政務系統(tǒng)安全設計方案

1系統(tǒng)安全設計1.1安全體系建設目標在合理成本基礎上，實現(xiàn)工傷保險信息系統(tǒng)和“互聯(lián)網(wǎng)+政務”相關對接業(yè)務安全和運行安全，即確保信息系統(tǒng)各類設備的正常運行，業(yè)務流程安全，確保數(shù)據(jù)信息的安全存儲與傳輸，為信息系統(tǒng)各類業(yè)務提供安全保證。為了便于理解和落實，將安全目標分解，可以得到以下子目標：監(jiān)控并整合系統(tǒng)中各種安全產品的安全事件，實現(xiàn)安全管理；安全保障貫穿于生命周期的全程，要定期對系統(tǒng)風險進行評測，保證整個系統(tǒng)生命周期全過程的安全性，實現(xiàn)動態(tài)安全；業(yè)務信息的保密性、完整性和可用性得到保護。1.2安全體系設計原則1.2.1整體性原則基于全網(wǎng)劃分核心網(wǎng)絡邊界，控制聯(lián)入核心網(wǎng)絡的接入點邏輯上隔離業(yè)務協(xié)作網(wǎng)、內部業(yè)務專網(wǎng)和公共服務網(wǎng)邏輯上隔離核心網(wǎng)絡與非核心、網(wǎng)絡在邊界和核心、設置多級安全策略1.2.2層次性原則多層次攔截以降低安全風險。1.2.3實用性原則根據(jù)當前需要設計安全方案充分滿足當前的需要盡量降低成本及時的安全報警機制1.2.4可適應性和擴展性在所有存在各種各樣不安全因素的網(wǎng)絡和應用環(huán)境中，建立一個一定時期內相對安全穩(wěn)定的網(wǎng)絡系統(tǒng)整個系統(tǒng)的安全策略部署是可以隨著系統(tǒng)的變化、發(fā)展而變化、發(fā)展的，同時具有長期的有效性不同時期網(wǎng)絡安全策略可能不同，安全服務體系必須能夠隨著安全策略的變化而靈活改變1.2.5可管理性原則網(wǎng)絡核心設備的集中可控性網(wǎng)絡物理結構變化的可管理性各種安全設備（防火墻、IDS、抗拒絕服務產品、安全審計等）的可管理性內部員工維護工作的可管理性在遵循以上安全原則的前提下，將xxxxx勞動保障信息系統(tǒng)按區(qū)域安全特點進行有針對性的網(wǎng)絡安全建設。國標號標準名稱對應國際標準GB/T9387.21995信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結構ISO7498-2:1989TCP/IP安全體系結構RFC1825通用數(shù)據(jù)安全體系信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架CDSAISO10181:1996GB/T18237-2000GB/T18231-2000信息技術開放系統(tǒng)互連通用高層安全信息技術低層安全ISO/IEC11586:1996ISO/IEC13594GB/T9361-1988計算機場地安全要求GB/T2887-2000GB50174-1993計算機場地通用規(guī)范電子計算機房設計規(guī)范GB/T17900-1999網(wǎng)絡代理服務器的安全技術要求GB/T18018-1999GB/T18019-1999路由器安全技術要求信息技術包過濾防火墻安全技術要求GB/T18020-1999信息技術應用級防火墻安全技術要求GA243-2000GB/T17963-2000計算機病毒防治產品評級準則信息技術開放系統(tǒng)互連網(wǎng)絡層安全協(xié)議ISO/IEC11577:1995GB/T17143.71997GB/T17143.81997信息技術開放系統(tǒng)互連系統(tǒng)管理安全報警報告功能信息技術開放系統(tǒng)互連系統(tǒng)管理安全審計跟蹤功能ISO/IEC10164-7:1992ISO/IEC10164-8:1993GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則信息安全管理標準ISO/IEC19677GB/T18336-2001信息技術安全技術信息技術安全性評估準則ISO/IEC15408:19991.4整體安全設計模型1.4.1安全保障體系結構模型在仔細研究了多種信息網(wǎng)絡安全體系結構后，我們認為從單一的角度得出整個信息系統(tǒng)完整的安全保障體系模型是非常困難的。因此，在參考國際標準ISO17799和中華人民共和國國家標準-計算機信息系統(tǒng)安全保護等級劃分準則(GB17859-1999)，借鑒ISO7498-2中所描述的開放系統(tǒng)互聯(lián)安全的體系結構，提出了適合信息系統(tǒng)的安全保障體系結構模型，如圖所示：

安全管理協(xié)議層次安層...應層I傳*:”"層，""層/"理安全管理協(xié)議層次安層...應層I傳*:”"層，""層/"理X-物訪問控制數(shù)據(jù)保密物理安全計算機網(wǎng)絡安全計算機系統(tǒng)安全應用系統(tǒng)安全安全服務圖表1安全保障體系結構模型圖該模型分別從安全服務、協(xié)議層次和系統(tǒng)單元三個層面對社會保障信息系統(tǒng)的安全保障體系的建設進行了全面的分析。從上圖中可以看到，所有三個層面都包含了安全管理的內容，這正體現(xiàn)了技術手段為輔、嚴格高效的管理為主的現(xiàn)代管理思想。安全服務層次從各種單元安全解決方案所必需的一些基本安全服務的角度出發(fā)，來考察社會保障信息系統(tǒng)安全保障體系的建設。這些基本安全服務包括身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴、審計跟蹤和可用性服務。其中前五種安全服務取自于國際標準化組織制訂的安全體系結構模型［ISO7498-2］，在［ISO7498-2］基礎上增加了審計跟蹤服務和可用性服務。協(xié)議層次從TCP/IP協(xié)議的分層模型出發(fā)，分別從TCP/IP協(xié)議的物理層、鏈路層、網(wǎng)絡層、傳輸層和應用層來考察社會保障信息系統(tǒng)安全保障體系的建設。

系統(tǒng)單元層次從信息網(wǎng)絡系統(tǒng)所處的環(huán)境及其自身的各個組成單元出發(fā)，分別從物理環(huán)境安全、網(wǎng)絡平臺安全、系統(tǒng)平臺安全和應用系統(tǒng)安全等四個方面來考察社會保障信息系統(tǒng)安全保障體系的建設。安全管理涉及到所有協(xié)議層次、所有單元的安全服務和安全機制的管理。安全管理主要涉及兩方面的內容：各種安全管理技術和安全管理制度等。1.4.2安全保障體系框架模型將安全保障體系結構模型中實現(xiàn)安全服務的所有的安全保障措施和行動按人、技術和操作三個要素劃分為三個層面。人、技術和操作是信息系統(tǒng)安全保障體系中的三個重要組成部分：人利用各種技術來對網(wǎng)絡和信息系統(tǒng)進行操作，從而達到保護網(wǎng)絡和信息系統(tǒng)安全性的目的。網(wǎng)絡信息系統(tǒng)的安全保障毫無疑問需要以信息安全保障技術為基礎來解決，而同時信息安全又強烈地依賴于人及人的操作。因此，我們在設計信息系統(tǒng)安全保障體系時，強調信息安全保障需要人、技術和操作三要素的均衡；強調信息安全是過程，安全管理必然不可缺少；強調安全管理涉及人與環(huán)境，安全技術以及安全操作的各個方面，良好的安全管理機制和措施是各種要素取得均衡的關鍵；強調安全標準化將確保各種安全技術和措施能夠協(xié)同工作和實現(xiàn)整體效能。因此，系統(tǒng)安全保障體系是在統(tǒng)一的安全原則指導下，從安全防護體系、安全管理保障體系、應急響應支援體系三方面進行建

設，形成集防護、檢測、響應于一體的安全保障體系，從而實現(xiàn)物理安全、網(wǎng)絡系統(tǒng)安全、應用安全、安全管理，以滿足社會保障信息系統(tǒng)最根本的安全需求。安全保障體系框架如圖：三種能力：防護、監(jiān)測、響應三種能力：防護、監(jiān)測、響應應用安全身份認證、訪問控制、數(shù)字簽名、安應用安全身份認證、訪問控制、數(shù)字簽名、安數(shù)據(jù)加密、安全審計全操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、防系統(tǒng)安全網(wǎng)絡檢測與監(jiān)控、冗災備份、病護毒防護、安全審計體網(wǎng)絡安全防火墻、抗DoS/DDoS攻擊、網(wǎng)絡系檢測監(jiān)控、病毒防護、安全審計實體安全設備安全、環(huán)境安全、媒體安全應急響應支援體系安全管理保障體系/1.4.3安全保障體系動態(tài)防護模型包括制定風險分析和評估(RiskAnalysis)、實施前的預防措施(Prevention).實施中的保護措施(Protection)、檢測措施(Detection)、以及事后的響應(Response)、應急恢復(Recovery)等。這四個階段形成了一個周期，也就是人們熟知的R-PDRR模型。其中，風險分析產生安全政策，安全政策決定預防、防護、檢測和響應、恢復措施。應急響應在這個模型中，不僅僅是預防和檢測措施的必要補充，而且對可以發(fā)現(xiàn)安全政策的漏洞，重新進行風險評估、修訂安全政策、加強或調整預防、檢測和響應措施。其動態(tài)防護模型如圖表所示。通過這種動態(tài)的循環(huán)防護過程，可以逐漸降低信息系統(tǒng)面臨的安全風險，提高整個系統(tǒng)的安全防護能力、隱患發(fā)現(xiàn)能力和應急反應能力，確保社會保障信息系統(tǒng)能夠提供高效、安全的服務。1.4.4安全保障體系模型特點信息系統(tǒng)安全保障體系框架具有如下特點：體現(xiàn)了安全管理是綱、安全技術是基礎、安全的人和操作是保障的思想；強調信息安全保障需要人、技術和操作三要素的均衡；強調安全的過程性和動態(tài)性以及防護、檢測和反映（PDR）模型的應用；強調深度防御和分層防護的原則。1.5整體安全解決方案設計1.5.1基礎設施安全基礎設施的安全包含了機房安全、系統(tǒng)平臺安全、網(wǎng)絡安全三大部分。這三大部分與應用安全一起構成信息系統(tǒng)的安全體系。1.5.2應用系統(tǒng)的安全1.5.2.1IP安全策略IP安全策略是一個基于通訊分析的策略，主要依據(jù)是將通訊內容與設定好的規(guī)則進行對比分析，如果與預期分析的結果不能夠吻合，那么它就認為當前的訪問是非法了而拒絕訪問，它彌補了TCP/IP協(xié)議的“隨意通訊”的不足，可以實現(xiàn)更安全的TCP/IP控制策略。定制IP安全策略主要是針對于端口攻擊而采取的一種安全策略，端口作為計算與網(wǎng)絡聯(lián)接的第一道屏障，不同的端口因為服務的性質不同而有所不同。1.5.2.2身份認證根據(jù)本系統(tǒng)的信息安全需求，系統(tǒng)采用基于集中統(tǒng)一的身份認證機制，這與電子政務安全體系基礎安全機制是一致的。通過與身份認證系統(tǒng)，可以實現(xiàn)安全的社保信息系統(tǒng)?？梢圆捎茫和ㄟ^基于數(shù)字證書的認證方法來確認用戶身份；提供基于數(shù)字證書的授權控制來實現(xiàn)對信息資源和應用的訪問控制；通過對消息摘要和數(shù)字簽名的驗證來提供完整性保護；采用數(shù)字簽名來提供不可否認，防抵賴。1.5.2.3權限控制模式1.5.2.3.1矩陣式訪問權限控制模式通過矩陣式訪問權限控制模式，根據(jù)數(shù)據(jù)的所有者和所屬業(yè)務區(qū)域兩個屬性，將數(shù)據(jù)的訪問控制權限按塊狀劃分。每個操作者根據(jù)不同的操作權限訪問不同區(qū)域內的數(shù)據(jù)。例如：市本級勞動力市場管理崗位的操作人員，只能訪問市本級管理相關數(shù)據(jù)。1.5.2.3.2多級授權管理模式通過多級授權管理模式，對系統(tǒng)操作權限的授權進行管理。多級授權管理模式，采用了授權權限管理和業(yè)務授權管理兩條線進行多級管理的授權權限管理模式。在授權權限管理的這條線上，市中心系統(tǒng)管理員給市本級和各區(qū)縣系統(tǒng)管理員授權，授權給市本級和各區(qū)縣系統(tǒng)管理員在本機構范圍內進行業(yè)務權限的分配。市本級和各區(qū)縣系統(tǒng)管理員給本機構內的業(yè)務管理員授權，授權業(yè)務管理員對其業(yè)務范圍內的操作崗位授權。在業(yè)務授權管理的這條線上，各業(yè)務管理員根據(jù)本機構內的系統(tǒng)管理員所授業(yè)務范圍的權限，對本業(yè)務范圍內的具體業(yè)務崗位授操作權限。1.5.2.4訪問日志記錄確保交易的不可抵賴性建立應用系統(tǒng)訪問日志記錄，對所有應用系統(tǒng)的操作過程軌跡進行記錄，以便為以后對操作痕跡進行追蹤，為應用系統(tǒng)操作漏洞分析提供原始證據(jù)。訪問日志記錄，包括了操作軌跡的記錄、應用系統(tǒng)錯誤日志記錄、訪問日志數(shù)據(jù)存儲和分析等。以訪問日志的形式，確保應用系交易的不可抵賴性。數(shù)據(jù)信息安全主要包括以下幾個方面：1、 信息存儲的安全防護。信息存儲的安全防護辦法有：數(shù)據(jù)的備份與恢復、安全數(shù)據(jù)庫和安全操作系統(tǒng)等。2、 信息使用的安全防護。信息使用的安全防護辦法有：計算機病毒防治、數(shù)據(jù)操作的安全和數(shù)據(jù)傳輸過程的安全：加密、簽名。3、 數(shù)據(jù)加密不是信息系統(tǒng)所有安全域之間、端系統(tǒng)之間及端系統(tǒng)強制必須的信息系統(tǒng)采用加密技術實現(xiàn)計費、用戶身份和鑒權口令、用戶資源等關鍵信息的加密傳輸或加密存儲。安全審計安全審計系統(tǒng)負責對各類系統(tǒng)的全部活動的過程軌跡進行記錄，以便為事后的安全審計追蹤、系統(tǒng)安全漏洞分析提供原始證據(jù)。安全審計系統(tǒng)的功能主要包括安全審計事件自動響應、安全審計數(shù)據(jù)生成、安全審計數(shù)據(jù)存儲、安全審計分析等。1.5.4安全管理制度，內控安全制度信息系統(tǒng)的建設和運用離不開各級機構具體實施操作的人，因此，單一的信息安全機制、技術和服務及其簡單組合，不能保證信息系統(tǒng)的安全、有序和有效地運行，一個完整可控的安全體系必須依靠相應的管理制度、管理手段和技術手段相結合。人是計算機信息系統(tǒng)最終的使用者，在整個信息安全管理中，人員安全管理是致關重要的，管理制度將為人員管理服務。安全管理制度包括了：安全制度的建立、安全組織的建立、人員安全培訓、人員安全審查等多個方面。1.5.4.1安全管理建設原則安全管理原則。安全管理原則有：多人原則、任期有限原則、職責分離原則。任期有限原則。對計算機系統(tǒng)管理員，采取任期制，并且任期有限。每任管理員其任期過后，都應該對其進行適當?shù)恼{整。職責分離原則。對系統(tǒng)的不同部分，應該由不同的管理員來管理，職責分離。避免個別人員的權力過大，防止不當?shù)氖虑榘l(fā)生1.5.4.2安全組織及其職能安全組織的建立包含了：建立安全組織機構，完善管理制度，建立有效的工作機制，做到事有人管，職責分工明確。對內部人員進行有組織的業(yè)務培訓、安全教育、規(guī)范行為、制定章程等。安全組織的職能和任務是：管好系統(tǒng)有關人員。包括其思想品德、職業(yè)道德和業(yè)務素質等。安全管理組織的目標是管好計算機資產即計算機信息系統(tǒng)資源和信息資源安全。這是一個嶄新的公共安全工作領域，須使安全工作組織機制不能隸屬于計算機運行或應用部門，而由安全負責人負責安全組織的具體工作，直接對單位主要領導及公安主管部門負責。這也是建立安全組織的基本要求。1.5.4.3人員安全審查人員安全審查從幾方面考慮：從人員的安全意識、法律意識、安全技能等方面進行審查1.5.4.4人員安全考核安全部門定期組織對信息系統(tǒng)所有的工作人員業(yè)務及品質兩方面進行考核。對指導思想、業(yè)務水平、工作表現(xiàn)、遵守安全規(guī)程等方面進行考核。對于考核中發(fā)現(xiàn)有違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸信息系統(tǒng)的人員要及時調離崗位，不