控制中心作为入侵监测系统管理和配备工具，可以编辑、修改和分发各网络探测引擎、子控制中心方略定义，给各探测引擎升级特性库，同步接受所有探测引擎实时报警信息。控制中心和各探测引擎间信息互换通过加密方式进行。入侵监测系统重要功能规定如下：（1）具备强大袭击检测能力。能检测1500种以上袭击种类。检测引擎和袭击特性库及时升级和更新。（

45、2）软件布置应有一定灵活性，采用分布式体系构造，监测节点和管理控制站可分立配备；（3）监测系统布置对原有网络和系统环境为完全透明方式，对网络数据包监控，应采用包拷贝方式，对网络数据包传播不能导致延迟；监测节点和管理控制站通信应采用此外通道，不占用监测网络通信带宽；（4）提供完整应用合同内容恢复功能。支持惯用合同（如HTTP、FTP、SMTP、POP3、TELNET）等通信过程、内容恢复与回放。并容许顾客自定义合同。同步要做到个人隐私和安全兼顾，依照不同权限控制内容恢复限度。（5）可以检测有害内容，例如：反动信息、暴力信息等。（6）具备实时在线网络数据监控功能，实时监控网络数据包状态及网络流量动态变化，并对非法数据包进行阻断。（7）具备积极探测机制，可以积极探测网络上存在安全隐患和风险。（8）自带数据库，不需第三方数据源。使用数据库存储袭击和入侵信息以便随时检索，自动维护和并提供详细袭击与入侵资料，涉及发生时间、发起主机与受害主机地址、袭击类型、以及针对此类型袭击详细解释与解决办法。（9）具备完善日记记录和应用审计功能，提供灵活自定义审计规则。（10）提供灵活以便报表、图形方式记

展开阅读全文