安全方案20080827.doc

劳动保障信息安全建设方案（初稿）劳动保障信息化建设是我国政府信息化建设的重要组成部分，有利于转变政府职能，实现依法行政、高效行政，密切政府与人民群众的联系，对建设廉洁、勤政、务实、高效的政府具有重大意义。为此，国家提出建设金保工程，利用先进的信息技术，以部省市三级劳动保障网络为依托，以社会保险及劳动就业两大应用系统为核心，建立涵盖劳动保障各项业务的综合服务信息平台，来改善社会保障工作方法和管理方式，促进劳动就业，为社会提供优质的公共服务，加强基金监管，满足宏观决策的需要。劳动保障事业关乎国运，情系民生，业务要求多，数据敏感程度高，数据传输要畅通，这对劳动保障信息网络建设提出了很高的要求。目前，我省金保工程一期建设取得了一定进展，但建设过程中突显出来的各类安全问题，严重威胁着劳动保障数据中心以及社会化服务体系的安全，制约了我省劳动保障信息化建设。随着劳动保障信息化建设的全面开展，系统的安全性也就成了重中之重，而目前系统化、规范化的劳动保障安全体系尚未建立，这是目前要解决的当务之急。一、金保工程信息网络系统现状（一）总体目标我省金保工程信息网络系统建设的总体目标，是建成上连部级数据中心、向下连接市级数据中心并延伸至县级节点的广域主干网，形成安全可靠的部省市县四级网络系统，同时，横向建成与财政、税务、银行系统及省电子政务平台连接的市域网，实现跨省市劳动保障部门信息交换和信息共享；提高劳动保障系统内部的信息共享程度和业务管理的协同工作能力，通过网络向街道、社区延伸和向社会公共网提供接口，提高劳动和社会保障社会化服务水平，实现社会公众对社会保险事务的有关服务要求；通过与电子政务网、银行、税务、医院等相关部门的网络对接，使跨部门间的数据信息能够迅速、准确、安全可靠地交换，实现与相关部门的横向信息交换。（二）信息网络系统现状1、网络状况我省劳动保障信息网络系统可分为以下三个部分：广域网络：向上以4MbpsSDH专线连接到人力资源和社会保障部，向下以2MbpsSDH专线连接市级节点并延伸到县一级，提供数据汇总及联网传输功能。局域网络：各级劳动保障部门建立的支撑公文流转、部门内部办公的核心网络，为社会保险业务应用、宏观决策支持应用等的运行，为信息交流和共享等提供基本的条件。横向连接：采用专线专线与财政、税务、电子政务办等相关部门互联,各级业务经办部门实现与医院、药店、银行、邮局等机构的网络连接，实现信息交换和共享。Internet连接：各级劳动保障部门网络与Internet的连接，实现劳动保障信息服务，面向公众提供政策咨询、业务查询、网上参保登记和网上缴费申报服务等的外部网络。同时确保内部网络的安全，实现与Internet网络的物理隔离等。2、服务区设置根据具体的业务在网络系统中的应用情况可在逻辑上划分为多个功能区：劳动保障系统内部资源区：提供劳动保障系统内部的数据交换、资源共享和信息服务。包括办公自动化OA服务器、FTP服务器和信息服务前置机等。业务资源数据库服务区：提供社会保险和劳动就业两大系统软件及其他劳动保障业务软件的原始生产区数据，保障核心业务的运行。设置有数据库服务器、存储设备等。相关部门或单位资源区：提供劳动保障部门与财政、税务、电子政务办等相关部门和医院、药店、银行、邮局相关单位的数据交换、资源共享和信息服务。设置有FTP服务器和信息服务前置机。对外信息服务应用区：包括信息发布、网上查询、网上办事、网上调查等应用服务。信息发布包括各业务管理系统、宏观决策支持系统综合数据和分析预测报告等多种信息的发布；网上查询包括劳动保障政策法规及其他相关政策法规查询，劳动保障业务、办事程序查询，劳动保障统计资料查询，劳动力市场信息查询，社会保险有关信息查询等；网上办事应用包括劳动力市场服务，社会保险登记、申报，职业技能培训教育等。设置有WEB服务器、前置机等设备。另外还有视频会议系统、网络管理监控、电话咨询服务等系统。二、系统面临的安全威胁网络所面临的威胁可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三：一是人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。二是人为的恶意攻击：这是我省劳动保障信息网络系统所面临的最大威胁，此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。由于我省劳动保障信息网络结构复杂，功能区众多，人为的恶意攻击危害性最大，容易导致机密数据的泄漏和其他安全隐患。三是网络软件的缺陷和“后门”：软件系统不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所导致的。三、安全与管理建设需求劳动保障信息化系统是一个规模巨大、节点众多、应用范围横跨全省的大型计算机网络信息系统，同时网络上承载了众多重要的劳动保障业务，必须构筑一个完整的安全与管理体系，来保障整网使用及数据安全。一套完整的安全与管理体系需要做到一下三点：一是要立足整体设计；二要有技术和设备，现在的网络安全不可能凭手和眼就能保证；三是要有适应于现代技术和设备的管理工作者，也就是说，要有一支懂技术的队伍，这三条缺少哪一个都不可能保证网络安全。具体有如下几个方面：（一）保证网络数据传输的可靠性和安全性。防范因为物理介质、信号辐射等造成的安全风险，保证整体网络结构的安全，保证网络设备配置的安全、同时提供网络层有效的访问控制能力、提供对网络攻击的实时检测能力等。（二）保证各级节点的安全需求。保证用户操作系统平台的安全，防范网络防病毒的攻击，提高各级节点的攻击防范和检测能力；同时加强对用户的网络应用行为管理，包括网络接入能力以及资源访问控制能力等。（三）提供机密的、可用的网络应用服务。包括业务数据存储和传输的安全，业务访问的身份认证及资源访问权限分配，业务访问的有效的记录和审计，以及特殊应用模式的安全风险：比如垃圾Mail、Web攻击等。（四）建设和完善网络安全系统。构建身份认证、入侵检测系统、入侵防护系统、漏洞扫描系统、防火墙系统、防病毒系统、VPN传输加密系统等网络基本安全保障环境，同时制定完整的安全管理制度，并为后期建设全省金保信息管理系统信任体系提供基础，形成湖北省金保软件管理系统的安全保障平台。四、安全系统平台设计湖北省劳动保障信息网络系统安全依据劳社部下发的地方可行性研究报告，结合湖北省金保工程各级网络的实际情况进行设计。完整的安全体系建设主要包括安全防御体系、安全信任体系、安全管理体系建设。（一）安全系统平台设计原则在规划湖北省金保工程网络系统安全时，应遵循以下原则，以这些原则为基础，提供完善体系化的整体网络安全解决方案：1、体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。2、全局性、均衡性原则安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。3、可行性、可靠性原则在采用全面的网络安全措施之后，不会对省端中心数据骨干网原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。4、可动态演进的原则方案针对省级数据骨干网制定了统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。（二）安全防御体系设计1、应用系统安全策略结合目前湖北省金保工程专网的实际情况，应用系统安全策略的部署主要从三个方面进行：（1）病毒防护建议采用两级的防病毒管理中心，三层体系架构方式进行部署。在省数据中心或各市（州）建立省一级防病毒中心，在其下属各区（县）分别建立二级系统中心；形成一个由管理控制中心、管理控制台、杀病毒客户端组成的三层结构，以有效地对大量防病毒软件进行管理控制。（2）防垃圾邮件系统垃圾邮件和黑客攻击、病毒等结合也越来越密切，比如，SoBig蠕虫就安装开放的，可以用来支持邮件转发的代理。随着垃圾邮件的演变，用恶意代码或者监视软件等来支持垃圾邮件已经明显地增加了。因此在省数据中心中心应该部署防垃圾邮件系统来解决垃圾邮件所造成的危害，通过部署防垃圾邮件系统，建立一套立体的、有效、快速的网络安全保护措施（如阻止内部病毒及蠕虫爆发，阻止外部病毒通过邮件及网络传入内部网络）。（3）应用负载均衡系统由于缴费年度年检，申报，月度发放等业务办理期间，省数据中心服务器需要承担极大的业务工作流量，会导致服务器系统崩溃，应此，保证特殊期间服务器的稳定显得非常重要。建议在提供业务办理服务的应用服务器前端部署应用负载均衡系统，提供对公众服务的安全性和稳定性。（4）数字认证应用系统是整个系统的用户操作入口，针对应用系统的安全可通过用户授权，并严格密码管理，同时结合动态口令认证技术实现。按照人社部CA认证系统要求，结合省电子政务CA认证系统的使用情况，在条件允许的情况下，建设省级CA系统，规范用户授权管理，控制应用系统的用户操作进入。2、系统平台安全策略系统平台安全主要包括操作系统安全、数据库安全、以及应用系统安全等三个方面，其安全保障策略为：（1）操作系统安全策略通过配置B2以上安全等级的UNIX以及WINDOWS操作系统，并利用操作系统、网络系统本身的安全控制机制，来保证系统平台的安全。具体可以利用以下技术措施：严格操作权限控制：根据用户的职责和在系统中的角色为其分配不同级别的权限。严格限制“管理员”访问权限的赋予范围和对象，并按照“赋予最低权限”的策略，为各个用户赋予仅能使用特定的程序并明确定义用户角色的权限，只让合法用户访问相应的系统资源。严格密码管理：利用系统的密码生成机制，为每个用户角色定义健壮的密码，并建立密码定期更新机制。加强审计：通过日志记录，对用户的危险操作进行警示，防止合法用户的非法操作。（2）数据库管理系统安全策略目前主流数据库管理系统均有一套完整的安全保障机制，可有效保障数据库系统的安全。具体可利用以下技术手段：按照应用系统及用户角色，为每个用户或工作组建立帐号及权限，并严格其密码控制，并防止数据库管理员密码泄漏造成后门漏洞。为数据对象建立操作许可，并与用户权限匹配，保证合法用户对数据库进行合法操作。严密定义存储过程及数据操作规则，防止用户对数据库及数据对象不完整或不一致的操作。科学配置日志文件系统，详细记录数据的操作过程，对不安全操作进行报警，并可利用其进行安全审计和数据库文件修复。（3）应用支撑平台的安全策略通过数据交换系统的建设，可在一定程度上防止用户直接远程访问操作异地数据库所引发的各种安全问题，并有效增强各系统保护本地信息资源的主动性。（4）补丁管理系统在湖北省金保工程专网内部署补丁管理系统，使用一台服务器运行补丁管理系统（设置了自动将更新程序分发到各客户端计算机）管理所有的更新任务，客户端端无需访问Internet即可获取更新程序。该系统的实施可以解决操作系统中已知的安全隐患和其他稳定性问题。3、网络平台安全策略由于本工程所建信息系统与Internet相连，因此必须重点防范网络攻击、非法访问、病毒入侵造成的拒绝服务等现象发生。针对网络平台的安全主要采用以下策略：（1）网络内部安全策略A、权限管理在网络系统中，整个网络的安全要确保网络设备的安全，通过权限管理保证非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备，可采用网络管理系统进行解决。B、配置管理通过网络管理系统提供的配置管理、性能管理、失效管理和安全管理功能，实现网络设备安全有效的配置，为整个网络系统提供安全运行的基石。C、VLAN策略为满足不同业务之间的安全保密需要，通过省端数据中心及各市（州）业务专网上进行VLAN划分，将不同的用户对象相对限定在一定的网段内活动，使不同网段资源获得较为独立的安全保障（2）核心交换区安全策略A、系统分层结构采用分层次、分区域的网络拓扑结构，把核心交换网与其它功能区域网络使用防火墙进行逻辑隔离，利用高性能网络连接和适当的冗余手段，保障各区域之间数据流的可靠转发。B、漏洞扫描在核心区部署采用主动式策略漏洞扫描设备，通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，查找整个网络系统的漏洞。（3）核心服务器区安全策略A、入侵防护（IPS）在内网服务器区边界部署入侵防护设备，实现对内网核心服务器区网络流量的全面实时监控，同时，在发现异常时，能及时阻断和告警，动态保护内网服务器区免遭侵害B、入侵检测（IDS）在外网服务器区边界部署入侵防护设备，对恶意数据包进行检测，对攻击流量进行自动拦截，实现外网服务器区动态的网络入侵报警；C、权限管理关闭不需要开放的服务端口，同时限制用户的操作权限，防止非法操作，定期进行安全检测和漏洞评估，及时升级软件和相应的补丁程序。D、加强维护系统整体运行期间，加强整体的安全维护，定时对网络、系统、主机进行检查、巡视。（4）网络边缘的安全策略A、省端核心区域与汇聚区域边界该边界为省端数据中心与市（州）生产区数据的交换通道，交换数据量大，对性能要求高，建议部署两台高性能千兆防火墙进行逻辑隔离；在此边界的安全策略部署上建议采用宽松策略，在保障数据传输的高性能前提下做到安全最大化。B、省端汇聚区域与市（州）接入区域边界该边界为省端中心交换区与市（州）接入区数据交换通道，数据流量相对较小，可以采用百兆防火墙进行逻辑隔离，考虑到视频数据流量以及未来应用系统建设的数据传输要求，也可采用千兆防火墙进行逻辑隔离；在此边界上的安全策略部署上建议采用严格策略，只允许必须的流量进入省端核心网络，确保核心网安全。C、省端核心区域与Internet区域边界该边界为湖北省金保工程专网与Internet互联边界，是湖北省金保工程专网对外防御的第一道防线，由于目前在此边界已部署一台防火墙，且其性能可以满足要求，因此，此边界的隔离将继续使用目前的防火墙，保持结构不变；安全策略部署上对内部访问Internet的流量采用宽松策略，对Internet访问内网的流量采用严格策略并结合认证设备进行准入控制。4、物理环境安全策略A、链路安全目前，部省级骨干链路已采用了两条线路作为备份，为保障整网链路传输的安全，可考虑对省市级骨干链路进行备份部署，采用2M专线的链路接入省电子政务平台，同时采用一条VPDN的方式进行备份。B、机房供电机房供电系统应将计算机系统供电与其它供电分开，并配备应急照明装置；应配置抵抗电压不足的设备，包括多级UPS和应急电源（发电机组）等；采用线路稳压器，防止电压波动对计算机系统的影响；设置电源保护装置，如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器等；C、温湿度应有完备的中央空调以及送风管道，保证机房各个区域的温度变化能满足计算机运行、人员活动和其它辅助设备的要求。5、数据容灾备份安全策略保持业务的持续性是劳动保障系统进行数据存储时需要考虑的一个重要方面，关键数据和数据库的备份操作已经成为日常运行处理的一个组成部分，以确保出现问题时及时恢复重要数据。但是由于通常数据采用磁带离线备份，当数据量较大或突发灾难发生时，备份磁带无法真正及时恢复数据，所以一套完整的灾难恢复方案应该包括服务器，存储设备，软件，特别对相关的备份和灾难恢复的解决。根据数据容灾备份的要求，数据中心系统配置主机包括两台或多台服务器以及其他相关服务器，组成多机高可靠性环境。数据存储在中心存储磁盘阵列中。同时在异地备份中心配置相同结构的存储磁盘阵列和一台或多台备份服务器。在主数据中心，还可以配置磁带备份服务器，用来安装备份软件，以及磁带库。备份服务器直接连接到存储阵列和磁带库，控制系统的日常数据的磁带备份。 其结构图如下所示：在主数据中心，按照高可靠性原则，推荐用户配置双服务器高可靠性环境。双机同时连接到存储阵列。任何一台服务器出现故障时，另一台服务器即可自动立即接管故障服务器的所有应用继续运行，保证用户业务应用的持续运转。同时，将用户数据随时通过远程连接通道实时传送到备份中心的存储阵列中。当灾难情况发生，为了确保业务系统的有效运转，保护关键数据，可以立即在备份中心的备份服务器上重新启动主中心应用系统，依靠实时备份数据恢复主中心业务。当主数据中心系统恢复后，备份中心存储系统的更新数据可以在应用运行不停机的情况下，一次性将数据重新拷贝回主中心继续使用。此外，还可以为用户提供灵活的备份方式，主备中心可以同时运行不同应用，互相备份。（三）安全信任体系安全防御体系的建设是对发生的安全事件进行有效的防御和处理，主要解决物理环境、网络平台及系统平台的安全问题，重点在于被动防御体系的建设。要建设一个完整的安全防御体系，还必须从主动控制的角度进行控制，因此，建设完善的安全信任体系是保障系统整体安全的重要组成部分。安全信任体系主要是分两部分组成，针对用户层建设以动态口令认证为核心的网络安全信任体系，充分发挥动态口令