核心二板人社系统信息化建设安全设计方案.doc

五、系统安全设计245（一）系统安全建设目标245（二）系统安全建设内容245（三）系统安全设计原则246（四）系统安全体系结构246（五）设计中参考的部分国家标准248（六）系统安全需求分析250（七）系统安全策略254（八）基础安全防护系统建设259（九）CA认证中心系统建设265（十） 容灾备份中心系统建设273（十一）安全管理体系建设284五、系统安全设计在信息系统的建设过程中，计算机系统安全建设是一个必不可少的环节。社会保险信息系统不仅是一个涉及多地区、多部门、多业务、多应用的信息系统，而且其安全性涉及到每个公民的切身利益。社会保险系统中存有社会保险各项业务的关键数据和各单位敏感信息，影响着政府的管理决策和形象，存在着社会政治经济风险，其安全设计至关重要。社会保险信息系统网络参照国家涉密网络的安全设计要求进行设计。社会保险信息系统的安全设计，首先是针对系统所面临的来自网络内部和外部的各种安全风险进行分析，特别是对需要保护的各类信息及可承受的最大风险程度的分析，制定与各类信息（系统）安全需求相应的安全目标和安全策略，建立起包括“风险分析、安全需求分析、安全策略制定和实施、风险评估、事件监测和及时响应”的可适应安全模型，并作为系统配置、管理和应用的基本安全框架，以形成符合社会保险信息系统合理、完善的信息安全体系。并在形成的安全体系结构的基础上，将信息安全机制（访问控制技术、密码技术和鉴别技术等）支撑的各种安全服务（机密性、完整性、可用性、可审计性和抗抵赖性等）功能，合理地作用在社会保险信息系统的各个安全需求分布点上，最终达到使风险值稳定、收敛且实现安全与风险的适度平衡。（一）系统安全建设目标针对社会保险信息系统的特点，在现有安全设施的基础上，根据国家有关信息网络安全系统建设法律法规和标准规范以及系统对安全性设计的具体要求，并结合当前信息安全技术的发展水平，针对可能存在的安全漏洞和安全需求，在不同层次上提出安全级别要求，制定相应的安全策略，设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系，采用合理、先进的技术实施安全工程，加强安全管理，保证社会保险信息系统的安全性。建设一个具有可操作性、高性能、高可用性、高安全性的安全体系是总的建设目标。（二）系统安全建设内容1建立完整的安全防护体系，全方位、多层次的实现社会保险信息系统的安全保障。2实现多级的安全访问控制功能。对网络中的主机及服务进行基于地址的粗粒度访问控制和基于用户及文件的细粒度访问控制。3实现对重要信息的传输加密保护，防止信息在网络传输中被窃取和破坏。4建立安全检测监控系统。通过在系统中配备实时监控及入侵检测系统，加强对重要网段和关键服务器的保护，为不断提高系统安全强度、强化安全管理提供有效的技术手段。5建立全方位病毒防范体系。采用网络防病毒系统，并与单机防病毒软件相结合，构建一套完整的防病毒体系。6建立重要应用系统数据的备份机制，并实现关键主机系统的冗余及备份和灾难恢复。7建立服务于劳动保障系统的数字证书认证服务基础设施。利用数字证书系统实现重要数据的加密传输，身份认证等。8建立有效的安全管理机制和组织体系，制定实用的安全管理制度，安全管理培训制度化，确保系统安全措施的执行。（三）系统安全设计原则1正确处理保密、安全与开放之间的关系；2安全技术与安全管理结合；3分析系统安全的风险，构造系统安全模型，从保护、检测、响应、恢复四个方面建立一套全方位的立体信息保障体系；4遵循系统安全性与可用性相容原则，并具有适用性和可扩展性。（四）系统安全体系结构l系统安全层次与结构社会保险信息系统是以开放的层次化的网络系统作为支撑平台，为使各种信息安全技术功能合理地作用在网络系统的各个层次上，从技术和管理上保证安全策略得以完整准确地实现，安全需求得以满足，确定社会保险信息系统的安全层次划分和体系结构如下图所示：插图6-55 网络系统安全层次结构图2系统安全体系框架社会保险信息安全体系是一个三维立体结构，包括系统单元、安全特性、安全子系统三个要素。其结构关系如图6-56所示。安全子系统 安全特性 系统单元 物理环境 网络单元 业务系统 安全管理 身 份 鉴 别 访 问 控 制 数 据 保 密 数 据 完 整 性 不 可 抵 赖 防 病 毒 审 计 管 理 可 用 性 身份认证 子系统 加密 子系统 安全防御与 响应子系统 安全备份与 恢复子系统 监控子系统 授权管理 子系统 图6-56 社会保险信息系统安全体系结构关系系统单元应包括物理环境安全、网络单元安全、业务系统安全、安全管理等。安全特性包括身份鉴别、访问控制、数据加密、数据完整性、不可抵赖、防病毒等安全服务。安全子系统包括加密、身份认证、授权管理、安全防御与响应、安全检测与监控、安全备份与恢复等安全机制。（五）设计中参考的部分国家标准安全标准是保证信息系统互联、互通、互操作安全的基础，社会保险信息安全体系的设计，是以国家电子政务标准化为基础，严格地遵循国家已有的安全标准，在没有国家标准的地方，参考了部分行业和安全主管部门的标准，以及部分军用安全标准和其他相关的国际安全标准。参考的国家相关标准如下：GB 4943-1995 信息技术设备（包括电气事务设备）的安全GB 9254-88信息技术设备的无线电干扰极限值和测量方法GB 9361-88计算机场地安全要求GB 2887-2000计算站场地通用规范GB 50173-93 电子计算机机房设计规范GB 17859-1999计算机信息系统安全保护等级划分准则GB/T 15843.1-1999信息技术 安全技术 实体鉴别 第1部分：概述GB/T 9387.2-1995信息处理系统 开放系统互连基本参考模型 第2部分：安全体系结构（ISO 7498-2-1989）GB/T 17143.7-1997 信息技术 开放系统互连 系统管理 第7部分：安全告警报告功能GB/T 17143.7-1997 信息技术 开放系统互连 系统管理 第8部分：安全审计跟踪功能GB/T 17900-1999网络代理服务器的安全技术要求GB/T 18018-1999路由器安全技术要求GB/T 18019-1999信息技术包过滤防火墙安全技术要求GB/T 18020-1999 信息技术 应用级防火墙安全技术要求GB/T 15278-1994信息处理 数据加密物理层互操作性要求（ISO 9160:1988）GB 15851-1995信息技术 安全技术带消息恢复的数字签名方案（ISO/IEC9796:1991）GB 15851-1995信息技术 安全技术用块密码算法作密码校验函数的数据完整性机制（ISO/IEC9797:1994）GB/T 15843.2-1997信息技术 安全技术 实体鉴别 第2部分：采用对称加密算法的机制GB/T 15843.3-1998信息技术 安全技术 实体鉴别 第3部分：用非对称签名技术的机制GB/T 15843.4-1999信息技术 安全技术 实体鉴别 第4部分：采用密码校验函数的机制GB/T 17902.1-1999信息技术 安全技术 带附录的数字签名 第1部分：概述GB/T 18238.1-2000信息技术 安全技术 散列函数 第1部分：概述GB/T 17903.1-1999信息技术 安全技术 抗抵赖 第1部分 ：概述GB/T 17903.2-1999信息技术 安全技术 抗抵赖 第2部分 ：使用对称技术的机制GB/T 17903.3-1999信息技术 安全技术 抗抵赖 第3部分：使用非对称技术的机制GB/T 18237.1-2000信息技术 开放系统互连通用高层安全 第1部分：概述、模型和记法GB/T 18237.2-2000信息技术 开放系统互连通用高层安全 第2部分：安全交换服务元素(SESE)服务定义GB/T 18237.3-2000信息技术 开放系统互连通用高层安全 第3部分：安全交换服务元素(SESE)协议规范GB/T 14814-1993信息处理文本和办公系统标准通用置标语言(SGML)GB/T 18231-2000信息技术 低层安全（六）系统安全需求分析在社会保险信息系统中，凡是受到安全威胁的系统资源都要进行保护，受保护的资源包括物理资源、信息资源和服务资源等。根据网络系统和受保护资源的实际情况，统筹考虑，从物理安全、网络安全、系统及应用安全、数据安全以及容灾备份系统的建设等方面分别对系统安全需求进行分析，以形成一套完整的安全策略。1物理安全需求分析物理安全是社会保险信息系统安全运行的前提，是安全系统的重要组成部分。物理安全涉及环境安全、设备安全、媒体安全三个部分，它们分别针对信息系统所在环境、所用设备、所载媒体进行安全保护。（1）环境安全需求 机房的安全等级应符合GB936188的A类； 机房内部要按不同的安全要求和功能划分区域，如业务系统数据处理区、数据操作录入区、网络管理区、办公应用区，社会保障IC卡制卡区）等； 根据工作需要确定用户能够进入相应的区域，不同的区域，实行不同的控制措施； 要有严格的规章制度和技术手段（如密码锁、监视器等）限制人员进入非授权区域。（2）设备安全需求 重要设备必须设置安全防盗报警装置和监视系统，防止设备被盗、被毁； 重要设备，如服务器、核心交换机等，要有冗余热备份，并能快速在线恢复； 存放重要设备的机房发生电源故障后，要能提供1个小时以上的后备电力供应； 重要设备要存放在能防止雷击等自然灾害破坏的机房中； 存放重要设备的机房要具有防电磁干扰、防计算机辐射泄漏的设施。（3）媒体安全需求 保存重要数据的介质要有异地备份； 存放重要备份数据的介质要保存在符合GBJ4582中规定的一级耐火等级的房间，或存放在具备防火、防高温、防水、防震的容器中； 定期对备份介质进行检查，保证其可用性等； 介质库必须有专人管理，严格控制人员的进出。2网络安全需求分析网络安全是社会保险信息系统安全运行的基础，保证系统安全运行的关键。网络系统的安全需求包括网络边界安全需求、入侵监测与实时监控需求、安全事件的响应和处理需求分析。（1）网络边界安全需求 在具有不同安全级别的网络安全域边界配置安全设备和访问控制策略，严格控制不同安全域之间的访问行为；省市劳动保障部门的办公网和业务专网之间按照国家和地方政府电子政务内网的相关安全标准进行物理隔离，业务网络与Internet逻辑隔离； 防止非法的网络路由接入，阻止非法者窃听、窃取、篡改网络数据，防范通过远程访问非法接入； 能够对IP数据包进行过滤；（2）入侵监测与实时监控需求 能够定期自动地对网络安全进行扫描和风险评估，发现网络安全弱点和漏洞； 能够监测和发现入侵行为，并对网络违规行为能够实时报警和响应； 能够对系统中所有与安全有关事件进行跟踪审计； 入侵监测系统需要与防火墙联动，实现网络安全域的动态防护。（3）网络基础设施的可用性连接中央、省、市三级业务专网广域主干的网络基础设施需要进行高可用性配置，以保证业务信息的无中断可靠传输。3系统及应用安全需求分析系统及应用安全需求分析包括防病毒传播需求分析、操作系统安全需求、用户权限管理需求、访问控制安全需求、业务信息系统安全需求等构成。具体需求为：（1）防范病毒传播需求 系统必须能自动侦测并清除来自网络或其他输入设备（软驱、光驱、移动存储设备等）的病毒； 病毒特征库和扫描引擎的更新可通过网络分布部署，可通过服务器自动分发客户端工作站防毒软件，简化安装过程； 系统必须能够在工作站引导区遭受病毒破坏后帮助进行紧急恢复； 服务器防病毒系统必须能监控、查杀服务器本身的病毒，也能及时发现、处理来自网络上的病毒，及时清除邮件系统的病毒；（2）操作系统安全需求 操作系统的安全等级要达到C2级； 能够通过对主体（人、进程）识别和对客体（文件、设备）标注，划分安全级别和范畴，实现由操作系统对主、客体之间的访问关系进行控制； 能够定期自动地对操作系统安全进行扫描和风险评估，发现系统安全弱点和漏洞，并及时补救； 对于关键业务系统，应按照高可用性方案配置，系统具有冗余性和快速故障恢复能力； 必须能够按照制定的安全审计计划进行审计处理，包括审计日志和对违规事件的处理； （3）用户权限管理需求 能够为用户分配用户标识符UID，并保证用户的唯一性； 支持用户的分级和分组管理机制； 能够设定用户访问权限的有效日期、有效时间段； 能够提供可靠的用户身份认证手段，如密码等； 权限管理必须满足最小授权原则，使每个用户和进程只具有完成其任务的最小权限。（4）访问控制需求 建立有效的用户身份认证机制，防范来自非法用户的非法访问和合法用户的非授权访问； 能够提供包括用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查等多道安全检查； 能够支持按照自主访问控制规则对用户进行访问控制，即按照用户与被访问对象（文件等）的关系来决定是否允许访问； 能够支持使用强制访问控制规则对用户进行强制访问控制检查，即根据该用户在多级安全模型中所具有的安全属性（等级和范畴）、本次访问操作所涉及的对象（如文件）在多级安全模型中的安全属性（等级和范畴）来确定这次访问是否被允许； 系统必须能够防止用户经过被允许路径以外的其他访问路径，隐蔽地实现某些越权的非法访问； 系统必须能够将每一次访问记录在日志文件中，并提供分析和审计功能。（5）业务信息系统安全需求 业务经办社会保险信息系统网络主要支持社会保险经办业务，包括本地业务经办和异地业务经办，如基本养老保险、补充养老保险、基本医疗保险、补充医疗保险等本地经办业务信息的传递，异地领取养老金人员有关信息的传递，在职社会保险关系转移人员有关信息的传递，异地就医信息的传递等。这类业务传输的是个体性数据，且与个体利益直接相关，则在安全需求方面，要求操作时必须核实操作者的有效身份和操作权限，网络必须确保流程严格无漏洞，且系统连续稳定，数据传输必须确保信息准确、保密、且不可抵赖，在出现事故后可追究责任。 公共服务社会保险信息系统网络支持公共服务，除有关政策法规信息和参数类信息的发布外，还面向参保人员和参保单位等社会对象提供个体性数据的查询等服务。对于政策法规和缴费比例等公开性信息，无须在应用层做安全控制。对于个体性数据，如个人帐户信息等的查询，必须确认查询者具有合法身份，不完全强调查询者就是参保者本人，可以是参保者授权的其他人员。对于将来逐步开展的异地网上业务办理，会要求核实个体的真实身份。 基金监管基金监管，主要为上级部门监管下级基金状况服务，要求既可以监管基金的总体数据，又可以监管某具体单位的数据，包括统计数据上传、按非常规需求进行查询等方式。由于涉及基金问题，在数据传输方面必须确保信息的保密性、准确性，在具体查询操作时还必须核实操作者的有效身份和操作权限。 宏观决策社会保险信息系统网络上的宏观决策主要为上级部门提供决策支持服务，传递各种业务信息。这一过程将利用网络扫描方式实现，即通过下发有关操作指令实现统计、查询或抽样，并上传有关数据，具体包括三种方式。对于固定周期固定报表方式，指令先期下达，数据定期统计上传，不涉及个体性数据，则只需确保信息的保密性、准确性，且在上传数据时满足操作权限要求。对于临时构造统计报表并下发，以及原始数据抽样方式，指令为临时下达，操作时则要核实下达指令者的有效身份和操作权限，且不可抵赖；其余安全需求同固定周期固定报表方式。另外，对于具体的个体性数据，不同的字段有不同的安全级别，应在数据库设计进行控制。表6-28 社会保险业务安全需求分析异地业务经办异地公共服务基金监管宏观决策政策信息个体信息查询和咨询异地网上业务办 理固定周期固定报 表临时构造表、原始抽样身份认证操作权限流程严格无漏洞系统连续稳定信息准确信息保密不可抵赖 可追究责任4数据安全需求分析数据安全需求包括数据库安全需求、数据传输安全需求、数据存储安全需求等构成。（1）数据库管理系统安全需求 数据库管理系统本身的安全等级达到C2级； 能够通过对主体（人、进程）识别和对客体（数据表、数据分片）标注，划分安全级别和范畴，实现由系统对主、客体之间的访问关系进行强制性控制； 具有增强的口令使用方式限制，用户必须按规定的格式设置口令，才能进行注册； 能够按照最小授权原则，对数据库管理员、软件开发人员、终端用户授予各自完成自身任务所需的最小权限； 能够对于数据库安全有关的事件进行跟踪、记录、报警和处理，供有关人员进行分析；（2）数据传输的安全需求数据传输的安全需求包括对数据传输的机密性和完整性需求。 数据传输的机密性要求，需要对劳动保障业务专网传输的敏感性业务数据（业务经办数据交换信息，异地领取养老金人员有关信息，在职社会保险关系转移人员有关信息，异地就医信息等）机密性进行保护，支持WWW、FTP、SMTP、Telnet等TCP/IP的标准服务以及社会保险网络特有的通讯业务； 根据传输完整性要求，保护网络传输IP数据包的不可篡改性。（3）数据存储的安全需求 社会保险信息系统主机的操作系统、应用软件要有存储在可靠介质的全备份，软件以及计算机和网络设备的配置和设置的全部参数也必须进行备份；与系统安装和恢复相关的软硬件、资料等必须放置在安全的地方； 社会保险业务系统的重要数据必须定期进行备份，备份的数据必须存储在可靠的介质中并与系统分开存放；而且要制定详尽的使用数据备份进行故障恢复的预案，并进行预演； 对于需要保密的存储数据，应采取加密措施保证其机密性。5容灾备份安全需求为了保证社会保险关键业务系统（本地社会保险经办业务、异地领取养老金，在职社会关系转移，异地就医等）以及其他业务服务的稳定性与连续性，需要建设异地容灾备份中心。当主中心发生灾难性事件时，由备份中心接管所有的业务。备份中心要有足够带宽确保与主中心的数据同步，有足够的处理能力来接管主中心的业务，要确保快速可靠与主中心的应用切换。同时需要在异地容灾备份中心配置数据备份系统对重要数据进行备份。6安全管理需求健全的安全管理体系是各种安全防范措施得以有效实施、网络系统安全实现和维系的保证，为此需要建立一套符合社会保险系统实际的安全管理体系。（七）系统安全策略社会保险信息系统安全策略包括物理安全策略、网络层安全策略、主机系统、应用系统和数据的安全策略以及系统容灾备份的安全策略。1物理安全策略物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。（1）物理安全的内容主要包括三个方面： 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护； 设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等； 媒体安全：包括媒体数据的安全及媒体本身的安全。（2）物理安全措施为保证社会保险信息系统的物理安全，在网络系统安全建设中可主要通过几个方面来实现： 机房环境和场地安全要求社会保险信息系统计算机机房的建设须符合国家安全保密等部门要求以及电子计算机机房设计规范（GB50174-93）、计算机场地安全要求（GB9361-88）等国家的相关安全标准，机房场地与设施的安全管理满足机房场地选择、防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施等安全技术要求，保证设备的物理安全；机房的安全等级应符合GB9361-88的A类； 在主机房设备布局上，按应用系统的不同安全控制级别和不同功能进行区域划分。特别是运行有渉密性质的办公系统设备，社会保障IC卡密钥设备等须布置在独立的屏蔽机房环境中，以进行涉密信息传输和处理； 对划分的区域实行分区控制，根据工作需要确定能否进入相应的区域；采取门禁等安全措施，严格控制进入各分区人员； 在机房内设置安全防盗报警装置和监视系统来实现防盗、防毁，保障设备的安全； 为防止因电网电压波动、干扰、断电等对系统的影响，根据实际情况在机房内配备断电后持续供电的UPS； 按照相关设计规范和技术要求，在机房设计和建设中做好静电防护设施、防雷装置和接地保护系统； 凡是渉密网络须符合国家安全保密等部门的有关要求，布线采用光纤和屏蔽双绞线；接入端须放置干扰器，以减少或干扰扩散出去的空间信号，防止计算机辐射信息的泄漏； 对于重要的数据要进行备份，备份数据的存放位置应符合GBJ45-82中规定的一级耐火等级，符合防火、防高温、防水、防震等要求；定期对备份数据进行检查，保证其可用性等； 制定严格的机房和设备管理制度，以及信息拷贝、介质保存出入库与销毁的管理制度。2网络安全策略（1）网络边界安全策略社会保险网络层安全的设计和建设采用硬件保护与软件保护、静态防护与动态防护相结合，由外向内多级防护的总体策略。根据应用系统目的和安全需求，网络系统划分为六个层次上的不同安全区域，如图6-57所示。具体是：核心层（办公网、社会保障IC卡密钥应用区），安全层（社会保险应用区、宏观决策支持应用区、网络基础服务区、安全应用支持服务区、其他劳动保障应用区等），基本安全层（劳动保障系统内部资源区、相关单位资源区），可信任层（劳动保障业务专网：政府信息网络平台/公共通信网络），非安全层（公共信息服务应用区），危险层（公共Internet，相关单位网络）。各层安全性逐层递减。社会保险信息系统各安全域中的安全需求和安全级别不同，网络层的安全主要是在各安全域间建立有效的安全控制措施，使网间的访问具有可控性。 处于核心层的办公应用局域网和社会保障IC卡密钥区应与其他网络物理隔离隔离。如果采用物理隔离，核心层网络和其他网络的信息交换，须采用人工方式实现，并且所有操作按照严格的保密制度要求进行； 处于安全层的劳动保障业务局域网中运行着多种即相联系，又相独立的应用系统：社会保险应用，其他劳动保障和宏观决策支持应用，综合应用等。对于安全层的网络，安全主要来自局域网内部，在局域网中可通过划分虚拟子网对各安全域间、用户和安全域间实施安全隔离，提供子网间的访问控制能力。子网的划分按照业务系统类别、部门级别、用户权限等因素来进行，并以最大子网安全隔离来设置子网间的访问控制；可结合基于交换机端口的VLAN技术和基于节点MAC地址的VLAN技术，实现局域网安全控制和隔离； 处于基本安全层的劳动保障系统内部资源区、对相关单位资源区、和非安全层的公共信息服务应用区，作为内网和外网进行资源共享、数据交换和信息服务的安全隔离带，在网络的互连边界上利用专用网络安全设备（如防火墙）建立安全防护，或在边界路由设备上进行访问控制ACL等安全策略的配置，以有效地控制外界用户和局域网的信息交换；关于ACL的配置，在对外边界路由器上设置粗略的访问控制过滤规则，形成内部网络的第一道防护线，在内部网上使用过滤规则，形成系统之间的访问控制和逻辑隔离。为了不影响网络的运行效率，不在边界路由器、中心三层交换机上配置过多的ACL。细致的控制在专用网络安全设备（如防火墙）中实现；安全隔离带作为联系内外网的环节，易受到外界系统的攻击，在各网段上配备网络安全分析、入侵监测及网络监控系统，以监视网络上的通信数据流，捕捉可疑的网络活动，进行实时响应和报警，并实现和专用网络安全设备（如防火墙）的联动，同时提供详尽的网络安全审计分析报告； 在处于信任层的政府信息网络平台/公共通信网络上进行数据传输时不考虑链路层的加密方式，对于省市纵向业务专网和城域网上传输的业务数据（如本地业务经办、异地业务经办、异地领取养老金人员有关信息、在职社会保险关系转移人员有关信息、异地就医信息等）可采用数据层加密方式，实现关键敏感性信息在广域网通信信道上的安全传输。（2）网络基础设施的可用性策略对于数据中心局域网、省市纵向业务专网和本地城域网的网络基础如局域网主干交换机、广域网路由器、广域网线路、网络边界安全设备（如防火墙）等考虑采用冗余设计，以保证业务信息的可靠传输。网络基础设施部分已在网络系统设计中考虑。插图6-57 网络层安全域结构图3系统及应用层安全策略（1）操作系统安全社会保险信息系统的主机选择安全可靠的操作系统，绝大部分主机运行Windows NT操作系统，一些关键性业务系统主机运行UNIX系统。用“最小适用性原则”配置系统以提高系统安全性，并及时安装各种系统安全补丁程序。严格制定操作系统的管理制度，定期检查系统配置。利用系统漏洞扫描软件对关键业务服务器系统（如社会保险管理系统及决策支持系统）、公共的WWW服务器、邮件服务器、代理服务器、网管系统服务器等进行定期的安全扫描分析，及时提供网络系统安全状况评估分析报告，并根据分析结果合理制定或调整系统安全策略，以保证这些设备的安全隐患降至最低。在系统中建立基于用户的访问控制机制，监视与记录每个用户操作（如通过登录过程）。用户需独立标识，监视的数据应予以保护，防止越权访问。（2）应用系统安全应用层安全是建立在网络层安全基础之上，主要是对资源的有效性进行控制，管理和控制什么用户对信息资源和服务资源具有什么权限。其安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密，并通过审计和记录机制，确保服务请求和资源访问的防抵赖。对于外部应用，如WWW信息发布等公共服务应用、电子邮件等，其安全需求是在信息共享的同时，保证信息资源的合法访问及通讯保密性，因而必须严格按照用户的身份控制对个人性数据的访问。基于劳动保障PKI系统，采用数字证书等方式建立应用层的数据加密，保证数据保密性和完整性。对于WWW站点，需要配置页面侦测和自动修复系统，以提高站点的抗破坏能力。对于内部应用，如办公及其他关键性业务系统的安全，对身份认证和访问控制有更高的要求，访问控制的控制粒度更细，在应用程序和数据库系统中都应有严格的访问控制机制。（3）防病毒系统策略计算机病毒是一段能够自我复制，自行传播的程序。病毒运行后能够损坏文件、使系统瘫痪，从而造成各种难以预料的后果。在网络环境下，计算机病毒具有不可估量的威胁性和破坏力，因而计算机病毒的防范也是网络安全建设的重要环节。社会保险信息系统运行环境复杂，网上用户数多，同Internet有连接等因素，可能会受到来自于多方面的病毒威胁，在办公网和业务专网上建立多层次的病毒防卫体系，包括桌面客户端、服务器、邮件系统、Internet网关上实施防病毒系统的部署，配置病毒扫描引擎和病毒特征库数据的自动更新方式，实现对网络病毒的预防、侦测、消毒和预警，以防止病毒对系统和关键文档数据的破坏。（4）数据和系统备份策略安全可靠的网络数据备份系统不仅在网络系统硬件故障或人为失误时起保护作用，也在入侵者非法授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时也是系统灾难恢复的前提。因而在网络系统中建立安全可靠的网络数据备份系统是保证网络系统数据安全和网络可靠运行的必要手段。网络系统的数据备份涉及两种类型的备份内容：网络系统中关键应用系统及运行的操作系统的备份；网络系统中数据的备份。对于前者的备份恢复，由于应用系统稳定性较高，可采用一次性的全备份，以防止当系统遭到任何程度的破坏，都可以方便快速地将原来的系统恢复出来。对于后者的备份，由于数据的不稳定性，可分别采用定期全备份、差分备份、按需备份和增量备份的策略，来保证数据的安全。在数据中心网络系统中配置数据备份系统，以实现本地关键系统和重要数据的备份。4故障恢复和容灾备份策略除配置数据备份系统，实现本地关键系统和重要数据的备份外，为保证社会保险关键业务系统（本地社会保险业务经办、异地领取养老金，在职社会关系转移，异地就医等）以及其他业务服务的稳定性与连续性，（说明：考虑在本地地理位置相异的其他劳动保障机构或合作单位数据中心机房建设同城异地容灾备份中心）。利用容灾恢复软件和设备通过网络实现异地系统和数据的备份及部分服务的冗余。当主中心发生灾难性事件时，由备份中心接管部分关键性业务。（八）基础安全防护系统建设基础安全防护系统的建设包括有防火墙、入侵检测、漏洞扫描、安全审计、病毒防治等。金保工程业务专网省市数据中心基础安全防护系统的部署方案如图658所示。1防火墙在省、市业务专网的各网络节点的出入口处和局域网内部不同安全域之间布置防火墙设备。具体地，Internet到公共信息服务应用区之间、业务相关单位到相关单位资源区的网络边界、省市网络到劳动保障系统内部资源区的网络边界、各资源区和各业务应用区间、生产库数据区和其他业务应用区间、安全应用支撑服务区与内部业务网间部署防火墙，实现不同安全域之间的逻辑隔离、访问控制及审计。对于省市纵向业务专网采用主备线路和路由器的冗余设计的，在边界防火墙配置上也相应地采用主备方式。防火墙主要利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，根据在其上配置的安全策略来控制（允许、拒绝、监测）出入网络的信息流。同时实现网络地址转换（NAT）、审计和实时报警功能。通过防火墙的包过滤，实现基于地址的粗粒度访问控制，通过口令认证对用户身份进行鉴别，实现基于用户的细粒度的访问控制。（1）防火墙工作模式防火墙主要工作在交换和路由两种模式下： 对于交换模式：3个接口构成一个以太网交换机，本身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一个互通的物理网络。 路由模式：防火墙本身构成3个网络间的路由器，3个接口分别具有不同的IP地址。三个网络中的主机通过该路由进行通信。插图6-58 劳动保障省市数据中心业务专网基础安全防护系统结构图因此就防火墙系统的配置而言，可以根据实际的网络情况和实际的安全需要来配置工作模式。当防火墙工作在交换模式时，内网、DMZ区和路由器的内部端口构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置；当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都可以使用保留地址，内网用户通过地址转换访问Internet。内部网、DMZ区通过反向地址转换对Internet提供服务。如对于Internet到公共信息服务应用区之间和省市广域网网络边界的防火墙配置成路由模式。（2）防火墙主要功能 支持交换模式下和路由模式下的应用层过滤。在交换模式下和路由模式下均可以对应用级协议进行细度的控制，支持通配符过滤。 对HTTP协议可以进行命令级控制及URL、关键字过滤，并过滤Java Applet、ActiveX等小程序。 对FTP协议可以进行命令级控制，并可以控制所存取的目录及文件。 对SMTP协议支持基于邮件地址、内容关键字、主题的过滤，并可以设定允许Relay的邮件域。 支持不同子网间的视频、语音应用，其他安全策略不受影响。 具有实时在线的网络数据监控功能，实时监控网络数据包的状态，网络上流量的动态变化，并对非法的数据包进行阻断。 具有网络嗅探的功能，实时抓取网络上的数据包，并进行解码和分析。 具有自动搜集与防火墙相连子网中主机信息的功能，搜集的信息包括IP地址、MAC地址等，以减轻管理员的工作负担。 在防火墙设备的基础上，具有平滑的VPN扩充功能，VPN采用国家密码管理部门批准使用的硬件加密和认证算法。 具备与IDS设备联动能力。 2入侵监测系统入侵监测系统基于网络和系统的实时安全监控，运行于敏感数据需要保护的网络上，对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志，可弥补防火墙的不足。入侵监测系统通过实时监听网络数据流，识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络信息安全检测系统预警系统能够根据系统安全策略作出反应。入侵监测报警日志的功能时通过对所有对网络系统有可能造成危害的数据流进行报警和响应，作为受到网络攻击的主要证据。入侵监测系统主要安装在易受到攻击的服务器或防火墙附近，对于数据中心局域网络，在防火墙和内部网主干交换机附近部署入侵监测系统，以检测关键部位的数据流，防范非法访问行为，对非法网络行为的审计、监控及安全监控，并实现与防火墙的联动进行动态防护。即在业务专网的各网络边界的防火墙内（如Internet到公共信息服务应用区的边界防火墙、业务相关单位到相关单位资源区的边界防火墙、上、下级网络节点到劳动保障系统内部资源区的边界防火墙），Internet到公共信息服务应用区的边界防火墙外，以及内部业务局域网主干交换机重要服务器网段的监控端口部署入侵监测系统，以监控网络出入口和重要服务器进行访问的数据流，并对攻击行为作出响应。入侵监测系统由控制中心和探测引擎（网络、主机）组成，控制中心作为入侵监测系统的管理和配置工具，可以编辑、修改和分发各网络探测引擎、子控制中心的策略定义，给各探测引擎升级特征库，同时接收所有探测引擎的实时报警信息。控制中心和各探测引擎间的信息交换通过加密方式进行。入侵监测系统主要功能要求如下：（1）具有强大的攻击检测能力。能检测1500种以上的攻击种类。检测引擎和攻击特征库及时升级和更新。（2）软件的部署应有一定的灵活性，采用分布式的体系结构，监测节点和管理控制站可分立配置；（3）监测系统的部署对原有网络和系统环境为完全透明方式，对网络数据包的监控，应采用包拷贝方式，对网络数据包的传输不能造成延迟；监测节点和管理控制站的通信应采用另外通道，不占用监测网络的通信带宽；（4）提供完整的应用协议内容恢复功能。支持常用协议（如HTTP、 FTP、SMTP、POP3、TELNET）等通信过程、内容的恢复与回放。并允许用户自定义协议。同时要做到个人隐私和安全的兼顾，根据不同的权限控制内容恢复的程度。（5）能够检测有害的内容，例如：反动信息、暴力信息等。（6）具有实时在线的网络数据监控功能，实时监控网络数据包的状态及网络流量的动态变化，并对非法的数据包进行阻断。（7）具备主动探测机制，可以主动探测网络上存在安全隐患和风险。（8）自带数据库，不需第三方数据源。使用数据库存储攻击和入侵信息以便随时检索，自动维护和并提供详细的攻击与入侵资料，包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。（9）具备完善的日志记录和应用审计功能，提供灵活的自定义审计规则。（10）提供灵活方便的报表、图形方式的统计分析功能，实时显示分析结果。3漏洞扫描系统漏洞扫描系统是一种系统安全评估技术，可以测试和评价系统的安全性，并及时发现安全漏洞。具体包括网络模拟攻击、漏洞检测、报告服务进程，以及评测风险，提供安全建议和改进措施等功能。在数据中心局域网安装一套网络安全漏洞扫描系统，定期或不定期对一些关键设备和系统（网络、操作系统、主干交换机、路由器、重要服务器、防火墙和应用程序）进行漏洞扫描，对这些设备的安全情况进行评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。主要功能要求：（1）提供基于网络的自动安全漏洞检测和分析，扫描项目应覆盖：网络层、应用层和各种网络服务；（2）扫描对象：基于TCP/IP的所有IP设备和服务，包括：路由器、NT服务器、UNIX服务器、防火墙等；（3）具有较强漏洞扫描能力，漏洞特征库丰富，可识别和检测的漏洞数应不小于1000种，同时应有较强的扫描分析能力；网络扫描系统应能对以下几方面提供漏洞发现：l 检测网络系统的的服务进程l 检测软件的版本和补丁包，缺省配置等方面的问题l 检测NT服务器的配置漏洞l 检测eb服务器的文件和程序方面的漏洞（如IIS、CGI脚本和HTTP）l 检测标准的网络端口和服务l 检测网络服务的漏洞，包括：SMTP，FTP，SNMP，Proxy，DNS，WWW，RPC等l 检测远程访问的安全漏洞l 检测NT用户、用户组方面的漏洞，如弱的口令设置l 检测NetBIOS共享的漏洞（4）按扫描强度的不同来定义，如：重度扫描、中度扫描、轻度扫描和自定义强度扫描等，以满足网络安全的不同扫描需求；（5）网络扫描的执行不应对扫描对象的系统产生影响，如重度扫描对系统的影响也应是可恢复性的；（6）具有灵活的扫描策略的定制能力，可按照特定的时间、扫描对象的范围、扫描的不同漏洞分类来配置扫描需求；支持自动扫描；（7）网络扫描系统具有生成被扫描网络环境安全弱点和漏洞的分析报告的能力；报告应包括扫描漏洞清单，详尽的漏洞描述和补救方法，各种类型漏洞的统计图表；报告应是中文描述，内容详细，可操作性强，报告应有多种表现形式而且易于理解，如HTML等，每个报告都应提供修改漏洞的具体的操作步骤或安全补丁供应商的超级链接；（8）网络扫描系统应具有较低的误报率；系统应具有频繁误报事件的屏蔽能力；（9）软件的扫描工作对网络的数据包传输不能造成明显延迟；（10）基于国际CVE标准建立的安全漏洞库，并通过网络升级可以与国际最新标准同步。4防病毒系统为了防止病毒在内部网络传播，防止病毒对内部的重要信息和网络造成破坏，并定位感染的来源与类型，在网络中部署病毒防护系统，采用网络集中防病毒和分散防病毒两种方式。具体配置为：在网络中的服务器中安装文件及应用服务器防病毒组件，在邮件服务器上安装群件系统防病毒组件，在代理服务器上安装Internet网关防病毒组件，在网络中的所有桌面客户机上安装桌面防病毒组件，安装扫描引擎和病毒特征库更新服务器，负责全网防病毒系统的扫描引擎和病毒特征库的及时升级更新，安装防病毒管理控制中心，负责对防病毒系统进行统一管理。对于单机用户或移动终端用户，辅以单机防病毒软件。在防病毒系统的部署时，集中对病毒软件库中的防病毒软件组件进行配置，通过配置可以简化客户端的管理和提高运行效率，并使全网的防病毒策略保持一致。配置内容包括：l 客户端防病毒软件的缺省安装方式和参数；l 防病毒软件的运行参数；l 扫描方式定制；l 缺省扫描范围确定；l 碰到病毒后的处理等； l 定时升级和更新设置。通过对网络中的病毒扫描集中控制，建立各种定时任务，统一集中触发，然后由各被管理机器运行，同时可对日志文件的各种格式进行控制。在管理服务器上建立了集中的病毒分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告，所有病毒扫描状态信息都可由控制台得到。防病毒产品技术要求如下：（1）支持多种平台的病毒防范，包括UNIX系列、Windows系列、Linux系列。（2）支持对Internet/Intranet服务器的病毒防治，能够阻止恶意的Java或Active X小程序的破坏；（3）支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒；（4）支持多的病毒处理选项，如对染毒文件进行实时杀毒、移出、删除、重新命名等；（5）提供对病毒特征信息和检测引擎的定期在线更新服务；（6）提供集中式网络防病毒管理5安全审计在利用防火墙、IDS等安全产品本身的审计功能，以及操作系统的审计功能的同时，在网络系统中配置跨平台的综合审计系统，实现对网络系统的全方位集中安全审计。支持基于PKI的应用审计，能在有策略配置的指导下实时或定时采集各信息系统产生的数据，并进行有效的转换和整合，以满足系统安全管理员的安全数据挖掘需求。支持基于XML的审计数据采集协议。提供灵活的自定义审计规则。安全审计系统的功能要求：（1）能够从多种服务器（UNIX、Windows 2000、Linux）自动收集系统事件，并将这些事件保存在中心数据库。（2）具有完整的网络日志功能，详细记录每个用户的网络访问行为。（3）全面的操作系统日志功能。可将用户对操作系统的访问记录下来。包括用户操作的时间、用户名、操作的结果以及名称和路径。（4）日志快速查询。查询系统主要应用于对已记录的操作系统和网络系统的审计日志文件进行分析查询，根据查询条件可以方便快速地得到相关记录的结果。（5）支持分布式的数据审计与预警。（6）完善的自保护能力 。安全审计模块具有自保护功能，防止用户对审计文件和系统的非法修改，保证审计系统和安全日志文件的完整性。（7）智能分析功能。安全审计模块可以根据操作系统和网络的实际情况，智能地对一些可能的安全隐患向管理员提出警告，帮助系统管理员对系统的