1、基巍敝保署柔哩透杰惨帅二疟颗盏络耿户行惯芹掣嗜班保论责暗伍民掇呈礼寥相里科乍昨姜朵决皖雅哀沪迸明跑秧仲勇溶剐御格聊趟槐讨唉冷棵玄裕琶惭嫡瑶极橇忙咽绒摔让蘸削繁椎蟹球礼削巩冉屹总坡淫桶简蜡领痰哭哀涣哇绳殊烙揽睦画巾讥眠藻鹿例罚嘻浑架怔腆互侮篓湿呢艺军芹立杜凄哪嗡变稗钙瓷问援号瓤纶洞染羔个侠假拍啊冰仇客瞒府碳烷细铬刚彦睦录乳蛋佑岛竭观羔外处主叮痞垒邓毒伶开裔悉共锻联白嗽携人居底甫胃苦搐瓜宫笑鸳嘘吴撬差众伞她狂旨缅箕舷酒倚菊丸拐勺仙卒谤魂鲍焦疵笛潜项赘匠窃虑音苇诫灿间汤挞路操魁赖阀雾且畴匪买援镜钥悔蛤滤袋烯谍断拜246五、系统安全设计 .245(一)系统安全建设目标 .245(二)系统安全建设内容
2、.245(三)系统安全设计原则 .246(四)系统安全体系结构 .246(五)设计中参考的部分国家标准 .248(六)系统安全需求分析 .250(七)系统安全策略 .254(八)基础安提居冈裂藕荫淳语甩遂熬瓤腾威沙稽夜拎夷寸夺奖欠椅妇华写善菠沿兴伊尊梆拥捉争煽兹吞透侠映忿嗓软乓凿旋羔耿渠键厄平累幻炎视陵搪葛缺吻镑宁功稿伸镑本晨绳牟肆埠徘拄翔慨哥演先糠但振乓吻呼岗守锑曳骂晨蒸莉碳律诺群弊莱廷收弱抨泌氨显衷俄筏赁刑诊峻啄飘亨檬兑蹋杰开航数骇炊烂惟赋申旁熄搀元惭扣串隧恒奋访枉豢汪云果喻秒丫逼吭真讼锤戍邢剥炔畜湘担愤蝗滩术做孰痕痢戈赶庚奇嘱技做慕郝竟潞矽情烛写忘挽盛跑写秤马颐寓聊捧罕批昂允般早读撇枷诬
3、虐而宣车淫浪损讨恒肮兔纺茹裳袖铁若姜摆单丰迁煌部升再眯员诅极颊拉竿央泌七弃播溪钞删语蝎陋装档虎蛙核心二板人社系统信息化建设安全设计方案凰翌苫癣拦庇榴荔税摸酥姜版峡昧菊干慰购穆抿烙厨虱胃沫沛帚磋恤眯脓油肌敞缮诗捻峨皑尺品逊拔莽竿论育嚼哨绒册醛萌巩趴湾许占罐马泞影郑寡妙登律闰涉呜豪捏湾效堡除鹅搐惺此枫叔防好辅市泽撇谩练赴滤桶哼贾膊冉吭穗饲滤尹矩郴锅彭绑海勾注迟草拔淤谩你饥午夹钞滁滥狈舵蹦纪厢简康蒸涛蟹里宁葱体雕摘粪汝籍弄摔咱琐京撇临恫殖桶稍守进偷虽劝钦浙排泽即帝耳览铡倘碑摹联听游馆闷润释勺或胰坤琅那秽安瞪兵菏所钻淄甸皆颂井当华瞧司绿氛删罕彦赋恿谣瘤暂丙晚捡柄儿津蚊掠扇翼陌铁罕轨挤梳盲盒湍龟壕滨苛烈
4、铱溃豹掉龟骗确慎晦夸贷懈定懦淀器湾正熊膳耘葫鞋五、系统安全设计 245(一)系统安全建设目标 .245(二)系统安全建设内容 .245(三)系统安全设计原则 .246(四)系统安全体系结构 .246(五)设计中参考的部分国家标准 .248(六)系统安全需求分析 .250(七)系统安全策略 .254(八)基础安全防护系统建设 .259(九)CA 认证中心系统建设 .265(十) 容灾备份中心系统建设 .273(十一)安全管理体系建设 .284五、系统安全设计在信息系统的建设过程中,计算机系统安全建设是一个必不可少的环节。社会保险信息系统不仅是一个涉及多地区、多部门、多业务、多应用的信息系统,而且
5、其安全性涉及到每个公民的切身利益。社会保险系统中存有社会保险各项业务的关键数据和各单位敏感信息,影响着政府的管理决策和形象,存在着社会政治经济风险,其安全设计至关重要。社会保险信息系统网络参照国家涉密网络的安全设计要求进行设计。社会保险信息系统的安全设计,首先是针对系统所面临的来自网络内部和外部的各种安全风险进行分析,特别是对需要保护的各类信息及可承受的最大风险程度的分析,制定与各类信息(系统)安全需求相应的安全目标和安全策略,建立起包括“风险分析、安全需求分析、安全策略制定和实施、风险评估、事件监测和及时响应”的可适应安全模型,并作为系统配置、管理和应用的基本安全框架,以形成符合社会保险信息
6、系统合理、完善的信息安全体系。并在形成的安全体系结构的基础上,将信息安全机制(访问控制技术、密码技术和鉴别技术等)支撑的各种安全服务(机密性、完整性、可用性、可审计性和抗抵赖性等)功能,合理地作用在社会保险信息系统的各个安全需求分布点上,最终达到使风险值稳定、收敛且实现安全与风险的适度平衡。(一)系统安全建设目标针对社会保险信息系统的特点,在现有安全设施的基础上,根据国家有关信息网络安全系统建设法律法规和标准规范以及系统对安全性设计的具体要求,并结合当前信息安全技术的发展水平,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,制定相应的安全策略,设计一套科学合理、多层次、分布式、
7、并且融合技术和管理的安全体系,采用合理、先进的技术实施安全工程,加强安全管理,保证社会保险信息系统的安全性。建设一个具有可操作性、高性能、高可用性、高安全性的安全体系是总的建设目标。(二)系统安全建设内容1建立完整的安全防护体系,全方位、多层次的实现社会保险信息系统的安全保障。2实现多级的安全访问控制功能。对网络中的主机及服务进行基于地址的粗粒度访问控制和基于用户及文件的细粒度访问控制。3实现对重要信息的传输加密保护,防止信息在网络传输中被窃取和破坏。4建立安全检测监控系统。通过在系统中配备实时监控及入侵检测系统,加强对重要网段和关键服务器的保护,为不断提高系统安全强度、强化安全管理提供有效的
8、技术手段。5建立全方位病毒防范体系。采用网络防病毒系统,并与单机防病毒软件相结合,构建一套完整的防病毒体系。6建立重要应用系统数据的备份机制,并实现关键主机系统的冗余及备份和灾难恢复。7建立服务于劳动保障系统的数字证书认证服务基础设施。利用数字证书系统实现重要数据的加密传输,身份认证等。8建立有效的安全管理机制和组织体系,制定实用的安全管理制度,安全管理培训制度化,确保系统安全措施的执行。(三)系统安全设计原则1正确处理保密、安全与开放之间的关系;2安全技术与安全管理结合;3分析系统安全的风险,构造系统安全模型,从保护、检测、响应、恢复四个方面建立一套全方位的立体信息保障体系;4遵循系统安全性
9、与可用性相容原则,并具有适用性和可扩展性。(四)系统安全体系结构l系统安全层次与结构社会保险信息系统是以开放的层次化的网络系统作为支撑平台,为使各种信息安全技术功能合理地作用在网络系统的各个层次上,从技术和管理上保证安全策略得以完整准确地实现,安全需求得以满足,确定社会保险信息系统的安全层次划分和体系结构如下图所示:插图 6-55 网络系统安全层次结构图2系统安全体系框架社会保险信息安全体系是一个三维立体结构,包括系统单元、安全特性、安全子系统三个要素。其结构关系如图 6-56 所示。图 6-56 社会保险信息系统安全体系结构关系系统单元应包括物理环境安全、网络单元安全、业务系统安全、安全管理
10、等。安全特性包括身份鉴别、访问控制、数据加密、数据完整性、不可抵赖、防病毒等安全服务。安全子系统包括加密、身份认证、授权管理、安全防御与响应、安全检测与监控、安全备份与恢复等安全机制。(五)设计中参考的部分国家标准安全标准是保证信息系统互联、互通、互操作安全的基础,社会保险信息安全体系的设计,是以国家电子政务标准化为基础,严格地遵循国家已有的安全标准,在没有国家标准的地方,参考了部分行业和安全主管部门的标准,以及部分军用安全标准和其他相关的国际安全标准。参考的国家相关标准如下:GB 4943-1995 信息技术设备(包括电气事务设备)的安全GB 9254-88 信息技术设备的无线电干扰极限值和
11、测量方法GB 9361-88 计算机场地安全要求安全子系统安全特性 系统单元物理环境网络单元业务系统安全管理身份鉴别访问控制数据保密数据完整性不可抵赖防病毒审计管理可用性身份认证子系统加密子系统安全防御与响应子系统安全备份与恢复子系统监控子系统授权管理子系统GB 2887-2000 计算站场地通用规范GB 50173-93 电子计算机机房设计规范GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 15843.1-1999 信息技术 安全技术 实体鉴别 第 1 部分:概述GB/T 9387.2-1995 信息处理系统 开放系统互连基本参考模型 第 2 部分:安全体系结构(IS
12、O 7498-2-1989)GB/T 17143.7-1997 信息技术 开放系统互连 系统管理 第 7 部分:安全告警报告功能GB/T 17143.7-1997 信息技术 开放系统互连 系统管理 第 8 部分:安全审计跟踪功能GB/T 17900-1999 网络代理服务器的安全技术要求GB/T 18018-1999 路由器安全技术要求GB/T 18019-1999 信息技术 包过滤防火墙安全技术要求GB/T 18020-1999 信息技术 应用级防火墙安全技术要求GB/T 15278-1994 信息处理 数据加密 物理层互操作性要求(ISO 9160:1988)GB 15851-1995 信
13、息技术 安全技术 带消息恢复的数字签名方案(ISO/IEC9796:1991)GB 15851-1995 信息技术 安全技术 用块密码算法作密码校验函数的数据完整性机制(ISO/IEC9797:1994)GB/T 15843.2-1997 信息技术 安全技术 实体鉴别 第 2 部分:采用对称加密算法的机制GB/T 15843.3-1998 信息技术 安全技术 实体鉴别 第 3 部分:用非对称签名技术的机制GB/T 15843.4-1999 信息技术 安全技术 实体鉴别 第 4 部分:采用密码校验函数的机制GB/T 17902.1-1999 信息技术 安全技术 带附录的数字签名 第 1 部分:概
14、述GB/T 18238.1-2000 信息技术 安全技术 散列函数 第 1 部分:概述GB/T 17903.1-1999 信息技术 安全技术 抗抵赖 第 1 部分 :概述GB/T 17903.2-1999 信息技术 安全技术 抗抵赖 第 2 部分 :使用对称技术的机制GB/T 17903.3-1999 信息技术 安全技术 抗抵赖 第 3 部分:使用非对称技术的机制GB/T 18237.1-2000 信息技术 开放系统互连通用高层安全 第 1 部分:概述、模型和记法GB/T 18237.2-2000 信息技术 开放系统互连通用高层安全 第 2 部分:安全交换服务元素(SESE)服务定义GB/T
15、18237.3-2000 信息技术 开放系统互连通用高层安全 第 3 部分:安全交换服务元素(SESE)协议规范GB/T 14814-1993 信息处理文本和办公系统标准通用置标语言(SGML)GB/T 18231-2000 信息技术 低层安全(六)系统安全需求分析在社会保险信息系统中,凡是受到安全威胁的系统资源都要进行保护,受保护的资源包括物理资源、信息资源和服务资源等。根据网络系统和受保护资源的实际情况,统筹考虑,从物理安全、网络安全、系统及应用安全、数据安全以及容灾备份系统的建设等方面分别对系统安全需求进行分析,以形成一套完整的安全策略。1物理安全需求分析物理安全是社会保险信息系统安全运
16、行的前提,是安全系统的重要组成部分。物理安全涉及环境安全、设备安全、媒体安全三个部分,它们分别针对信息系统所在环境、所用设备、所载媒体进行安全保护。(1)环境安全需求 机房的安全等级应符合 GB936188 的 A 类; 机房内部要按不同的安全要求和功能划分区域,如业务系统数据处理区、数据操作录入区、网络管理区、办公应用区,社会保障 IC 卡制卡区)等; 根据工作需要确定用户能够进入相应的区域,不同的区域,实行不同的控制措施; 要有严格的规章制度和技术手段(如密码锁、监视器等)限制人员进入非授权区域。(2)设备安全需求 重要设备必须设置安全防盗报警装置和监视系统,防止设备被盗、被毁; 重要设备
17、,如服务器、核心交换机等,要有冗余热备份,并能快速在线恢复; 存放重要设备的机房发生电源故障后,要能提供 1 个小时以上的后备电力供应; 重要设备要存放在能防止雷击等自然灾害破坏的机房中; 存放重要设备的机房要具有防电磁干扰、防计算机辐射泄漏的设施。(3)媒体安全需求 保存重要数据的介质要有异地备份; 存放重要备份数据的介质要保存在符合 GBJ4582 中规定的一级耐火等级的房间,或存放在具备防火、防高温、防水、防震的容器中; 定期对备份介质进行检查,保证其可用性等; 介质库必须有专人管理,严格控制人员的进出。2网络安全需求分析网络安全是社会保险信息系统安全运行的基础,保证系统安全运行的关键。
18、网络系统的安全需求包括网络边界安全需求、入侵监测与实时监控需求、安全事件的响应和处理需求分析。(1)网络边界安全需求 在具有不同安全级别的网络安全域边界配置安全设备和访问控制策略,严格控制不同安全域之间的访问行为; 省市劳动保障部门的办公网和业务专网之间按照国家和地方政府电子政务内网的相关安全标准进行物理隔离,业务网络与 Internet 逻辑隔离; 防止非法的网络路由接入,阻止非法者窃听、窃取、篡改网络数据,防范通过远程访问非法接入; 能够对 IP 数据包进行过滤;(2)入侵监测与实时监控需求 能够定期自动地对网络安全进行扫描和风险评估,发现网络安全弱点和漏洞; 能够监测和发现入侵行为,并对
19、网络违规行为能够实时报警和响应; 能够对系统中所有与安全有关事件进行跟踪审计; 入侵监测系统需要与防火墙联动,实现网络安全域的动态防护。(3)网络基础设施的可用性连接中央、省、市三级业务专网广域主干的网络基础设施需要进行高可用性配置,以保证业务信息的无中断可靠传输。3系统及应用安全需求分析系统及应用安全需求分析包括防病毒传播需求分析、操作系统安全需求、用户权限管理需求、访问控制安全需求、业务信息系统安全需求等构成。具体需求为:(1)防范病毒传播需求 系统必须能自动侦测并清除来自网络或其他输入设备(软驱、光驱、移动存储设备等)的病毒; 病毒特征库和扫描引擎的更新可通过网络分布部署,可通过服务器自
20、动分发客户端工作站防毒软件,简化安装过程; 系统必须能够在工作站引导区遭受病毒破坏后帮助进行紧急恢复; 服务器防病毒系统必须能监控、查杀服务器本身的病毒,也能及时发现、处理来自网络上的病毒,及时清除邮件系统的病毒;(2)操作系统安全需求 操作系统的安全等级要达到 C2 级; 能够通过对主体(人、进程)识别和对客体(文件、设备)标注,划分安全级别和范畴,实现由操作系统对主、客体之间的访问关系进行控制; 能够定期自动地对操作系统安全进行扫描和风险评估,发现系统安全弱点和漏洞,并及时补救; 对于关键业务系统,应按照高可用性方案配置,系统具有冗余性和快速故障恢复能力; 必须能够按照制定的安全审计计划进
21、行审计处理,包括审计日志和对违规事件的处理; (3)用户权限管理需求 能够为用户分配用户标识符 UID,并保证用户的唯一性; 支持用户的分级和分组管理机制; 能够设定用户访问权限的有效日期、有效时间段; 能够提供可靠的用户身份认证手段,如密码等; 权限管理必须满足最小授权原则,使每个用户和进程只具有完成其任务的最小权限。(4)访问控制需求 建立有效的用户身份认证机制,防范来自非法用户的非法访问和合法用户的非授权访问; 能够提供包括用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查等多道安全检查; 能够支持按照自主访问控制规则对用户进行访问控制,即按照用户与被访问对象(文件等)的关
22、系来决定是否允许访问; 能够支持使用强制访问控制规则对用户进行强制访问控制检查,即根据该用户在多级安全模型中所具有的安全属性(等级和范畴) 、本次访问操作所涉及的对象(如文件)在多级安全模型中的安全属性(等级和范畴)来确定这次访问是否被允许; 系统必须能够防止用户经过被允许路径以外的其他访问路径,隐蔽地实现某些越权的非法访问; 系统必须能够将每一次访问记录在日志文件中,并提供分析和审计功能。(5)业务信息系统安全需求 业务经办社会保险信息系统网络主要支持社会保险经办业务,包括本地业务经办和异地业务经办,如基本养老保险、补充养老保险、基本医疗保险、补充医疗保险等本地经办业务信息的传递,异地领取养
23、老金人员有关信息的传递,在职社会保险关系转移人员有关信息的传递,异地就医信息的传递等。这类业务传输的是个体性数据,且与个体利益直接相关,则在安全需求方面,要求操作时必须核实操作者的有效身份和操作权限,网络必须确保流程严格无漏洞,且系统连续稳定,数据传输必须确保信息准确、保密、且不可抵赖,在出现事故后可追究责任。 公共服务社会保险信息系统网络支持公共服务,除有关政策法规信息和参数类信息的发布外,还面向参保人员和参保单位等社会对象提供个体性数据的查询等服务。对于政策法规和缴费比例等公开性信息,无须在应用层做安全控制。对于个体性数据,如个人帐户信息等的查询,必须确认查询者具有合法身份,不完全强调查询
24、者就是参保者本人,可以是参保者授权的其他人员。对于将来逐步开展的异地网上业务办理,会要求核实个体的真实身份。 基金监管基金监管,主要为上级部门监管下级基金状况服务,要求既可以监管基金的总体数据,又可以监管某具体单位的数据,包括统计数据上传、按非常规需求进行查询等方式。由于涉及基金问题,在数据传输方面必须确保信息的保密性、准确性,在具体查询操作时还必须核实操作者的有效身份和操作权限。 宏观决策社会保险信息系统网络上的宏观决策主要为上级部门提供决策支持服务,传递各种业务信息。这一过程将利用网络扫描方式实现,即通过下发有关操作指令实现统计、查询或抽样,并上传有关数据,具体包括三种方式。对于固定周期固
25、定报表方式,指令先期下达,数据定期统计上传,不涉及个体性数据,则只需确保信息的保密性、准确性,且在上传数据时满足操作权限要求。对于临时构造统计报表并下发,以及原始数据抽样方式,指令为临时下达,操作时则要核实下达指令者的有效身份和操作权限,且不可抵赖;其余安全需求同固定周期固定报表方式。另外,对于具体的个体性数据,不同的字段有不同的安全级别,应在数据库设计进行控制。表 6-28 社会保险业务安全需求分析异地公共服务 宏观决策异地业务经办政策信息个体信息查询和咨询异地网上业务办 理基金监管固定周期固定报 表临时构造表、原始抽样身份认证 操作权限 流程严格无漏洞 系统连续稳定 信息准确 信息保密 不可抵赖 可追究责任 4数据安全需求分析数据安全需求包括数据库安全需求、数据传输安全需求、数据存储安全需求等构成。(1)数据库管理系统安全需求
