核心二板人社系统信息化建设安全设计方案

五、系统安全设计..........................................................245

（-）系统安全建设目的..............................................245

（二）系统安全建设内容..............................................245

（三）系统安全设计原则..............................................246

（四）系统安全体系结构..............................................247

（五）设计中参考的部分国家标准.......................................245

（六）系统安全需求分析..............................................248

（七）系统安全策略...................................................256

（八）基础安全防护系统建设...........................................247

（九）CA认证中心系统建设............................................252

（+）容灾备份中心系统建设..........................................264

（十一）安全管理体系建设.............................................251

五、系统安全设计

在信息系统的建设过程中，计算机系统安全建设是一个必不可少的环节。社会保险信息

系统不仅是一个涉及多地X、多部门、多业务、多应用的信息系统，并且其安全性涉及到每

个公民的切身利益。社会保险系统中存有社会保险各项业务的关键数据和各单位敏感信息,

影响着政府的管理决策和形象，存在着社会政治经济风险，其安全设计至关重要。社会保险

信息系统网络参照国家涉密网络的安全设计规定进行设计。

社会保险信息系统的安全设计，一方面是针对系统所面临的来自网络内部和外部的各

种安全风险进行分析，特别是对需要保护的各类信息及可承受的最大风险限度的分析，制

定与各类信息（系统）安全需求相应的安全目的和安全黄略，建立起涉及“风险分析、安全

需求分析、安全策略制定和实行、风险评估、事件监测和及时响应”的可适应安全模型，并

作为系统配置、管理和应用的基本安全框架，以形成符合社会保险信息系统合理、完善的信

息安全体系。并在形成的安全体系结构的基础上，将信息安全机制（访问控制技术、密码技

术和鉴别技术等）支撑的各种安全服务（机密性、完整性、可用性、可审计性和抗抵赖性等）

功能，合理地作用在社会保险信息系统的各个安全需求分布点上，最终达成使风险值稳定、

收敛且实现安全与风险的适度平衡。

（-）系统安全建设目的

针对社会保险信息系统的特点，在现有安全设施的基础上，根据国家有关信息网络安

全系统建设法律法规和标准规范以及系统对安全性设计的具体规定，并结合当前信息安全

技术的发展水平，针对也许存在的安全漏洞和安全需求，在不同层次上提出安全级别规定，

制定相应的安全策略，设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体

系，采用合理、先进的技术实行安全工程，加强安全管理，保证社会保险信息系统的安全

性。建设一个具有可操作性、高性能、高可用性、高安全性的安全体系是总的建设目的。

(-)系统安全建设内容

1.建立完整的安全防护体系，全方位、多层次的实现社会保险信息系统的安全保障。

2.实现多级的安全访问控制功能。对网络中的主机及服务进行基于地址的粗粒度访问

控制和基于用户及文献的细粒度访问控制。

3.实现对重要信息的传输加密保护，防止信息在网络传输中被窃取和破坏。

4.建立安全检测监控系统。通过在系统中配备实时监控及入侵检测系统，加强对重要

网段和关键服务器的保护：为不断提高系统安全强度、强化安全管理提供有效的技术手段。

5.建立全方位病毒防范体系。采用网络防病毒系统，并与单机防病毒软件相结合，构

建一套完整的防病毒体系，

6.建立重要应用系统数据的备份机制，并实现关键主机系统的冗余及备份和劫难恢

复。

7.建立服务于劳动保障系统的数字证书认证服务基础设施。运用数字证书系统实现重

要数据的加密传输，身份认证等。

8.建立有效的安全管理机制和组织体系，制定实用的安全管理制度，安全管理培训制

度化，保证系统安全措施的执行。

(三)系统安全设计原则

1.对的解决保密、安全与开放之间的关系：

2.安全技术与安全管理结合;

3.分析系统安全的风险，构造系统安全模型，从保护、检测、响应、恢复四个方面建

立一套全方位的立体信息保障体系；

4.遵循系统安全性与可用性相容原则，并具有合用性和可扩展性。

（四）系统安全体系结构

1.系统安全层次与结构

社会保险信息系统是以开放的层次化的网络系统作为支撑平台，为使各种信息安全

技术功能合理地作用在网络系统的各个层次上，从技术和管理上保证安全策略得以完整

准确地实现，安全需求得以满足，拟定社会保险信息系统的安全层次划分和体系结构如

下图所示：

插图6-55网络系统安全层次结构图

2.系统安全体系框架

社会保险信息安全体系是一个三维立体结构，涉及系统单元、安全特性、安全子系统

三个要素。其结构关系如图6-56所示。

数

身

访

数

不

审

可

防

据

用

计

据

份

问

病

可

完

性

管

毒

保

鉴

控

抵

整

理

密

别

制

赖

姓

图6-56社会保险信息系统安全体系结构关系

系统单元应涉及物理环境安全、网络单元安全、业务系统安全、安全管理等。

安全特性涉及身份鉴别、访问控制、数据加密、数据完整性、不可抵赖、防病毒等安全

服务。

安全子系统涉及加密、身份认证、授权管理、安全防御与响应、安全检测与监控、安全

备份与恢复等安全机制。

（五）设计中参考的部分国家标准

安全标准是保证信息系统互联、互通、互操作安全的基础，社会保险信息安全体系的设

计，是以国家电了•政务标准化为基础，严格地遵循国家已有的安全标准，在没有国家标准

的地方，参考了部分行.业和安全主管部门的标准，以及部分军用安全标准和其他相关的国

际安全标准。

参考的国家相关标准如下：

GB4943-1995信息技术设备(涉及电气事务设备)的安全

GB9254-88信息技术设备的无线电干扰极限值和测量方法

GB9361-88计算机场地安全规定

GB2887-2023计算站场地通用规范

GB50173-93电子计算机机房设计规范

GB17859-1999计算机信息系统安全保护等级划分准则

GB/T15843.1T999信息技术安全技术实体鉴别第1部分：概述

GB/T9387.2-1995信息解决系统开放系统互连基本参考模型第2部分：安全体

系结构(ISO7498-2-1989)

GB/T17143.7-1997信息技术开放系统互连系统管理第7部分：安全告警报告功能

GB/T17143.7-1997信息技术开放系统互连系统管理第8部分：安全审计跟踪功能

GB/T17900-1999网络代理服务器的安全技术规定

GB/T18018-1999路由器安全技术规定

GB/T18019-1999信息技术包过滤防火墙安全技术规定

GB/T18020-1999信息技术应用级防火墙安全技术规定

GB/T15278-1994信息解决数据加密物理层互操作性规定(ISO9160:1988)

GB15851-1995信息技术安全技术带消息恢复的数字署名方案

(iS0/IEC9796:1991)

GB15851-1995信息技术安全技术用块密码算法作密码校验函数的数据完整性

机制(IS0/IEC9797:1994)

GB/T15843.2-1997信息技术安全技术实体鉴别第2部分：采用对称加密算法的

机制

GB/T15843.3-1998信息技术安全技术实体鉴别第3部分：用非对称著名技术的

机制

GB/T15843.4-1999信息技术安全技术实体鉴别笫4部分：采用密码校验函数的

机制

GB/T17902.1-1999信息技术安全技术带附录的数字署名第1部分：概述

GB/T18238.1-2023信息技术安全技术散列函数第1部分：概述

GB/T17903.1-1999信息技术安全技术抗抵赖第1部分：概述

GB/T17903.2-1999信息技术安全技术抗抵赖第2部分：使用对称技术的机制

GB/T17903.3-1999信息技术安全技术抗抵赖第3部分：使用非对称技术的机制

GB/T18237.1-2023信息技术开放系统互连通用高层安全第1部分：概述、模型和

记法

GB/T18237.2-2023信息技术开放系统互连通用高层安全第2部分：安全互换服

务元素(SESE)服务定义

GB/T18237.3-2023信息技术开放系统互连通用高层安全第3部分：安全互换服

务元素（SESE）协议规范

GB/T14814-1993信息解决文本和办公系统标准通用置标语言（SGML）

GB/T18231-2023信息技术低层安全

（六）系统安全需求分析

在社会保险信息系统中，凡是受到安全威胁的系统资源都要进行保护，受保护的资源

涉及物理资源、信息资源和服务资源等。根据网络系统和受保护资源的实际情况，统筹考

虑，从物理安全、网络安全、系统及应用安全、数据安全以及容灾备份系统的建设等方面

分别对系统安全需求进行分析，以形成一套完整的安全策略。

1.物理安全需求分析

物理安全是社会保险信息系统安全运营的前提，是安全系统的重要组成部分。物理安全

涉及环境安全、设备安全、媒体安全三个部分，它们分别针对信息系统所在环境、所用设备、

所载媒体进行安全保护。

（1）环境安全需求

①机房的安全等级应符合GB9361-88的A类；

②机房内部要按不同的安全规定和功能划分区域，如业务系统数据解决区、数据操作

录入区、网络管理区、办公应用区，社会保障IC卡制卡区）等；

③根据工作需要拟定用户可以进入相应的区域，不同的区域，实行不同的控制措施；

④要有严格的规章制度和技术手段（如密码锁、监视器等）限制人员进入非授权区域。

（2）设备安全需求

①重要设备必须设立安全防盗报警装置和监视系统，防止设备被盗、被毁:

②重要设备，如服务器、核心互换机等，要有冗余热备份，并能快速在线恢复;

③存放重要设备的机房发生电源故障后，要能提供1个小时以上的后备电力供应；

④重要设备要存放在能防止雷击等自然灾害破坏的机房中；

⑤存放重要设备的机房要具有防电磁干扰、防计算机辐射泄漏的设施。

（3）媒体安全需求

①保存重要数据的介质要有异地备份；

②存放重要备份数据的介质要保存在符合GBJ45-82中规定的一级耐火等级的房间，

或存放在具有防火，防高温，防水，防震的容器中；

③定期对备份介质进行检查，保证其可用性等；

④介质库必须有专人管理，严格控制人员的进出。

2.网络安全需求分析

网络安全是社会保险信息系统安全运营的基础，保证系统安全运营的关键。网络系统的

安全需求涉及网络边界安全需求、入侵监测与实时监控需求、安全事件的响应和解决需求分

析。

（1）网络边界安全需求

①在具有不同安全级别的网络安全域边界配置安全设备和访问控制策略，严格控制不

同安全域之间的访问行为;省市劳动保障部门的办公网和业务专网之间按照国家和地方政府

电子政务内网的相关安全标准进行物理隔离，业务网络与Internet逻辑隔离；

②防止非法的网络路由接入，阻止非法者窃听、窃取、篡改网络数据•，防范通过远程

访问非法接入:

③可以对IP数据包进行过滤;

(2)入侵监测与实时监控需求

①可以定期自动地对网络安全进行扫描和风险评估，发现网络安全弱点和漏洞；

②可以监测和发现入侵行为，并对网络违规行为可以实时报警和响应；

③可以对系统中所有与安全有关事件进行跟踪审计；

④入侵监测系统需要与防火墙联动，实现网络安全域的动态防护。

(3)网络基础设施的可用性

连接中央、省、市三级业务专网广域主干的网络基础设施需要进行高可用性配置，以

保证业务信息的无中断可靠传输。

3.系统及应用安全需求分析

系统及应用安全需求分析涉及防病毒传播需求分析，操作系统安全需求、用户权限管理

需求、访问控制安全需求、业务信息系统安全需求等构成。具体需求为：

(1)防范病毒传播需求

①系统必须能自动侦测并清除来自网络或其他输入设备(软驱、光驱、移动存储设备

等)的病毒；

②病毒特性库和扫描引擎的更新可通过网络分布部署，可通过服务器自动分发客户端

工作站防毒软件，简化安装过程；

③系统必须可以在工作站引导区遭受病毒破坏后茯助进行紧急恢复；

④服务器防病毒系统必须能监控、查杀服务器自身的病毒，也能及时发现、解决来自

网络上的病毒，及时清除邮件系统的病毒;

（2）操作系统安全需求

①操作系统的安全等级要达成C2级；

②可以通过对主体［人、进程）辨认和对客体（文献、设备）标注，划分安全级别和

范畴，实现由操作系统对主、客体之间的访问关系进行控制；

③可以定期自动地对操作系统安全进行扫描和风险评估，发现系统安全弱点和漏洞，

并及时补救；

④对于关键业务系统，应按照高可用性方案配置，系统具有冗余性和快速故隙恢复能

力；

⑤必须可以按照制定的安全审计计划进行审计解决，涉及审计日记和对违规事件的解

决；

（3）用户权限管理需求

①可认为用户分派用户标记符U1I）,并保证用户的唯一性；

②支持用户的分级和分组管理机制；

③可以设定用户访问权限的有效日期、有效时间段；

④可以提供可靠的用户身份认证手段，如密码等；

⑤权限管理必须满足最小授权原则，使每个用户和进程只具有完毕其任务的最小权

限。

（4）访问控制需求

①建立有效的用户身份认证机制，防范来自非法用户的非法访问和合法用户的非授权

访问；

②可以提供涉及用户名的辨认与验证、用户口令的辨认与验证、用户帐号的缺省限制

检查等多道安全检查；

③可以支持按照自主访问控制规则对用户进行访问控制，即按照用户与被访问对象

（文献等）的关系来决定是否允许访问；

④可以支持使用强制访问控制规则对用户进行强制访问控制检查，即根据该用户在多

级安全模型中所具有的安全属性（等级和范畴）、本次访问操作所涉及的对象（如文献）在

多级安全模型中的安全属性（等级和范畴）来拟定这次访问是否被允许；

⑤系统必须可以防止用户通过被允许途径以外的其他访问途径，隐蔽地实现某些越权

的非法访问；

⑥系统必须可以将每一次访问记录在日记文献中，并提供分析和审计功能。

（5）业务信息系统安全需求

①业务经办

社会保险信息系统网络重要支持社会保险经办业务，涉及本地业务经办和异地业务经

办，如基本养老保险、补充养老保险、基本医疗保险、补充医疗保险等本地经办业务信息的

传递，异地领取养老金人员有关信息的传递，在职社会保险关系转移人员有关信息的传递,

异地就医信息的传递等。这类业务传输的是个体性数据，且与个体利益直接相关，则在安全

需求方面，规定操作时必须核算操作者的有效身份和操作权限，网络必须保证流程严格无

漏洞，且系统连续稳定，数据传输必须保证信息准确、保密、且不可抵赖，在出现事故后可

追究责任。

②公共服务

社会保险信息系统网络支持公共服务，除有关政策法规信息和参数类信息的发布外，

还面向参保人员和参保单位等社会对象提供个体性数据的查询等服务。对于政策法规和缴费

比例等公开性信息，无须在应用层做安全控制。对于个体性数据，如个人帐户信息等的查询,

必须确认查询者具有合法身份，不完全强调查询者就是参保者本人，可以是参保者授权的

其别人员。对于将来逐步开展的异地网上业务办理，会规定核算个体的真实身份。

③基金监管

基金监管，重要为上级部门监管下级基金状况服务，规定既可以监管基金的总体数据，

又可以监管某具体单位的数据，涉及记录数据上传、按非常规需求进行查询等方式。由于涉

及基金问题，在数据传输方面必须保证信息的保密性、准确性，在具体查询操作时还必须核

算操作者的有效身份和操作权限。

③宏观决策

社会保险信息系统网络上的宏观决策重要为上级部门提供决策支持服务，传递各种业务

信息。这一过程将运用网络扫描方式实现，即通过下发有关操作指令实现记录、杳询或抽

样，并上传有关数据，具体涉及三种方式。对于固定周期固定报表方式，指令先期下达，

数据定期记录上传，不涉及个体性数据，则只需保证信息的保密性、准确性，且在上传数

据时满足操作权限规定，对于临时构造记录报表并下发，以及原始数据抽样方式，指令为

临时下达，操作时则要核算下达指令者的有效身份和操作权限，且不可抵赖；其余安全需

求同固定周期固定报表方式。

此外，对于具体的个体性数据，不同的字段有不同的安全级别，应在数据库设计进行控

制。

表6-28社会保险业务安全需求分析

异地公共服务宏观决策

异地业政策个体信息异地网基金固定周临时构造

务经办信息查询和上业务监管期固定表、原始

征询办理报表抽样

身份认证VVVV

操作权限VVVVVV

流程严格无漏洞VV

系统连续稳定VV

信息准确VVVVVVV

信息保密VVVVVV

不可抵赖VV

可追究责任VV

4.数据安全需求分析

数据安全需求涉及数据库安全需求、数据传输安全需求、数据存储安全需求等构成。

（1）数据库管理系统安全需求

①数据库管理系统自身的安全等级达成C2级；

②可以通过对主体1人、进程）辨认和对客体（数据表、数据分片）标注，划分安全

级别和范畴，实现由系统对主、客体之间的访问关系进行强制性控制；

③具有增强的口令使用方式限制，用户必须按规定的格式设立口令，才干进行注册；

④可以按照最小授权原则，对数据库管理员、软件开发人员、终端用户授予各自完毕

自身任务所需的最小权限；

⑤可以对于数据库安全有关的事件进行跟踪、记录、报警和解决，供有关人员进行分

析:

（2）数据传输的安全需求

数据传输的安全需求涉及对数据传输的机密性和完整性需求。

①数据传输的机密也规定，需要对劳动保障业务专网传输的敏感性业务数据（业务经

办数据互换信息，异地领取养老金人员有关信息、，在职社会保险关系转移人员有关信息，

异地就医信息等）机密性进行保护，支持WWW、FTP、SMTP、Telnet等TCP/IP的标准服务以

及社会保险网络特有的通讯业务；

②根据传输完整性规定，保护网络传输IP数据包的不可篡改性。

（3）数据存储的安全需求

①社会保险信息系统主机的操作系统、应用软件要有存储在可靠介质的全备份，软件

以及计算机和网络设备的配置和设立的所有参数也必须进行备份；与系统安装和恢复相关的

软硬件、资料等必须放置在安全的地方；

②社会保险业务系统的重要数据必须定期进行备份，备份的数据必须存储在可靠的

介质中并与系统分开存放；并且要制定详尽的使用数据备份进行故障恢复的预案，并进行

预演；

③对于需要保密的存储数据，应采用加密措施保证其机密性。

5.容灾备份安全需求

为了保证社会保险关键业务系统（本地社会保险经办业务、异地领取养老金，在职社

会关系转移，异地就医等）以及其他业务服务的稳定性与连续性，需要建设异地容灾备份

中心。当主中心发生劫难性事件时，由备份中心接管所有的业务。备份中心要有足够带宽

保证与主中心的数据同步，有足够的解决能力来接管主中心的业务，要保证快速可靠与主

中心的应用切换。同时需要在异地容灾备份中心配置数据备份系统对重要数据进行备份。

6.安全管理需求

健全的安全管理体系是各种安全防范措施得以有效实行、网络系统安全实现和维系的保

证，为此需要建立一套符合社会保险系统实际的安全管理体系。

（七）系统安全策略

社会保险信息系统安全策略涉及物理安全策略、网络层安全策略、主机系统、应用系统

和数据的安全策略以及系统容灾备份的安全策略。

1.物理安全策略

物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故

以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。

（1）物理安全的内容

重要涉及三个方面：

①环境安全：对系统所在环境的安全保护，如区域保护和劫难保护；

②设备安全：重要涉及设备的防盗、防毁、防电磁信息辐射泄漏、防止线路械获、抗

电磁干扰及电源保护等；

③媒体安全：涉及媒体数据的安全及媒体自身的安全。

（2）物理安全措施

为保证社会保险信息系统的物理安全，在网络系统安全建设中可重要通过几个方面来

实现：

①机房环境和场地安全规定

社会保险信息系记录算机机房的建设须符合国家安全保密等部门规定以及《电子计算机

机房设计规范》(GB50174-93)＞《计算机场地安全规定》(GB9361-88)等国家的相关安全标

准，机房场地与设施的安全管理满足机房场地选择、防火、防水、防静电、防雷击、防鼠害、

防辐射、防盗窃、火灾报警及消防措施等安全技术规定，保证设备的物理安全；机房的安全

等级应符合GB9361-88的A类；

②在主机房设备布局上，按应用系统的不同安全控制级别和不同功能进行区域划分。

特别是运营有涉密性质的办公系统设备，社会保障IC卡密钥设备等须布置在独立的屏蔽机

房环境中，以进行涉密信息传输和解决：

③对划分的区域实行分区控制，根据工作需要拟定能否进入相应的区域：采用门禁等

安全措施，严格控制进入各分区人员；

④在机房内设立安全防盗报警装置和监视系统来实现防盗、防毁，保障设备的安全；

⑤为防止因电网电压波动、干扰、断电等对系统的影响，根据实际情况在机房内配备

断电后连续供电的UPS；

⑥按照相关设计规范和技术规定，在机房设计和建设中做好静电防护设施、防雷装置

和接地保护系统：

⑦凡是涉密网络须符合国家安全保密等部门的有关规定，布线采用光纤和屏蔽双绞

线；接入端须放置干扰器，以减少或干扰扩散出去的空间信号，防止计算机辐射信息的泄

漏；

⑧对于重要的数据要进行备份，备份数据的存放住置应符合GBJ45-82中规定的一级

耐火等级，符合防火、防高温、防水、防震等规定；定期对备份数据进行检查，保证其可

用性等;

⑨制定严格的机房和设备管理制度，以及信息拷贝、介质保存出入库与销毁的管理制

度。

2.网络安全策略

（1）网络边界安全策略

社会保险网络层安全的设计和建设采用硬件保护与软件保护、静态防护与动态防护相结

合，由外向内多级防护的总体策略。根据应用系统目的和安全需求，网络系统划分为六个层

次上的不同安全区域，如图6-57所示。具体是：核心层（办公网、社会保障IC卡密钥应用

区），安全层（社会保险应用区、宏观决策支持应用区、网络基础服务区、安全应用支持服

务区、其他劳动保障应用区等），基本安全层（劳动保障系统内部资源区、相关单位资源区），

可信任层（劳动保障业务专网：政府信息网络平台/公共通信网络），非安全层（公共信息

服务应用区），危险层（公共Internet,相关单位网络）。各层安全性逐层递减。

社会保险信息系统各安全域中的安全需求和安全级别不同，网络层的安全重要是在各

安全域间建立有效的安全控制措施，使网间的访问具有可控性。

①处在核心层的办公应用局域网和社会保障IC卡密钥区应与其他网络物理隔离隔离。

假如采用物理隔离，核心层网络和其他网络的信息互换，须采用人工方式实现，并且所有

操作按照严格的保密制度规定进行；

②处在安全层的劳动保障业务局域网中运营着多种即相联系，又相独立的应用系统:

社会保险应用，其他劳动保障和宏观决策支持应用，综合应用等。对于安全层的网络，安全

重要来自局域网内部，在局域网中可通过划分虚拟子网对各安全域间、用户和安全域间实行

安全隔离，提供子网间的访问控制能力。子网的划分按照业务系统类别、部门级别、用户权

限等因素来进行，并以最大子网安全隔离来设立子网间的访问控制；可结合基于互换机端口

的VLAN技术和基于节点MAC地址的VLAN技术，实现局域网安全控制和隔离;

③处在基本安全层的劳动保障系统内部资源区、龙相关单位资源区、和非安全层的公

共信息服务应用区，作为内网和外网进行资源共享、数据互换和信息服务的安全隔离带，在

网络的互连边界上运用专用网络安全设备（如防火墙）建立安全防护，或在边界路由设备上

进行访问控制ACL等安全策略的配置，以有效地控制外界用户和局域网的信息互换；

关于ACL的配置，在对外边界路由器上设立粗略的访问控制过滤规则，形成内部网络

的第一道防护线，在内部网上使用过滤规则，形成系统之间的访问控制和逻辑隔离。为了不

影响网络的运营效率，不在边界路由器、中心三层互换机上配置过多的ACL。细致的控制在

专用网络安全设备（如防火墙）中实现：

安全隔离带作为联系内外网的环节，易受到外界系统的袭击，在各网段上配备网络安

全分析、入侵监测及网络监控系统，以监视网络上的通信数据流，捕获可疑的网络活动，进

行实时响应和报警，并实现和专用网络安全设备（如防火墙）的联动，同时提供详尽的网络

安全审计分析报告；

④在处在信任层的政府信息网络平台/公共通信网络上进行数据传输时不考虑链路层

的加密方式，对于省市纵向业务专网和城域网上传输的业务数据（如本地业务经办、异地业

务经办、异地领取养老金人员有关信息、在职社会保险美系转移人员有关信息、异地就医信

息等）可采用数据层加密方式，实现关键敏感性信息在广域网通信信道上的安全传输。

（2）网络基础设施的可用性策略

对于数据中心局域网、省市纵向业务专网和本地城域网的网络基础如局域网主干互换

机、广域网路市器、广域网线路、网络边界安全设备（如防火墙）等考虑采用冗余设计,以

保证业务信息的可靠传输。网络基础设施部分已在网络系统设廿中考虑。

插图6-57网络层安全域结构图

3.系统及应用层安全策略

（1）操作系统安全

社会保险信息系统的主机选择安全可靠的操作系统，绝大部分主机运营Windows"操

作系统，一些关键性业务系统主机运营UNIX系统。用“最小合用性原则”配置系统以提高

系统安全性，并及时安装各种系统安全补丁程序。严格制定操作系统的管理制度，定期检查

系统配置。运用系统漏洞扫描软件对关键业务服务器系统（如社会保险管理系统及决策支持

系统）、公共的怖W服务器、邮件服务器、代理服务器、网管系统服务器等进行定期的安全

扫描分析，及时提供网络系统安全状况评估分析报告，并根据分析结果合理制定或调整系

统安全策略，以保证这些设备的安全除患降至最低。

在系统中建立基于用户的访问控制机制，监视与记录每个用户操作（如通过登录过程）.

用户需独立标记，监视的数据应予以保护，防止越权访问。

（2）应用系统安全

应用层安全是建立在网络层安全基础之上，重要是对资源的有效性进行控制，管理和

控制什么用户对信息资源和服务资源具有什么权限。其安全性策略涉及用户和服务器间的双

向身份认证、信息和服务资源的访问控制和访问资源的加密，并通过审计和记录机制，保证

服务请求和资源访问的防抵赖。对于外部应用，如卿汗信息发布等公共服务应用、电子邮件

等，其安全需求是在信息共享的同时，保证信息资源的合法访问及通讯保密性，因而必须

严格按照用户的身份控制对个人性数据的访问。

基于劳动保障PKI系统，采用数字证书等方式建立应用层的数据加密，保证数据保密

性和完整性。

对于KWN站点，需要配置页面侦测和自动修复系统，以提高站点的抗破坏能力。对于内

部应用，如办公及其他关键性业务系统的安全，对身份认证和访问控制有更高的规定，访

问控制的控制粒度更细，在应用程序和数据库系统中都应有严格的访问控制机制。

（3）防病毒系统策略

计算机病毒是一段可以自我复制，自行传播的程序。病毒运营后可以损坏文献、使系统

瘫痪，从而导致各种难以预料的后果。在网络环境下，计算机病毒具有不可估量的威胁性和

破坏力，因而计算机病毒的防范也是网络安全建设的重要环节。社会保险信息系统运营环境

复杂，网上用户数多，同Internet有连接等因素，也许会受到来自于多方面的病毒威胁，

在办公网和业务专•网上建立多层次的病毒防卫体系，涉及桌面客户端、服务器、邮件系统、

Tntnrnnt网关上实行防病毒系统的部署，配置病毒扫描引擎和病毒特性库数据的自动更新

方式，实现对网络病毒的防止、侦测、消毒和预警，以防止病毒对系统和关键文档数据的破

坏。

（4）数据和系统备份策略

安全可靠的网络数据备份系统不仅在网络系统硬件故障或人为失误时起保护作用，也

在入侵者非法授权访问或对网络袭击及破坏数据完整性时起到保护作用，同时也是系统劫

难恢复的前提。因而在网络系统中建立安全可靠的网络数据备份系统是保证网络系统数据安

全和网络可靠运营的必要手段。

网络系统的数据备份涉及两种类型的备份内容：网络系统中关键应用系统及运营的操

作系统的备份；网络系统中数据的备份。对于前者的备份恢复，由于应用系统稳定性较高，

可采用一次性的全备份，以防止当系统遭到任何限度的破坏，都可以方便快速地将本来的

系统恢复出来。对于后者的备份，由于数据的不稳定性，可分别采用定期全备份、差分备份、

按需备份和增量备份的策略，来保证数据的安全。在数据中心网络系统中配置数据备份系统,

以实现本地关键系统和重要数据的备份。

4.故障恢复和容灾备份策略

除配置数据备份系统，实现本地关键系统和重要数据的备份外，为保证社会保险关键

业务系统（本地社会保险业务经办、异地领取养老金，在职社会关系转移，异地就医等）以

及其他'业务服务的稳定性与连续性，（说明：考虑在本地地理位置相异的其他劳动保障机构

或合作单位数据中心机房建设同城异地容灾备份中心）。运用容灾恢复软件和设备通过网络

实现异地系统和数据的备份及部分服务的冗余。当主中心发生劫难性事件时，由备份中心接

管部分关键性业务。

（A）基础安全防护系统建设

基础安全防护系统的建设涉及有防火墙、入侵检测、漏洞扫描、安全审计、病毒防治等。

金保工程业务专网省市数据中心基础安全防护系统的部署方案如图6-58所示。

1.防火墙

在省、市业务专网的各网络节点的出入口处和局域网内部不同安全域之间布置防火墙设

备。具体地，Internet到公共信息服务应用区之间、业务相关单位到相关单位资源区的网

络边界、省市网络到劳动保障系统内部资源区的网络边界、各资源区和各业务应用区间、生

产库数据区和其他业务应用区间、安全应用支撑服务区与内部业务网间部署防火墙，实现不

同安全域之间的逻辑隔离、访问控制及审计。对于省市纵向业务专网采用主备线路和路由器

的冗余设计的，在边界防火墙配置上也相应地采用主备方式。

防火墙重要运用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，根据在

其上配置的安全策略来控制（允许、拒绝、监测）出入网络的信息流。同时实现网络地址转

换（NAT）、审计和实时报警功能。通过防火墙的包过滤，实现基于地址的粗粒度访问控制，通

过口令认证对用户身份进行鉴别，实现基于用户的细粒度的访问控制。

(1)防火墙工作模式

防火增重要工作在互换和路由两种模式下：

①对于互换模式：3个接口构成一个以太网互换机，自身没有IP地址，在IP层透明。

可以将任意三个物理网络连接起来构成一个互通的物理网络。

②路由模式：防火墙自身构成3个网络间的路由器，3个接口分别具有不同的IP地址。

三个网络中的主机通过该珞由进行通信。

插图6-58劳动保障省市数据中心业务专网基础安全防护系统结构图

因此就防火墙系统的配置而言，可以根据实际的网络情况和实际的安全需要来配置工

作模式。当防火墙工作在互换模式时，内网、DMZ区和路由器的内部端口构成一个统一的互

换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的

网络拓扑结构和各主机和设备的网络设立；当防火墙工作在路由模式时，可以作为三个区之

间的路由器，同时提供内河到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都

可以使用保存地址，内网用户通过地址转换访问Intenwt。内部网、DMZ区通过反向地址转

换对Internet提供服务。如对于Internet到公共信息服务应用区之间和省市广域网网络边

界的防火墙配置成路由模式。

（2）防火墙重要功能

①支持互换模式下和路由模式下的应用层过滤。在互换模式下和路由模式下均可以相

应用级协议进行细度的控制，支持通配符过滤。

②对HTTP协议可以进行命令级控制及URL、关键字过滤，并过滤JavaApplet,ActiveX

等小程序。

③对FTP协议可以进行命令级控制，并可以控制所存取的目录及文献。

④对SMTP协议支持基于邮件地址、内容关键字、主题的过滤，并可以设定允许Relay

的邮件域。

⑤支持不同子网间的视频、语音应用，其他安全策略不受影响。

⑥具有实时在线的网络数据监控功能，实时监控网络数据包的状态，网络上流量的动

态变化，并对非法的数据包进行阻断。

⑦具有网络嗅探的功能，实时抓取网络上的数据包，并进行解码和分析。

⑧具有自动搜集与防火墙相连子刖中主机信息的功能，搜集的信息涉及IP地址、MAC

地址等，以减轻管理员的工作承担。

⑨在防火墙设备的基础上，具有平滑的VPN扩充功能，VPN采用国家密码管理部门批

准使用的硬件加密和认证算法。

⑩具有与IDS设备联动能力。

2.入侵监测系统

入侵监测系统基于网络和系统的实时安全监控，运营于敏感数据需要保护的网络上，

对来自内部和外部的非法入侵行为做到及时响应、告警和记录日记，可填补防火墙的局限

性。

入侵监测系统通过实时监听网络数据流，辨认、记录入侵和破坏性代码流，寻找网络违

规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络信

息安全检测系统预警系统可以根据系统安全策略作出反映。入侵监测报警口记的功能时通过

对所有对网络系统有也许导致危害的数据流进行报警和响应，作为受到网络袭击的重要证

据。

入侵监测系统重要安装在易受到袭击的服务器或防火墙附近，对于数据中心局域网络，

在防火墙和内部网主干万.换机附近部署入侵监测系统，以检测关键部位的数据流，防范非

法访问行为，对非法网络行为的审计、监控及安全监控，并实现与防火墙的联动进行动态防

护。即在业务专网的各网络边界的防火墙内（如Internet到公共信息服务应用区的边界防

火墙、业务相关单位到相关单位资源区的边界防火墙、上、下级网络节点到劳动保障系统内

部资源区的边界防火墙）,Internet到公共信息服务应用区的边界防火墙外，以及内部业

务局域网主干互换机重要服务器网段的监控端口部署入侵监测系统，以监控网络出入口和

重要服务器进行访问的数据流，并对•袭击行为作出响应。入侵监测系统由控制中心和探测引

擎（网络、主机）组成，控制中心作为入侵监测系统的管理和配置工具，可以编辑、修改和

分发各网络探测引擎、子控制中心的策略定义，给各探测引擎升级特性库，同时接受所有探

测引擎的实时报警信息。控制中心和各探测引擎间的信息互换通过加密方式进行。

入侵监测系统重要功能规定如下：

（1）具有强大的袭击检测能力。能检测150（）种以上的袭击种类。检测引擎和袭击特性

库及时升级和更新。

（2）软件的部署应有一定的灵活性，采用分布式的体系结构，监测节点和管理控制站

可分立配置；

（3）监测系统的部署对原有网络和系统环境为完全透明方式，对网络数据包的监控,

应采用包拷贝方式，对网络数据包的传输不能导致延迟;监测节点和管理控制站的通信应采

用此外通道，不占用监测网络的通信带宽；

（4）提供完整的应用协议内容恢复功能。支持常用协议（如HTTP、FTP、SMTP、

POP3.TELNET）等通信过程、内容的恢复与回放。并允许用户自定义协议。同时要做到个人

隐私和安全的兼顾，根据不同的权限控制内容恢复的限度。

（5）可以检测有害的内容，例如：反动信息、暴力信息等。

（6）具有实时在线的网络数据监控功能，实时监控网络数据包的状态及网络流量的动

态变化，并对非法的数据包进行阻断。

（7）具有积极探测机制，可以积极探测网络上存在安全隐患和风险。

（8）自带数据库，不需第三方数据源。使用数据库存储袭击和入侵信息以便随时检索,

自动维护和并提供具体的袭击与入侵资料，涉及发生时间、发起主机与受害主机地址、袭击

类型、以及针对此类型袭击的具体解释与解决办法。

（9）具有完善的日记记录和应用审计功能，提供灵活的自定义审计规则。

(10)提供灵活方便的报表、图形方式的记录分析功能，实时显示分析结果。

3.漏洞扫描系统

漏洞扫描系统是一种系统安全评估技术，可以测试和评价系统的安全性，并及时发现

安全漏洞。具体涉及网络模拟袭击、漏洞检测、报告服务进程，以及评测风险，提供安全建

议和改善措施等功能。

在数据中心局域网安装一套网络安全漏洞扫描系统，定期或不定期对一地关键设备和

系统(网络、操作系统、主干互换机、路由器、重要服务器、防火墙和应用程序)进行漏洞

扫描，对这些设备的安全情况进行评估，发现并报告系统存在的弱点和漏洞，评估安全风

险，建议补救措施。

重要功能规定：

(1)提供基于网络的自动安全漏洞检测和分析，扫描项目应覆盖：网络层、应用层和

各种网络服务；

•(2)扫描对象：基于TCP/IP的所有IP设备和服务，涉及：路由器、NT服务器、

UNIX服务器、防火墙等;

•(3)具有较强漏洞扫描能力，漏洞特性库丰富，可辨认和检测的漏洞数应不小

于1000和I同时应有较强的扫描分析能力；网络扫描系统应能对■以下几方面提供漏洞发现:

•检测网络系统的的服务进程

•检测软件的版本和补丁包，缺省配置等方面的问题

•检测NT服务器的配置漏洞

检测Web服务器的文献和程序方面的漏洞(如HS、CGI脚本和HTTP)

检测标准的网络端口和服务

•检测网络服务的漏洞，涉及：SMTP,FTP,SNMP,Proxy,DNS,WWW,RPC等

•检测远程访问的安全漏洞

•检测NT用户、用户组方面的漏洞，如弱的口令设立

•检测NetBIOS共享的漏洞

（4）按扫描强度的不同来定义，如：重度扫描、中度扫描、轻度扫描和自定义强度扫

描等，以满足网络安全的不同扫描需求；

（5）网络扫描的执行不应对扫描对象的系统产生影响，如重度扫描对系统的影响也应

是可恢复性的；

（6）具有灵活的扫描策略的定制能力，可按照特定的时间、扫描对象的范围、扫描的

不同漏洞分类来配置扫描需求；支持自动扫描；

（7）网络扫描系统具有生成被扫描网络环境安全弱点和漏洞的分析报告的能力：报告

应涉及扫描漏洞清单，详尽的漏洞描述和补救方法，各种类型漏洞的记录图表；报告应是中

文描述，内容具体，可操作性强，报告应有多种表现形式并且易于理解，如HTML等，每个

报告都应提供修改漏洞的具体的操作环节或安全补J.供应商的超级链接：

（8）网络扫描系统应具有较低的误报率；系统应具有频繁误报事件的屏蔽能力；

（9）软件的扫描工作对网络的数据包传输不能导致明显延迟：

（10）基于国际CVE标准建立的安全漏洞库，并通过网络升级可以与国际最新标准同

步。

4.防病毒系统

•为了防止病毒在内部网络传播，防止病毒对内部的重要信息和网络导致破坏，

并定位感染的来源与类型，在网络中部署病毒防护系统，采用网络集中防病毒和分散防病

毒两种方式。具体配置为：在网络中的服务器中安装文献及应用服务器防病毒组件，在邮件

服务器上安装群件系统防病毒组件•，在代理服务器上安装Internet网关防病毒组件，在网

络中的所有桌面客户机上安装京面防病毒组件，安装扫描引擎和病毒特性库更新服务器，

负责全网防病毒系统的扫描引擎和病毒特性库的及时升级更新，安装防病毒管理控制中心,

负责对防病毒系统进行统一管理。对于单机用户或移动终端用户，辅以单机防病毒软件。

•在防病毒系统的部署时，集中对病毒软件库中的防病毒软件组件进行配置，通

过配置可以简化客户端的管理和提高运营效率，并使全网的防病毒策略保持一致。配置内容

涉及：

•客户端防病毒软件的缺省安装方式和参数；

•防病毒软件的运营参数；

•扫描方式定制：

•缺省扫描范围拟定；

•碰到病毒后的解决等；

•定期升级和更新设立。

通过对网络中的病毒扫描集中控制，建立各种定期任务，统一集中触发，然后由各被

管理机器运营，同时可对日记文献的各种格式进行控制。在管理服务器上建立了集中的病毒

分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告，所有病毒扫描状态信息

都可由控制台得到。

防病毒产品技术规定如下:

（1）支持多种平台的病毒防范，涉及UNIX系列、Windows系列、Linux系列。

（2）支持对Internet/Intranet服务器的病毒防治，可以阻止恶意的Java或ActiveX

小程序的破坏；

（3）支持对电子邮件附件的病毒防治，涉及WORD.EXCEL中的宏病毒；

（4）支持多的病毒解决选项，如对染毒文献进行实时杀毒、移出、删除、重新命名等;

（5）提供对病毒特性信息和检测引擎的定期在线更新服务；

（6）提供集中式网络防病毒管理

5.安全审计

在运用防火墙、IDS等安全产品自身的审计功能，以及操作系统的审计功能的同时，在

网络系统中配置跨平台的综合审计系统，实现对网络系统的全方位集中安全审计。支持基于

PKI的应用审计，能在有策略配置的指导下实时或定期采集各信息系统产生的数据，并进

行有效的转换和整合，以满足系统安全管理员的安全数据挖掘需求。支持基于XML的审计数

据采集协议。提供灵活的自定义审计规则。

安全审计系统的功能规定：

（1）可以从多种服务器（UNIX.Windows2023.Linux）自动收集系统事件,并将这些

事件保存在中心数据库。

（2）具有完整的网络日记功能，具体记录每个用户的网络访问行为。

（3）全面的操作系统日记功能。可将用户对操作系统的访问记录下来。涉及用户操作

的时间、用户名、操作的结果以及名称和途径。

（4）日记快速查询。查询系统重要应用于对已记录的操作系统和网络系统的审计日记

文献进行分析查询，根据查询条件可以方便快速地得到相关记录的结果。

（5）支持分布式的数据审计与预警。

（6）完善的自保护能力。安全审计模块具有自保护功能，防止用户对审计文献和系统

的非法修改，保证审计系统和安全日记文献的完整性。

（7）智能分析功能。安全审计模块可以根据操作系统和网络的实际情况，智能地对一

些也许的安全隐患向管理员提出警告，帮助系统管理员对系统的安全管理。

（九）CA认证中心系统建设

1.总体描述

劳动保障安全应用支撑平台以密码服务为基础，以数字证书技术为核心，为劳动和社

会保障业务专网上的各项业务系统和公共服务系统等提供信任、授权及应用支撑服务。作为

安全应用支撑平台重要组成部分的证书服务系统是建设重点。

劳动和社会保障信任服务体系采用树状结构，以劳动保障部为枢纽，建立劳动和社会

保障数字证书策略和管理中心以及根CA中心，并作为劳动和社会保障信任服务体系最高管

理机构和信任源点。劳动保障部负责统一规划信任服务体系的密码体制，负责建立基于劳动

和社会保障全系统统一的密码管理系统和信任服务体系根系统，建立劳动和社会保障行业

证书认证系统，负责与劳动保障部门业务相关联的业务系统安全认证与授权管理。省市将按

照劳动和社会保障部的技术规范，以劳动和社会保障部的根系统为依托，建立相应的证书

服务系统。省市劳动保障证书服务系统，原则上不建设自己的CA中心，直接使用劳动和社

会保障部CA中心来生产证书，只需要建立RA中心及分布式的证书查询验证服务系统（LDAP

服务器和OCSP服务器）即可。（说明：对于业务量大、有条件的省或直辖市可根据自己的实

际情况，以劳动和社会保障根CA中心为根建立二级CA中心，为本省（市）的劳动保障业务

系统服务。其部署结构如图6-59所示）

劳动保障证书服务系统采用双证书（署名证书和加密证书）、双中心（证书认证中心和

密钥管理中心）机制。

2.实行策略和体系结构

证书服务系统是安全支撑平台信任服务系统的核心部件，采用“集中式生产、分布式服

务”模式，即证书申请、审核分别在劳动和社会保障部、省级劳动和社会保障厅、地市劳动

和社会保障局三级证书审核注册机构执行，证书的生产（签发、发布、管理、撤消等）集中

在劳动和社会保障部、省劳动和社会保障厅两级证书认证中心执行，证书认证由分布在各地

的证书查询验证服务系统完毕。

插图6-59二级CA认证中心部署结构图

劳动和社会保障证书服务系统体系结构如图6-63所示:

市局RA

图6-60劳动和社会保障证书服务系统体系结构图

3.二级系统建设

在劳动和社会保障信任服务体系中，省(市)证书服务系统属于二级系统，涉及二级证

书认证(CA)中心和省市级证书审核注册机构(RA),记书查询验证服务系统、密钥管理系

统、密码服务系统、可信授权服务系统。具体的建设内容为：

(1)二级证书认证中心(CA)

二级证书认证中心(CA)负责给所属用户发放和管理支持各种应用的数字证书，提供证

书的查询验证，并负责将上级CA的信用通过向大量最终用户发证纵向扩散。二级CA的性能

指标、操作方式、安全性设计与部级根CA相似，具体可参见劳动和社会保障部金保工程可

研报告CA中心建设部分。

根CA与二级CA的通信、根CA与证书持有人、二级CA与证书持有人之间的通信为在

线PKCS#7/10或PKIX-CMPo

(2)省市级证书审核注册机构(RA)

各省、市级证书审核注册机构在上一级证书认证中心的授权下，提供用户数字证书申请

的注册受理、用户真实身份的审核、用户数字证书的申请与下载、用户数字证书的撤消与恢

亚、证书受理核发点的设立审核及管理等服务：

规定证书审核注册系统具有以下功能：

①证书申请、身份审核、证书卜.载等服务都可采用在线或离线两种方式。

②证书申请服务：用户通过网络登录到注册系统在线申请证书，或到指定的注册机构

离线申请证书。

③身份审核服务：审核人通过注册系统，连接相关机构的应用系统，对证书申请者进

行在线身份审核，或通过注册系统进行现场身份审核。

④证书卜.我服务：用户通过网络登录到注册系统在线下载证书，或到指定的注册机构

离线下载证书。证书注册系统要提供用户署名证书密钥对的生成功能，该功能必须通过证书

载体内的密码运算功能实现。

⑤证书管理服务：提供证书认证策略及操作策略的管理；对自身证书进行安全管理；

对内部管理员数字证书、操作员数字证书进行统一管理；支持个别解决和批解决方式发放数

字证书。

⑥提供与证书认证中心、证书受理核发点之间的接口。

省市级证书审核注册机构（RA）部署结构如图6-61,涉及Web服务器、证书注册审核

服务器、密码服务系统等组成。

（3）证书查询验证服务系统

证书查询验证服务系统为应用支撑平台及业务系统提供证书认证服务，涉及目录杳询

服务和证书在线状态查询服务。

证书查询验证服务体系基于分布式计算技术，采用“分布式服务”的模式，相应劳动和

社会保障部、省级的证书认证中心，根据行政管理和地区不同分布式部署证书查询验证服务

系统。如图6-62所示。（说明：对于不建设证书认证中心的省市，须部署一套与上级证书认

证中心同样的证书查询验证服务系统。）

基于LDAP协议针对丰实时证书状态查询应用或服务器端应用，提供证书撤消列表的目

录发布。基于OCSP协议针对实时证书状态查询应用或客户端应用，提供证书状态的在线