核心二板人社系统信息化建设安全设计方案

1、.PAGE ：.；PAGE 246 TOC o 1-3 h z HYPERLINK l _Toc54056173 五、系统平安设计 PAGEREF _Toc54056173 h 245 HYPERLINK l _Toc54056174 一系统平安建立目的 PAGEREF _Toc54056174 h 245 HYPERLINK l _Toc54056175 二系统平安建立内容 PAGEREF _Toc54056175 h 245 HYPERLINK l _Toc54056176 三系统平安设计原那么 PAGEREF _Toc54056176 h 246 HYPERLINK l _Toc5405

2、6177 四系统平安体系构造 PAGEREF _Toc54056177 h 246 HYPERLINK l _Toc54056178 五设计中参考的部分国家规范 PAGEREF _Toc54056178 h 248 HYPERLINK l _Toc54056179 六系统平安需求分析 PAGEREF _Toc54056179 h 250 HYPERLINK l _Toc54056180 七系统平安战略 PAGEREF _Toc54056180 h 254 HYPERLINK l _Toc54056181 八根底平安防护系统建立 PAGEREF _Toc54056181 h 259 HYPERL

3、INK l _Toc54056182 九CA认证中心系统建立 PAGEREF _Toc54056182 h 265 HYPERLINK l _Toc54056183 十 容灾备份中心系统建立 PAGEREF _Toc54056183 h 273 HYPERLINK l _Toc54056184 十一平安管理体系建立 PAGEREF _Toc54056184 h 284PAGE PAGE 288五、系统平安设计在信息系统的建立过程中，计算机系统平安建立是一个必不可少的环节。社会保险信息系统不仅是一个涉及多地域、多部门、多业务、多运用的信息系统，而且其平安性涉及到每个公民的切身利益。社会保险系统中

4、存有社会保险各项业务的关键数据和各单位敏感信息，影响着政府的管理决策和笼统，存在着社会政治经济风险，其平安设计至关重要。社会保险信息系统网络参照国家涉密网络的平安设计要求进展设计。社会保险信息系统的平安设计，首先是针对系统所面临的网络内部和外部的各种平安风险进展分析，特别是对需求维护的各类信息及可接受的最大风险程度的分析，制定与各类信息系统平安需求相应的平安目的和平安战略，建立起包括“风险分析、平安需求分析、平安战略制定和实施、风险评价、事件监测和及时呼应的可顺应平安模型，并作为系统配置、管理和运用的根本平安框架，以构成符合社会保险信息系统合理、完善的信息平安体系。并在构成的平安体系构造的根底

5、上，将信息平安机制访问控制技术、密码技术和鉴别技术等支撑的各种平安效力性、完好性、可用性、可审计性和抗抵赖性等功能，合理地作用在社会保险信息系统的各个平安需求分布点上，最终到达使风险值稳定、收敛且实现平安与风险的适度平衡。一系统平安建立目的针对社会保险信息系统的特点，在现有平安设备的根底上，根据国家有关信息网络平安系统建立法律法规和规范规范以及系统对平安性设计的详细要求，并结合当前信息平安技术的开展程度，针对能够存在的平安破绽和平安需求，在不同层次上提出平安级别要求，制定相应的平安战略，设计一套科学合理、多层次、分布式、并且交融技术和管理的平安体系，采用合理、先进的技术实施平安工程，加强平安管

6、理，保证社会保险信息系统的平安性。建立一个具有可操作性、高性能、高可用性、高平安性的平安体系是总的建立目的。二系统平安建立内容1建立完好的平安防护体系，全方位、多层次的实现社会保险信息系统的平安保证。2实现多级的平安访问控制功能。对网络中的主机及效力进展基于地址的粗粒度访问控制和基于用户及文件的细粒度访问控制。3实现对重要信息的传输加密维护，防止信息在网络传输中被窃取和破坏。4建立平安检测监控系统。经过在系统中配备实时监控及入侵检测系统，加强对重要网段和关键效力器的维护，为不断提高系统平安强度、强化平安管理提供有效的技术手段。5建立全方位病毒防备体系。采用网络防病毒系统，并与单机防病毒软件相结

7、合，构建一套完好的防病毒体系。6建立重要运用系统数据的备份机制，并实现关键主机系统的冗余及备份和灾难恢复。7建立效力于劳动保证系统的数字证书认证效力根底设备。利用数字证书系统实现重要数据的加密传输，身份认证等。8建立有效的平安管理机制和组织体系，制定适用的平安管理制度，平安管理培训制度化，确保系统平安措施的执行。三系统平安设计原那么1正确处置严密、平安与开放之间的关系；2平安技术与平安管理结合；3分析系统平安的风险，构造系统平安模型，从维护、检测、呼应、恢复四个方面建立一套全方位的立体信息保证体系；4遵照系统平安性与可用性相容原那么，并具有适用性和可扩展性。四系统平安体系构造l系统平安层次与构

8、造社会保险信息系统是以开放的层次化的网络系统作为支撑平台，为使各种信息平安技术功能合理地作用在网络系统的各个层次上，从技术和管理上保证平安战略得以完好准确地实现，平安需求得以满足，确定社会保险信息系统的平安层次划分和体系构造如以下图所示：插图6-55 网络系统平安层次构造图2系统平安体系框架社会保险信息平安体系是一个三维立体构造，包括系统单元、平安特性、平安子系统三个要素。其构造关系如图6-56所示。平安子系统 平安特性 系统单元 物理环境 网络单元 业务系统 平安管理 身 份 鉴 别 访 问 控 制 数 据 保 密 数 据 完 整 性 不 可 抵 赖 防 病 毒 审 计 管 理 可 用 性

9、身份认证 子系统 加密 子系统 平安防御与 呼应子系统 平安备份与 恢复子系统 监控子系统 授权管理 子系统 图6-56 社会保险信息系统平安体系构造关系系统单元应包括物理环境平安、网络单元平安、业务系统平安、平安管理等。平安特性包括身份鉴别、访问控制、数据加密、数据完好性、不可抵赖、防病毒等平安效力。平安子系统包括加密、身份认证、授权管理、平安防御与呼应、平安检测与监控、平安备份与恢复等平安机制。五设计中参考的部分国家规范平安规范是保证信息系统互联、互通、互操作平安的根底，社会保险信息平安体系的设计，是以国家电子政务规范化为根底，严厉地遵照国家已有的平安规范，在没有国家规范的地方，参考了部分

10、行业和平安主管部门的规范，以及部分军用平安规范和其他相关的国际平安规范。参考的国家相关规范如下：GB 4943-1995 信息技术设备包括电气事务设备的平安GB 9254-88信息技术设备的无线电干扰极限值和丈量方法GB 9361-88计算机场地平安要求GB 2887-2000计算站场地通用规范GB 50173-93 电子计算机机房设计规范GB 17859-1999计算机信息系统平安维护等级划分准那么GB/T 15843.1-1999信息技术 平安技术 实体鉴别 第1部分：概述GB/T 9387.2-1995信息处置系统 开放系统互连根本参考模型 第2部分：平安体系构造ISO 7498-2-1

11、989GB/T 17143.7-1997 信息技术 开放系统互连 系统管理 第7部分：平安告警报告功能GB/T 17143.7-1997 信息技术 开放系统互连 系统管理 第8部分：平安审计跟踪功能GB/T 17900-1999网络代理效力器的平安技术要求GB/T 18018-1999路由器平安技术要求GB/T 18019-1999信息技术包过滤防火墙平安技术要求GB/T 18020-1999 信息技术 运用级防火墙平安技术要求GB/T 15278-1994信息处置 数据加密物理层互操作性要求ISO 9160:1988GB 15851-1995信息技术 平安技术带音讯恢复的数字签名方案ISO/

12、IEC9796:1991GB 15851-1995信息技术 平安技术用块密码算法作密码校验函数的数据完好性机制ISO/IEC9797:1994GB/T 15843.2-1997信息技术 平安技术 实体鉴别 第2部分：采用对称加密算法的机制GB/T 15843.3-1998信息技术 平安技术 实体鉴别 第3部分：用非对称签名技术的机制GB/T 15843.4-1999信息技术 平安技术 实体鉴别 第4部分：采用密码校验函数的机制GB/T 17902.1-1999信息技术 平安技术 带附录的数字签名 第1部分：概述GB/T 18238.1-2000信息技术 平安技术 散列函数 第1部分：概述GB/

13、T 17903.1-1999信息技术 平安技术 抗抵赖 第1部分 ：概述GB/T 17903.2-1999信息技术 平安技术 抗抵赖 第2部分 ：运用对称技术的机制GB/T 17903.3-1999信息技术 平安技术 抗抵赖 第3部分：运用非对称技术的机制GB/T 18237.1-2000信息技术 开放系统互连通用高层平安 第1部分：概述、模型和记法GB/T 18237.2-2000信息技术 开放系统互连通用高层平安 第2部分：平安交换效力元素(SESE)效力定义GB/T 18237.3-2000信息技术 开放系统互连通用高层平安 第3部分：平安交换效力元素(SESE)协议规范GB/T 148

14、14-1993信息处置文本和办公系统规范通用置标言语(SGML)GB/T 18231-2000信息技术 低层平安六系统平安需求分析在社会保险信息系统中，凡是遭到平安要挟的系统资源都要进展维护，受维护的资源包括物理资源、信息资源和效力资源等。根据网络系统和受维护资源的实践情况，统筹思索，从物理平安、网络平安、系统及运用平安、数据平安以及容灾备份系统的建立等方面分别对系统平安需求进展分析，以构成一套完好的平安战略。1物理平安需求分析物理平安是社会保险信息系统平安运转的前提，是平安系统的重要组成部分。物理平安涉及环境平安、设备平安、媒体平安三个部分，它们分别针对信息系统所在环境、所用设备、所载媒体进

15、展平安维护。1环境平安需求 机房的平安等级应符合GB936188的A类； 机房内部要按不同的平安要求和功能划分区域，如业务系统数据处置区、数据操作录入区、网络管理区、办公运用区，社会保证IC卡制卡区等； 根据任务需求确定用户可以进入相应的区域，不同的区域，实行不同的控制措施； 要有严厉的规章制度和技术手段如密码锁、监视器等限制人员进入非授权区域。2设备平安需求 重要设备必需设置平安防盗报警安装和监视系统，防止设备被盗、被毁； 重要设备，如效力器、中心交换机等，要有冗余热备份，并能快速在线恢复； 存放重要设备的机房发生电源缺点后，要能提供1个小时以上的后备电力供应； 重要设备要存放在能防止雷击等

16、自然灾祸破坏的机房中； 存放重要设备的机房要具有防电磁干扰、防计算机辐射走漏的设备。3媒体平安需求 保管重要数据的介质要有异地备份； 存放重要备份数据的介质要保管在符合GBJ4582中规定的一级耐火等级的房间，或存放在具备防火、防高温、防水、防震的容器中； 定期对备份介质进展检查，保证其可用性等； 介质库必需有专人管理，严厉控制人员的进出。2网络平安需求分析网络平安是社会保险信息系统平安运转的根底，保证系统平安运转的关键。网络系统的平安需求包括网络边境平安需求、入侵监测与实时监控需求、平安事件的呼应和处置需求分析。1网络边境平安需求 在具有不同平安级别的网络平安域边境配置平安设备和访问控制战略

17、，严厉控制不同平安域之间的访问行为；省市劳动保证部门的办公网和业务专网之间按照国家和地方政府电子政务内网的相关平安规范进展物理隔离，业务网络与Internet逻辑隔离； 防止非法的网络路由接入，阻止非法者窃听、窃取、篡改网络数据，防备经过远程访问非法接入； 可以对IP数据包进展过滤；2入侵监测与实时监控需求 可以定期自动地对网络平安进展扫描和风险评价，发现网络平安弱点和破绽； 可以监测和发现入侵行为，并对网络违规行为可以实时报警和呼应； 可以对系统中一切与平安有关事件进展跟踪审计； 入侵监测系统需求与防火墙联动，实现网络平安域的动态防护。3网络根底设备的可用性衔接中央、省、市三级业务专网广域主

18、干的网络根底设备需求进展高可用性配置，以保证业务信息的无中断可靠传输。3系统及运用平安需求分析系统及运用平安需求分析包括防病毒传播需求分析、操作系统平安需求、用户权限管理需求、访问控制平安需求、业务信息系统平安需求等构成。详细需求为：1防备病毒传播需求 系统必需能自动侦测并去除网络或其他输入设备软驱、光驱、挪动存储设备等的病毒； 病毒特征库和扫描引擎的更新可经过网络分布部署，可经过效力器自动分发客户端任务站防毒软件，简化安装过程； 系统必需可以在任务站引导区蒙受病毒破坏后协助 进展紧急恢复； 效力器防病毒系统必需能监控、查杀效力器本身的病毒，也能及时发现、处置网络上的病毒，及时去除邮件系统的病

19、毒；2操作系统平安需求 操作系统的平安等级要到达C2级； 可以经过对主体人、进程识别和对客体文件、设备标注，划分平安级别和范畴，实现由操作系统对主、客体之间的访问关系进展控制； 可以定期自动地对操作系统平安进展扫描和风险评价，发现系统平安弱点和破绽，并及时补救； 对于关键业务系统，应按照高可用性方案配置，系统具有冗余性和快速缺点恢复才干； 必需可以按照制定的平安审计方案进展审计处置，包括审计日志和对违规事件的处置； 3用户权限管理需求 可以为用户分配用户标识符UID，并保证用户的独一性； 支持用户的分级和分组管理机制； 可以设定用户访问权限的有效日期、有效时间段； 可以提供可靠的用户身份认证手

20、段，如密码等； 权限管理必需满足最小授权原那么，使每个用户和进程只具有完成其义务的最小权限。4访问控制需求 建立有效的用户身份认证机制，防备非法用户的非法访问和合法用户的非授权访问； 可以提供包括用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查等多道平安检查； 可以支持按照自主访问控制规那么对用户进展访问控制，即按照用户与被访问对象文件等的关系来决议能否允许访问； 可以支持运用强迫访问控制规那么对用户进展强迫访问控制检查，即根据该用户在多级平安模型中所具有的平安属性等级和范畴、本次访问操作所涉及的对象如文件在多级平安模型中的平安属性等级和范畴来确定这次访问能否被允许； 系统必需

21、可以防止用户经过被允许途径以外的其他访问途径，隐蔽地实现某些越权的非法访问； 系统必需可以将每一次访问记录在日志文件中，并提供分析和审计功能。5业务信息系统平安需求 业务经办社会保险信息系统网络主要支持社会保险经办业务，包括本地业务经办和异地业务经办，如根本养老保险、补充养老保险、根本医疗保险、补充医疗保险等本地经办业务信息的传送，异地领取养老金人员有关信息的传送，在职社会保险关系转移人员有关信息的传送，异地就医信息的传送等。这类业务传输的是个体性数据，且与个体利益直接相关，那么在平安需求方面，要求操作时必需核实操作者的有效身份和操作权限，网络必需确保流程严厉无破绽，且系统延续稳定，数据传输必

22、需确保信息准确、严密、且不可抵赖，在出现事故后可清查责任。 公共效力社会保险信息系统网络支持公共效力，除有关政策法规信息和参数类信息的发布外，还面向参保人员和参保单位等社会对象提供个体性数据的查询等效力。对于政策法规和缴费比例等公开性信息，无须在运用层做平安控制。对于个体性数据，如个人帐户信息等的查询，必需确认查询者具有合法身份，不完全强调查询者就是参保者本人，可以是参保者授权的其他人员。对于未来逐渐开展的异地网上业务办理，会要求核实个体的真实身份。 基金监管基金监管，主要为上级部门监管下级基金情况效力，要求既可以监管基金的总体数据，又可以监管某详细单位的数据，包括统计数据上传、按非常规需求进

23、展查询等方式。由于涉及基金问题，在数据传输方面必需确保信息的严密性、准确性，在详细查询操作时还必需核实操作者的有效身份和操作权限。 宏观决策社会保险信息系统网络上的宏观决策主要为上级部门提供决策支持效力，传送各种业务信息。这一过程将利用网络扫描方式实现，即经过下发有关操作指令实现统计、查询或抽样，并上传有关数据，详细包括三种方式。对于固定周期固定报表方式，指令先期下达，数据定期统计上传，不涉及个体性数据，那么只需确保信息的严密性、准确性，且在上传数据时满足操作权限要求。对于暂时构造统计报表并下发，以及原始数据抽样方式，指令为暂时下达，操作时那么要核实下达指令者的有效身份和操作权限，且不可抵赖；

24、其他平安需求同固定周期固定报表方式。另外，对于详细的个体性数据，不同的字段有不同的平安级别，应在数据库设计进展控制。表6-28 社会保险业务平安需求分析异地业务经办异地公共效力基金监管宏观决策政策信息个体信息查询和咨询异地网上业务办 理固定周期固定报 表暂时构造表、原始抽样身份认证操作权限流程严厉无破绽系统延续稳定信息准确信息严密不可抵赖 可清查责任4数据平安需求分析数据平安需求包括数据库平安需求、数据传输平安需求、数据存储平安需求等构成。1数据库管理系统平安需求 数据库管理系统本身的平安等级到达C2级； 可以经过对主体人、进程识别和对客体数据表、数据分片标注，划分平安级别和范畴，实现由系统对

25、主、客体之间的访问关系进展强迫性控制； 具有加强的口令运用方式限制，用户必需按规定的格式设置口令，才干进展注册； 可以按照最小授权原那么，对数据库管理员、软件开发人员、终端用户授予各自完本钱身义务所需的最小权限； 可以对于数据库平安有关的事件进展跟踪、记录、报警和处置，供有关人员进展分析；2数据传输的平安需求数据传输的平安需求包括对数据传输的性和完好性需求。 数据传输的性要求，需求对劳动保证业务专网传输的敏感性业务数据业务经办数据交换信息，异地领取养老金人员有关信息，在职社会保险关系转移人员有关信息，异地就医信息等性进展维护，支持WWW、FTP、SMTP、Telnet等TCP/IP的规范效力以

26、及社会保险网络特有的通讯业务； 根据传输完好性要求，维护网络传输IP数据包的不可篡改性。3数据存储的平安需求 社会保险信息系统主机的操作系统、运用软件要有存储在可靠介质的全备份，软件以及计算机和网络设备的配置和设置的全部参数也必需进展备份；与系统安装和恢复相关的软硬件、资料等必需放置在平安的地方； 社会保险业务系统的重要数据必需定期进展备份，备份的数据必需存储在可靠的介质中并与系统分开存放；而且要制定详尽的运用数据备份进展缺点恢复的预案，并进展预演； 对于需求严密的存储数据，应采取加密措施保证其性。5容灾备份平安需求为了保证社会保险关键业务系统本地社会保险经办业务、异地领取养老金，在职社会关系

27、转移，异地就医等以及其他业务效力的稳定性与延续性，需求建立异地容灾备份中心。当主中心发生灾难性事件时，由备份中心接纳一切的业务。备份中心要有足够带宽确保与主中心的数据同步，有足够的处置才干来接纳主中心的业务，要确保快速可靠与主中心的运用切换。同时需求在异地容灾备份中心配置数据备份系统对重要数据进展备份。6平安管理需求健全的平安管理体系是各种平安防备措施得以有效实施、网络系统平安实现和维系的保证，为此需求建立一套符合社会保险系统实践的平安管理体系。七系统平安战略社会保险信息系统平安战略包括物理平安战略、网络层平安战略、主机系统、运用系统和数据的平安战略以及系统容灾备份的平安战略。1物理平安战略物

28、理平安是维护计算机网络设备、设备以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。1物理平安的内容主要包括三个方面： 环境平安：对系统所在环境的平安维护，如区域维护和灾难维护； 设备平安：主要包括设备的防盗、防毁、防电磁信息辐射走漏、防止线路截获、抗电磁干扰及电源维护等； 媒体平安：包括媒体数据的平安及媒体本身的平安。2物理平安措施为保证社会保险信息系统的物理平安，在网络系统平安建立中可主要经过几个方面来实现： 机房环境和场地平安要求社会保险信息系统计算机机房的建立须符合国家平安严密等部门要求以及GB50174-93、GB9361-88等国家的

29、相关平安规范，机房场地与设备的平安管理满足机房场地选择、防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施等平安技术要求，保证设备的物理平安；机房的平安等级应符合GB9361-88的A类； 在主机房设备规划上，按运用系统的不同平安控制级别和不同功能进展区域划分。特别是运转有渉密性质的办公系统设备，社会保证IC卡密钥设备等须布置在独立的屏蔽机房环境中，以进展涉密信息传输和处置； 对划分的区域实行分区控制，根据任务需求确定能否进入相应的区域；采取门禁等平安措施，严厉控制进入各分区人员； 在机房内设置平安防盗报警安装和监视系统来实现防盗、防毁，保证设备的平安； 为防止因电网电压动

30、摇、干扰、断电等对系统的影响，根据实践情况在机房内配备断电后继续供电的UPS； 按照相关设计规范和技术要求，在机房设计和建立中做好静电防护设备、防雷安装和接地维护系统； 凡是渉密网络须符合国家平安严密等部门的有关要求，布线采用光纤和屏蔽双绞线；接入端须放置干扰器，以减少或干扰分散出去的空间信号，防止计算机辐射信息的走漏； 对于重要的数据要进展备份，备份数据的存放位置应符合GBJ45-82中规定的一级耐火等级，符合防火、防高温、防水、防震等要求；定期对备份数据进展检查，保证其可用性等； 制定严厉的机房和设备管理制度，以及信息拷贝、介质保管出入库与销毁的管理制度。2网络平安战略1网络边境平安战略社

31、会保险网络层平安的设计和建立采用硬件维护与软件维护、静态防护与动态防护相结合，由外向内多级防护的总体战略。根据运用系统目的和平安需求，网络系统划分为六个层次上的不同平安区域，如图6-57所示。详细是：中心层办公网、社会保证IC卡密钥运用区，平安层社会保险运用区、宏观决策支持运用区、网络根底效力区、平安运用支持效力区、其他劳动保证运用区等，根本平安层劳动保证系统内部资源区、相关单位资源区，可信任层劳动保证业务专网：政府信息网络平台/公共通讯网络，非平安层公共信息效力运用区，危险层公共Internet，相关单位网络。各层平安性逐层递减。社会保险信息系统各平安域中的平安需求和平安级别不同，网络层的平

32、安主要是在各平安域间建立有效的平安控制措施，使网间的访问具有可控性。 处于中心层的办公运用局域网和社会保证IC卡密钥区应与其他网络物理隔离隔离。假设采用物理隔离，中心层网络和其他网络的信息交换，须采用人工方式实现，并且一切操作按照严厉的严密制度要求进展； 处于平安层的劳动保证业务局域网中运转着多种即相联络，又相独立的运用系统：社会保险运用，其他劳动保证和宏观决策支持运用，综合运用等。对于平安层的网络，平安主要局域网内部，在局域网中可经过划分虚拟子网对各平安域间、用户和平安域间实施平安隔离，提供子网间的访问控制才干。子网的划分按照业务系统类别、部门级别、用户权限等要素来进展，并以最大子网平安隔离

33、来设置子网间的访问控制；可结合基于交换机端口的VLAN技术和基于节点MAC地址的VLAN技术，实现局域网平安控制和隔离； 处于根本平安层的劳动保证系统内部资源区、对相关单位资源区、和非平安层的公共信息效力运用区，作为内网和外网进展资源共享、数据交换和信息效力的平安隔离带，在网络的互连边境上利用公用网络平安设备如防火墙建立平安防护，或在边境路由设备上进展访问控制ACL等平安战略的配置，以有效地控制外界用户和局域网的信息交换；关于ACL的配置，在对外边境路由器上设置粗略的访问控制过滤规那么，构成内部网络的第一道防护线，在内部网上运用过滤规那么，构成系统之间的访问控制和逻辑隔离。为了不影响网络的运转

34、效率，不在边境路由器、中心三层交换机上配置过多的ACL。细致的控制在公用网络平安设备如防火墙中实现；平安隔离带作为联络内外网的环节，易遭到外界系统的攻击，在各网段上配备网络平安分析、入侵监测及网络监控系统，以监视网络上的通讯数据流，捕捉可疑的网络活动，进展实时呼应和报警，并实现和公用网络平安设备如防火墙的联动，同时提供详尽的网络平安审计分析报告； 在处于信任层的政府信息网络平台/公共通讯网络上进展数据传输时不思索链路层的加密方式，对于省市纵向业务专网和城域网上传输的业务数据如本地业务经办、异地业务经办、异地领取养老金人员有关信息、在职社会保险关系转移人员有关信息、异地就医信息等可采用数据层加密

35、方式，实现关键敏感性信息在广域网通讯信道上的平安传输。2网络根底设备的可用性战略对于数据中心局域网、省市纵向业务专网和本地城域网的网络根底如局域网主干交换机、广域网路由器、广域网线路、网络边境平安设备如防火墙等思索采用冗余设计，以保证业务信息的可靠传输。网络根底设备部分已在网络系统设计中思索。插图6-57 网络层平安域构造图3系统及运用层平安战略1操作系统平安社会保险信息系统的主机选择平安可靠的操作系统，绝大部分主机运转Windows NT操作系统，一些关键性业务系统主机运转UNIX系统。用“最小适用性原那么配置系统以提高系统平安性，并及时安装各种系统平安补丁程序。严厉制定操作系统的管理制度，

36、定期检查系统配置。利用系统破绽扫描软件对关键业务效力器系统如社会保险管理系统及决策支持系统、公共的WWW效力器、邮件效力器、代理效力器、网管系统效力器等进展定期的平安扫描分析，及时提供网络系统平安情况评价分析报告，并根据分析结果合理制定或调整系统平安战略，以保证这些设备的平安隐患降至最低。在系统中建立基于用户的访问控制机制，监视与记录每个用户操作如经过登录过程。用户需独立标识，监视的数据应予以维护，防止越权访问。2运用系统平安运用层平安是建立在网络层平安根底之上，主要是对资源的有效性进展控制，管理和控制什么用户对信息资源和效力资源具有什么权限。其平安性战略包括用户和效力器间的双向身份认证、信息

37、和效力资源的访问控制和访问资源的加密，并经过审计和记录机制，确保效力恳求和资源访问的防抵赖。对于外部运用，如WWW信息发布等公共效力运用、电子邮件等，其平安需求是在信息共享的同时，保证信息资源的合法访问及通讯严密性，因此必需严厉按照用户的身份控制对个人性数据的访问。基于劳动保证PKI系统，采用数字证书等方式建立运用层的数据加密，保证数据严密性和完好性。对于WWW站点，需求配置页面侦测和自动修复系统，以提高站点的抗破坏才干。对于内部运用，如办公及其他关键性业务系统的平安，对身份认证和访问控制有更高的要求，访问控制的控制粒度更细，在运用程序和数据库系统中都应有严厉的访问控制机制。3防病毒系统战略计

38、算机病毒是一段可以自我复制，自行传播的程序。病毒运转后可以损坏文件、使系统瘫痪，从而呵斥各种难以预料的后果。在网络环境下，计算机病毒具有不可估量的要挟性和破坏力，因此计算机病毒的防备也是网络平安建立的重要环节。社会保险信息系统运转环境复杂，网上用户数多，同Internet有衔接等要素，能够会遭到于多方面的病毒要挟，在办公网和业务专网上建立多层次的病毒防卫体系，包括桌面客户端、效力器、邮件系统、Internet网关上实施防病毒系统的部署，配置病毒扫描引擎和病毒特征库数据的自动更新方式，实现对网络病毒的预防、侦测、消毒和预警，以防止病毒对系统和关键文档数据的破坏。4数据和系统备份战略平安可靠的网络

39、数据备份系统不仅在网络系统硬件缺点或人为失误时起维护作用，也在入侵者非法授权访问或对网络攻击及破坏数据完好性时起到维护作用，同时也是系统灾难恢复的前提。因此在网络系统中建立平安可靠的网络数据备份系统是保证网络系统数据平安和网络可靠运转的必要手段。网络系统的数据备份涉及两种类型的备份内容：网络系统中关键运用系统及运转的操作系统的备份；网络系统中数据的备份。对于前者的备份恢复，由于运用系统稳定性较高，可采用一次性的全备份，以防止当系统遭到任何程度的破坏，都可以方便快速地将原来的系统恢复出来。对于后者的备份，由于数据的不稳定性，可分别采用定期全备份、差分备份、按需备份和增量备份的战略，来保证数据的平

40、安。在数据中心网络系统中配置数据备份系统，以实现本地关键系统和重要数据的备份。4缺点恢复和容灾备份战略除配置数据备份系统，实现本地关键系统和重要数据的备份外，为保证社会保险关键业务系统本地社会保险业务经办、异地领取养老金，在职社会关系转移，异地就医等以及其他业务效力的稳定性与延续性，阐明：思索在本地地理位置相异的其他劳动保证机构或协作单位数据中心机房建立同城异地容灾备份中心。利用容灾恢复软件和设备经过网络实现异地系统和数据的备份及部分效力的冗余。当主中心发生灾难性事件时，由备份中心接纳部分关键性业务。八根底平安防护系统建立根底平安防护系统的建立包括有防火墙、入侵检测、破绽扫描、平安审计、病毒防

41、治等。金保工程业务专网省市数据中心根底平安防护系统的部署方案如图658所示。1防火墙在省、市业务专网的各网络节点的出入口处和局域网内部不同平安域之间布置防火墙设备。详细地，Internet到公共信息效力运用区之间、业务相关单位到相关单位资源区的网络边境、省市网络到劳动保证系统内部资源区的网络边境、各资源区和各业务运用区间、消费库数据区和其他业务运用区间、平安运用支撑效力区与内部业务网间部署防火墙，实现不同平安域之间的逻辑隔离、访问控制及审计。对于省市纵向业务专网采用主备线路和路由器的冗余设计的，在边境防火墙配置上也相应地采用主备方式。防火墙主要利用IP和TCP包的头信息对进出被维护网络的IP包

42、信息进展过滤，根据在其上配置的平安战略来控制允许、回绝、监测出入网络的信息流。同时实现网络地址转换NAT、审计和实时报警功能。经过防火墙的包过滤，实现基于地址的粗粒度访问控制，经过口令认证对用户身份进展鉴别，实现基于用户的细粒度的访问控制。1防火墙任务方式防火墙主要任务在交换和路由两种方式下： 对于交换方式：3个接口构成一个以太网交换机，本身没有IP地址，在IP层透明。可以将恣意三个物理网络衔接起来构成一个互通的物理网络。 路由方式：防火墙本身构成3个网络间的路由器，3个接口分别具有不同的IP地址。三个网络中的主机经过该路由进展通讯。插图6-58 劳动保证省市数据中心业务专网根底平安防护系统构

43、造图因此就防火墙系统的配置而言，可以根据实践的网络情况和实践的平安需求来配置任务方式。当防火墙任务在交换方式时，内网、DMZ区和路由器的内部端口构成一个一致的交换式物理子网，内网和DMZ区还可以有本人的第二级路由器，这种方式不需求改动原有的网络拓扑构造和各主机和设备的网络设置；当防火墙任务在路由方式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都可以运用保管地址，内网用户经过地址转换访问Internet。内部网、DMZ区经过反向地址转换对Internet提供效力。如对于Internet到公共信息效力运用区之间和省市广域网网络边境的防火墙配

44、置成路由方式。2防火墙主要功能 支持交换方式下和路由方式下的运用层过滤。在交换方式下和路由方式下均可以对运用级协议进展细度的控制，支持通配符过滤。 对HTTP协议可以进展命令级控制及URL、关键字过滤，并过滤Java Applet、ActiveX等小程序。 对FTP协议可以进展命令级控制，并可以控制所存取的目录及文件。 对SMTP协议支持基于邮件地址、内容关键字、主题的过滤，并可以设定允许Relay的邮件域。 支持不同子网间的视频、语音运用，其他平安战略不受影响。 具有实时在线的网络数据监控功能，实时监控网络数据包的形状，网络上流量的动态变化，并对非法的数据包进展阻断。 具有网络嗅探的功能，实

45、时抓取网络上的数据包，并进展解码和分析。 具有自动搜集与防火墙相连子网中主机信息的功能，搜集的信息包括IP地址、MAC地址等，以减轻管理员的任务负担。 在防火墙设备的根底上，具有平滑的VPN扩展功能，VPN采用国家密码管理部门同意运用的硬件加密和认证算法。 具备与IDS设备联动才干。 2入侵监测系统入侵监测系统基于网络和系统的实时平安监控，运转于敏感数据需求维护的网络上，对内部和外部的非法入侵行为做到及时呼应、告警和记录日志，可弥补防火墙的缺乏。入侵监测系统经过实时监听网络数据流，识别、记录入侵和破坏性代码流，寻觅网络违规方式和未授权的网络访问尝试。当发现网络违规方式和未授权的网络访问尝试时，

46、网络信息平安检测系统预警系统可以根据系统平安战略作出反响。入侵监测报警日志的功能时经过对一切对网络系统有能够呵斥危害的数据流进展报警和呼应，作为遭到网络攻击的主要证据。入侵监测系统主要安装在易遭到攻击的效力器或防火墙附近，对于数据中心局域网络，在防火墙和内部网主干交换机附近部署入侵监测系统，以检测关键部位的数据流，防备非法访问行为，对非法网络行为的审计、监控及平安监控，并实现与防火墙的联动进展动态防护。即在业务专网的各网络边境的防火墙内如Internet到公共信息效力运用区的边境防火墙、业务相关单位到相关单位资源区的边境防火墙、上、下级网络节点到劳动保证系统内部资源区的边境防火墙，Intern

47、et到公共信息效力运用区的边境防火墙外，以及内部业务局域网主干交换机重要效力器网段的监控端口部署入侵监测系统，以监控网络出入口和重要效力器进展访问的数据流，并对攻击行为作出呼应。入侵监测系统由控制中心和探测引擎网络、主机组成，控制中心作为入侵监测系统的管理和配置工具，可以编辑、修正和分发各网络探测引擎、子控制中心的战略定义，给各探测引擎晋级特征库，同时接纳一切探测引擎的实时报警信息。控制中心和各探测引擎间的信息交换经过加密方式进展。入侵监测系统主要功能要求如下：1具有强大的攻击检测才干。能检测1500种以上的攻击种类。检测引擎和攻击特征库及时晋级和更新。2软件的部署应有一定的灵敏性，采用分布式

48、的体系构造，监测节点和管理控制站可分立配置；3监测系统的部署对原有网络和系统环境为完全透明方式，对网络数据包的监控，应采用包拷贝方式，对网络数据包的传输不能呵斥延迟；监测节点和管理控制站的通讯应采用另外通道，不占用监测网络的通讯带宽；4提供完好的运用协议内容恢复功能。支持常用协议如HTTP、 FTP、SMTP、POP3、TELNET等通讯过程、内容的恢复与回放。并允许用户自定义协议。同时要做到个人隐私和平安的兼顾，根据不同的权限控制内容恢复的程度。5可以检测有害的内容，例如：反动信息、暴力信息等。6具有实时在线的网络数据监控功能，实时监控网络数据包的形状及网络流量的动态变化，并对非法的数据包进

49、展阻断。7具备自动探测机制，可以自动探测网络上存在平安隐患和风险。8自带数据库，不需第三方数据源。运用数据库存储攻击和入侵信息以便随时检索，自动维护和并提供详细的攻击与入侵资料，包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与处理方法。9具备完善的日志记录和运用审计功能，提供灵敏的自定义审计规那么。10提供灵敏方便的报表、图形方式的统计分析功能，实时显示分析结果。3破绽扫描系统破绽扫描系统是一种系统平安评价技术，可以测试和评价系统的平安性，并及时发现平安破绽。详细包括网络模拟攻击、破绽检测、报告效力进程，以及评测风险，提供平安建议和改良措施等功能。在数据中心局域网

50、安装一套网络平安破绽扫描系统，定期或不定期对一些关键设备和系统网络、操作系统、主干交换机、路由器、重要效力器、防火墙和运用程序进展破绽扫描，对这些设备的平安情况进展评价，发现并报告系统存在的弱点和破绽，评价平安风险，建议补救措施。主要功能要求：1提供基于网络的自动平安破绽检测和分析，扫描工程应覆盖：网络层、运用层和各种网络效力；2扫描对象：基于TCP/IP的一切IP设备和效力，包括：路由器、NT效力器、UNIX效力器、防火墙等；3具有较强破绽扫描才干，破绽特征库丰富，可识别和检测的破绽数应不小于1000种，同时应有较强的扫描分析才干；网络扫描系统应能对以下几方面提供破绽发现：检测网络系统的的效

51、力进程检测软件的版本和补丁包，缺省配置等方面的问题检测NT效力器的配置破绽检测eb效力器的文件和程序方面的破绽如IIS、CGI脚本和HTTP检测规范的网络端口和效力检测网络效力的破绽，包括：SMTP，FTP，SNMP，Proxy，DNS，WWW，RPC等检测远程访问的平安破绽检测NT用户、用户组方面的破绽，如弱的口令设置检测NetBIOS共享的破绽4按扫描强度的不同来定义，如：重度扫描、中度扫描、轻度扫描和自定义强度扫描等，以满足网络平安的不同扫描需求；5网络扫描的执行不应对扫描对象的系统产生影响，如重度扫描对系统的影响也应是可恢复性的；6具有灵敏的扫描战略的定制才干，可按照特定的时间、扫描对

52、象的范围、扫描的不同破绽分类来配置扫描需求；支持自动扫描；7网络扫描系统具有生成被扫描网络环境平安弱点和破绽的分析报告的才干；报告应包括扫描破绽清单，详尽的破绽描画和补救方法，各种类型破绽的统计图表；报告应是中文描画，内容详细，可操作性强，报告应有多种表现方式而且易于了解，如HTML等，每个报告都应提供修正破绽的详细的操作步骤或平安补丁供应商的超级链接；8网络扫描系统应具有较低的误报率；系统应具有频繁误报事件的屏蔽才干；9软件的扫描任务对网络的数据包传输不能呵斥明显延迟；10基于国际CVE规范建立的平安破绽库，并经过网络晋级可以与国际最新规范同步。4防病毒系统为了防止病毒在内部网络传播，防止病

53、毒对内部的重要信息和网络呵斥破坏，并定位感染的来源与类型，在网络中部署病毒防护系统，采用网络集中防病毒和分散防病毒两种方式。详细配置为：在网络中的效力器中安装文件及运用效力器防病毒组件，在邮件效力器上安装群件系统防病毒组件，在代理效力器上安装Internet网关防病毒组件，在网络中的一切桌面客户机上安装桌面防病毒组件，安装扫描引擎和病毒特征库更新效力器，担任全网防病毒系统的扫描引擎和病毒特征库的及时晋级更新，安装防病毒管理控制中心，担任对防病毒系统进展一致管理。对于单机用户或挪动终端用户，辅以单机防病毒软件。在防病毒系统的部署时，集中对病毒软件库中的防病毒软件组件进展配置，经过配置可以简化客户

54、端的管理和提高运转效率，并使全网的防病毒战略坚持一致。配置内容包括：客户端防病毒软件的缺省安装方式和参数；防病毒软件的运转参数；扫描方式定制；缺省扫描范围确定；碰到病毒后的处置等； 定时晋级和更新设置。经过对网络中的病毒扫描集中控制，建立各种定时义务，一致集中触发，然后由各被管理机器运转，同时可对日志文件的各种格式进展控制。在管理效力器上建立了集中的病毒分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告，一切病毒扫描形状信息都可由控制台得到。防病毒产品技术要求如下：1支持多种平台的病毒防备，包括UNIX系列、Windows系列、Linux系列。2支持对Internet/Intranet

55、效力器的病毒防治，可以阻止恶意的Java或Active X小程序的破坏；3支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒；4支持多的病毒处置选项，如对染毒文件进展实时杀毒、移出、删除、重新命名等；5提供对病毒特征信息和检测引擎的定期在线更新效力；6提供集中式网络防病毒管理5平安审计在利用防火墙、IDS等平安产品本身的审计功能，以及操作系统的审计功能的同时，在网络系统中配置跨平台的综合审计系统，实现对网络系统的全方位集中平安审计。支持基于PKI的运用审计，能在有战略配置的指点下实时或定时采集各信息系统产生的数据，并进展有效的转换和整合，以满足系统平安管理员的平安数据发掘需求。支

56、持基于XML的审计数据采集协议。提供灵敏的自定义审计规那么。平安审计系统的功能要求：1可以从多种效力器UNIX、Windows 2000、Linux自动搜集系统事件，并将这些事件保管在中心数据库。2具有完好的网络日志功能，详细记录每个用户的网络访问行为。3全面的操作系统日志功能。可将用户对操作系统的访问记录下来。包括用户操作的时间、用户名、操作的结果以及称号和途径。4日志快速查询。查询系统主要运用于对已记录的操作系统和网络系统的审计日志文件进展分析查询，根据查询条件可以方便快速地得到相关记录的结果。5支持分布式的数据审计与预警。6完善的自维护才干 。平安审计模块具有自维护功能，防止用户对审计文

57、件和系统的非法修正，保证审计系统和平安日志文件的完好性。7智能分析功能。平安审计模块可以根据操作系统和网络的实践情况，智能地对一些能够的平安隐患向管理员提出警告，协助 系统管理员对系统的平安管理。九CA认证中心系统建立1总体描画劳动保证平安运用支撑平台以密码效力为根底，以数字证书技术为中心，为劳动和社会保证业务专网上的各项业务系统和公共效力系统等提供信任、授权及运用支撑效力。作为平安运用支撑平台重要组成部分的证书效力系统是建立重点。劳动和社会保证信任效力体系采用树状构造，以劳动保证部为枢纽，建立劳动和社会保证数字证书战略和管理中心以及根CA中心，并作为劳动和社会保证信任效力体系最高管理机构和信

58、任源点。劳动保证部担任一致规划信任效力体系的密码体制，担任建立基于劳动和社会保证全系统一致的密码管理系统和信任效力体系根系统，建立劳动和社会保证行业证书认证系统，担任与劳动保证部门业务相关联的业务系统平安认证与授权管理。省市将按照劳动和社会保证部的技术规范，以劳动和社会保证部的根系统为依托，建立相应的证书效力系统。省市劳动保证证书效力系统，原那么上不建立本人的CA中心，直接运用劳动和社会保证部CA中心来消费证书，只需求建立RA中心及分布式的证书查询验证效力系统LDAP效力器和OCSP效力器即可。(阐明：对于业务量大、有条件的省或直辖市可根据本人的实践情况，以劳动和社会保证根CA中心为根建立二级

59、CA中心，为本省市的劳动保证业务系统效力。其部署构造如图6-59所示)劳动保证证书效力系统采用双证书签名证书和加密证书、双中心证书认证中心和密钥管理中心机制。2实施战略和体系构造证书效力系统是平安支撑平台信任效力系统的中心部件，采用“集中式消费、分布式效力方式，即证书恳求、审核分别在劳动和社会保证部、省级劳动和社会保证厅、地市劳动和社会保证局三级证书审核注册机构执行，证书的消费签发、发布、管理、撤销等集中在劳动和社会保证部、省劳动和社会保证厅两级证书认证中心执行，证书认证由分布在各地的证书查询验证效力系统完成。插图6-59 二级CA认证中心部署构造图劳动和社会保证证书效力系统体系构造如图660

60、所示：根CARA省厅RA省厅CA省厅RA市局RAKMCKMC劳动保证部省厅省厅市局国家电子政务内网CA劳动保证部RA政务内网国家电子政务外网CA政务外网图6-60 劳动和社会保证证书效力系统体系构造图3二级系统建立在劳动和社会保证信任效力体系中，省市证书效力系统属于二级系统，包括二级证书认证CA中心和省市级证书审核注册机构RA，证书查询验证效力系统、密钥管理系统、密码效力系统、可信授权效力系统。详细的建立内容为：1二级证书认证中心CA二级证书认证中心CA担任给所属用户发放和管理支持各种运用的数字证书，提供证书的查询验证，并担任将上级CA的信誉经过向大量最终用户发证纵向分散。二级CA的性能目的、