政務(wù)系統(tǒng)安全設(shè)計(jì)方案

1系統(tǒng)安全設(shè)計(jì)1.1安全體系建設(shè)目標(biāo)在合理成本基礎(chǔ)上，實(shí)現(xiàn)工傷保險(xiǎn)信息系統(tǒng)和“互聯(lián)網(wǎng)+政務(wù)”相關(guān)對(duì)接業(yè)務(wù)安全和運(yùn)行安全，即確保信息系統(tǒng)各類設(shè)備的正常運(yùn)行，業(yè)務(wù)流程安全，確保數(shù)據(jù)信息的安全存儲(chǔ)與傳輸，為信息系統(tǒng)各類業(yè)務(wù)提供安全保證。為了便于理解和落實(shí)，將安全目標(biāo)分解，可以得到以下子目標(biāo)：監(jiān)控并整合系統(tǒng)中各種安全產(chǎn)品的安全事件，實(shí)現(xiàn)安全管理；安全保障貫穿于生命周期的全程，要定期對(duì)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行評(píng)測(cè)，保證整個(gè)系統(tǒng)生命周期全過(guò)程的安全性，實(shí)現(xiàn)動(dòng)態(tài)安全；業(yè)務(wù)信息的保密性、完整性和可用性得到保護(hù)。1.2安全體系設(shè)計(jì)原則1.2.1整體性原則基于全網(wǎng)劃分核心網(wǎng)絡(luò)邊界，控制聯(lián)入核心網(wǎng)絡(luò)的接入點(diǎn)邏輯上隔離業(yè)務(wù)協(xié)作網(wǎng)、內(nèi)部業(yè)務(wù)專網(wǎng)和公共服務(wù)網(wǎng)邏輯上隔離核心網(wǎng)絡(luò)與非核心、網(wǎng)絡(luò)在邊界和核心、設(shè)置多級(jí)安全策略1.2.2層次性原則多層次攔截以降低安全風(fēng)險(xiǎn)。1.2.3實(shí)用性原則根據(jù)當(dāng)前需要設(shè)計(jì)安全方案充分滿足當(dāng)前的需要盡量降低成本及時(shí)的安全報(bào)警機(jī)制1.2.4可適應(yīng)性和擴(kuò)展性在所有存在各種各樣不安全因素的網(wǎng)絡(luò)和應(yīng)用環(huán)境中，建立一個(gè)一定時(shí)期內(nèi)相對(duì)安全穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)整個(gè)系統(tǒng)的安全策略部署是可以隨著系統(tǒng)的變化、發(fā)展而變化、發(fā)展的，同時(shí)具有長(zhǎng)期的有效性不同時(shí)期網(wǎng)絡(luò)安全策略可能不同，安全服務(wù)體系必須能夠隨著安全策略的變化而靈活改變1.2.5可管理性原則網(wǎng)絡(luò)核心設(shè)備的集中可控性網(wǎng)絡(luò)物理結(jié)構(gòu)變化的可管理性各種安全設(shè)備（防火墻、IDS、抗拒絕服務(wù)產(chǎn)品、安全審計(jì)等）的可管理性內(nèi)部員工維護(hù)工作的可管理性在遵循以上安全原則的前提下，將xxxxx勞動(dòng)保障信息系統(tǒng)按區(qū)域安全特點(diǎn)進(jìn)行有針對(duì)性的網(wǎng)絡(luò)安全建設(shè)。國(guó)標(biāo)號(hào)標(biāo)準(zhǔn)名稱對(duì)應(yīng)國(guó)際標(biāo)準(zhǔn)GB/T9387.21995信息處理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)ISO7498-2:1989TCP/IP安全體系結(jié)構(gòu)RFC1825通用數(shù)據(jù)安全體系信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架CDSAISO10181:1996GB/T18237-2000GB/T18231-2000信息技術(shù)開(kāi)放系統(tǒng)互連通用高層安全信息技術(shù)低層安全I(xiàn)SO/IEC11586:1996ISO/IEC13594GB/T9361-1988計(jì)算機(jī)場(chǎng)地安全要求GB/T2887-2000GB50174-1993計(jì)算機(jī)場(chǎng)地通用規(guī)范電子計(jì)算機(jī)房設(shè)計(jì)規(guī)范GB/T17900-1999網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求GB/T18018-1999GB/T18019-1999路由器安全技術(shù)要求信息技術(shù)包過(guò)濾防火墻安全技術(shù)要求GB/T18020-1999信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求GA243-2000GB/T17963-2000計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則信息技術(shù)開(kāi)放系統(tǒng)互連網(wǎng)絡(luò)層安全協(xié)議ISO/IEC11577:1995GB/T17143.71997GB/T17143.81997信息技術(shù)開(kāi)放系統(tǒng)互連系統(tǒng)管理安全報(bào)警報(bào)告功能信息技術(shù)開(kāi)放系統(tǒng)互連系統(tǒng)管理安全審計(jì)跟蹤功能ISO/IEC10164-7:1992ISO/IEC10164-8:1993GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信息安全管理標(biāo)準(zhǔn)ISO/IEC19677GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則ISO/IEC15408:19991.4整體安全設(shè)計(jì)模型1.4.1安全保障體系結(jié)構(gòu)模型在仔細(xì)研究了多種信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)后，我們認(rèn)為從單一的角度得出整個(gè)信息系統(tǒng)完整的安全保障體系模型是非常困難的。因此，在參考國(guó)際標(biāo)準(zhǔn)ISO17799和中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)-計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859-1999)，借鑒ISO7498-2中所描述的開(kāi)放系統(tǒng)互聯(lián)安全的體系結(jié)構(gòu)，提出了適合信息系統(tǒng)的安全保障體系結(jié)構(gòu)模型，如圖所示：

安全管理協(xié)議層次安層...應(yīng)層I傳*:”"層，""層/"理安全管理協(xié)議層次安層...應(yīng)層I傳*:”"層，""層/"理X-物訪問(wèn)控制數(shù)據(jù)保密物理安全計(jì)算機(jī)網(wǎng)絡(luò)安全計(jì)算機(jī)系統(tǒng)安全應(yīng)用系統(tǒng)安全安全服務(wù)圖表1安全保障體系結(jié)構(gòu)模型圖該模型分別從安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個(gè)層面對(duì)社會(huì)保障信息系統(tǒng)的安全保障體系的建設(shè)進(jìn)行了全面的分析。從上圖中可以看到，所有三個(gè)層面都包含了安全管理的內(nèi)容，這正體現(xiàn)了技術(shù)手段為輔、嚴(yán)格高效的管理為主的現(xiàn)代管理思想。安全服務(wù)層次從各種單元安全解決方案所必需的一些基本安全服務(wù)的角度出發(fā)，來(lái)考察社會(huì)保障信息系統(tǒng)安全保障體系的建設(shè)。這些基本安全服務(wù)包括身份鑒別、訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴、審計(jì)跟蹤和可用性服務(wù)。其中前五種安全服務(wù)取自于國(guó)際標(biāo)準(zhǔn)化組織制訂的安全體系結(jié)構(gòu)模型［ISO7498-2］，在［ISO7498-2］基礎(chǔ)上增加了審計(jì)跟蹤服務(wù)和可用性服務(wù)。協(xié)議層次從TCP/IP協(xié)議的分層模型出發(fā)，分別從TCP/IP協(xié)議的物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層來(lái)考察社會(huì)保障信息系統(tǒng)安全保障體系的建設(shè)。

系統(tǒng)單元層次從信息網(wǎng)絡(luò)系統(tǒng)所處的環(huán)境及其自身的各個(gè)組成單元出發(fā)，分別從物理環(huán)境安全、網(wǎng)絡(luò)平臺(tái)安全、系統(tǒng)平臺(tái)安全和應(yīng)用系統(tǒng)安全等四個(gè)方面來(lái)考察社會(huì)保障信息系統(tǒng)安全保障體系的建設(shè)。安全管理涉及到所有協(xié)議層次、所有單元的安全服務(wù)和安全機(jī)制的管理。安全管理主要涉及兩方面的內(nèi)容：各種安全管理技術(shù)和安全管理制度等。1.4.2安全保障體系框架模型將安全保障體系結(jié)構(gòu)模型中實(shí)現(xiàn)安全服務(wù)的所有的安全保障措施和行動(dòng)按人、技術(shù)和操作三個(gè)要素劃分為三個(gè)層面。人、技術(shù)和操作是信息系統(tǒng)安全保障體系中的三個(gè)重要組成部分：人利用各種技術(shù)來(lái)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行操作，從而達(dá)到保護(hù)網(wǎng)絡(luò)和信息系統(tǒng)安全性的目的。網(wǎng)絡(luò)信息系統(tǒng)的安全保障毫無(wú)疑問(wèn)需要以信息安全保障技術(shù)為基礎(chǔ)來(lái)解決，而同時(shí)信息安全又強(qiáng)烈地依賴于人及人的操作。因此，我們?cè)谠O(shè)計(jì)信息系統(tǒng)安全保障體系時(shí)，強(qiáng)調(diào)信息安全保障需要人、技術(shù)和操作三要素的均衡；強(qiáng)調(diào)信息安全是過(guò)程，安全管理必然不可缺少；強(qiáng)調(diào)安全管理涉及人與環(huán)境，安全技術(shù)以及安全操作的各個(gè)方面，良好的安全管理機(jī)制和措施是各種要素取得均衡的關(guān)鍵；強(qiáng)調(diào)安全標(biāo)準(zhǔn)化將確保各種安全技術(shù)和措施能夠協(xié)同工作和實(shí)現(xiàn)整體效能。因此，系統(tǒng)安全保障體系是在統(tǒng)一的安全原則指導(dǎo)下，從安全防護(hù)體系、安全管理保障體系、應(yīng)急響應(yīng)支援體系三方面進(jìn)行建

設(shè)，形成集防護(hù)、檢測(cè)、響應(yīng)于一體的安全保障體系，從而實(shí)現(xiàn)物理安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用安全、安全管理，以滿足社會(huì)保障信息系統(tǒng)最根本的安全需求。安全保障體系框架如圖：三種能力：防護(hù)、監(jiān)測(cè)、響應(yīng)三種能力：防護(hù)、監(jiān)測(cè)、響應(yīng)應(yīng)用安全身份認(rèn)證、訪問(wèn)控制、數(shù)字簽名、安應(yīng)用安全身份認(rèn)證、訪問(wèn)控制、數(shù)字簽名、安數(shù)據(jù)加密、安全審計(jì)全操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、防系統(tǒng)安全網(wǎng)絡(luò)檢測(cè)與監(jiān)控、冗災(zāi)備份、病護(hù)毒防護(hù)、安全審計(jì)體網(wǎng)絡(luò)安全防火墻、抗DoS/DDoS攻擊、網(wǎng)絡(luò)系檢測(cè)監(jiān)控、病毒防護(hù)、安全審計(jì)實(shí)體安全設(shè)備安全、環(huán)境安全、媒體安全應(yīng)急響應(yīng)支援體系安全管理保障體系/1.4.3安全保障體系動(dòng)態(tài)防護(hù)模型包括制定風(fēng)險(xiǎn)分析和評(píng)估(RiskAnalysis)、實(shí)施前的預(yù)防措施(Prevention).實(shí)施中的保護(hù)措施(Protection)、檢測(cè)措施(Detection)、以及事后的響應(yīng)(Response)、應(yīng)急恢復(fù)(Recovery)等。這四個(gè)階段形成了一個(gè)周期，也就是人們熟知的R-PDRR模型。其中，風(fēng)險(xiǎn)分析產(chǎn)生安全政策，安全政策決定預(yù)防、防護(hù)、檢測(cè)和響應(yīng)、恢復(fù)措施。應(yīng)急響應(yīng)在這個(gè)模型中，不僅僅是預(yù)防和檢測(cè)措施的必要補(bǔ)充，而且對(duì)可以發(fā)現(xiàn)安全政策的漏洞，重新進(jìn)行風(fēng)險(xiǎn)評(píng)估、修訂安全政策、加強(qiáng)或調(diào)整預(yù)防、檢測(cè)和響應(yīng)措施。其動(dòng)態(tài)防護(hù)模型如圖表所示。通過(guò)這種動(dòng)態(tài)的循環(huán)防護(hù)過(guò)程，可以逐漸降低信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，提高整個(gè)系統(tǒng)的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力，確保社會(huì)保障信息系統(tǒng)能夠提供高效、安全的服務(wù)。1.4.4安全保障體系模型特點(diǎn)信息系統(tǒng)安全保障體系框架具有如下特點(diǎn)：體現(xiàn)了安全管理是綱、安全技術(shù)是基礎(chǔ)、安全的人和操作是保障的思想；強(qiáng)調(diào)信息安全保障需要人、技術(shù)和操作三要素的均衡；強(qiáng)調(diào)安全的過(guò)程性和動(dòng)態(tài)性以及防護(hù)、檢測(cè)和反映（PDR）模型的應(yīng)用；強(qiáng)調(diào)深度防御和分層防護(hù)的原則。1.5整體安全解決方案設(shè)計(jì)1.5.1基礎(chǔ)設(shè)施安全基礎(chǔ)設(shè)施的安全包含了機(jī)房安全、系統(tǒng)平臺(tái)安全、網(wǎng)絡(luò)安全三大部分。這三大部分與應(yīng)用安全一起構(gòu)成信息系統(tǒng)的安全體系。1.5.2應(yīng)用系統(tǒng)的安全1.5.2.1IP安全策略IP安全策略是一個(gè)基于通訊分析的策略，主要依據(jù)是將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行對(duì)比分析，如果與預(yù)期分析的結(jié)果不能夠吻合，那么它就認(rèn)為當(dāng)前的訪問(wèn)是非法了而拒絕訪問(wèn)，它彌補(bǔ)了TCP/IP協(xié)議的“隨意通訊”的不足，可以實(shí)現(xiàn)更安全的TCP/IP控制策略。定制IP安全策略主要是針對(duì)于端口攻擊而采取的一種安全策略，端口作為計(jì)算與網(wǎng)絡(luò)聯(lián)接的第一道屏障，不同的端口因?yàn)榉?wù)的性質(zhì)不同而有所不同。1.5.2.2身份認(rèn)證根據(jù)本系統(tǒng)的信息安全需求，系統(tǒng)采用基于集中統(tǒng)一的身份認(rèn)證機(jī)制，這與電子政務(wù)安全體系基礎(chǔ)安全機(jī)制是一致的。通過(guò)與身份認(rèn)證系統(tǒng)，可以實(shí)現(xiàn)安全的社保信息系統(tǒng)?？梢圆捎茫和ㄟ^(guò)基于數(shù)字證書(shū)的認(rèn)證方法來(lái)確認(rèn)用戶身份；提供基于數(shù)字證書(shū)的授權(quán)控制來(lái)實(shí)現(xiàn)對(duì)信息資源和應(yīng)用的訪問(wèn)控制；通過(guò)對(duì)消息摘要和數(shù)字簽名的驗(yàn)證來(lái)提供完整性保護(hù)；采用數(shù)字簽名來(lái)提供不可否認(rèn)，防抵賴。1.5.2.3權(quán)限控制模式1.5.2.3.1矩陣式訪問(wèn)權(quán)限控制模式通過(guò)矩陣式訪問(wèn)權(quán)限控制模式，根據(jù)數(shù)據(jù)的所有者和所屬業(yè)務(wù)區(qū)域兩個(gè)屬性，將數(shù)據(jù)的訪問(wèn)控制權(quán)限按塊狀劃分。每個(gè)操作者根據(jù)不同的操作權(quán)限訪問(wèn)不同區(qū)域內(nèi)的數(shù)據(jù)。例如：市本級(jí)勞動(dòng)力市場(chǎng)管理崗位的操作人員，只能訪問(wèn)市本級(jí)管理相關(guān)數(shù)據(jù)。1.5.2.3.2多級(jí)授權(quán)管理模式通過(guò)多級(jí)授權(quán)管理模式，對(duì)系統(tǒng)操作權(quán)限的授權(quán)進(jìn)行管理。多級(jí)授權(quán)管理模式，采用了授權(quán)權(quán)限管理和業(yè)務(wù)授權(quán)管理兩條線進(jìn)行多級(jí)管理的授權(quán)權(quán)限管理模式。在授權(quán)權(quán)限管理的這條線上，市中心系統(tǒng)管理員給市本級(jí)和各區(qū)縣系統(tǒng)管理員授權(quán)，授權(quán)給市本級(jí)和各區(qū)縣系統(tǒng)管理員在本機(jī)構(gòu)范圍內(nèi)進(jìn)行業(yè)務(wù)權(quán)限的分配。市本級(jí)和各區(qū)縣系統(tǒng)管理員給本機(jī)構(gòu)內(nèi)的業(yè)務(wù)管理員授權(quán)，授權(quán)業(yè)務(wù)管理員對(duì)其業(yè)務(wù)范圍內(nèi)的操作崗位授權(quán)。在業(yè)務(wù)授權(quán)管理的這條線上，各業(yè)務(wù)管理員根據(jù)本機(jī)構(gòu)內(nèi)的系統(tǒng)管理員所授業(yè)務(wù)范圍的權(quán)限，對(duì)本業(yè)務(wù)范圍內(nèi)的具體業(yè)務(wù)崗位授操作權(quán)限。1.5.2.4訪問(wèn)日志記錄確保交易的不可抵賴性建立應(yīng)用系統(tǒng)訪問(wèn)日志記錄，對(duì)所有應(yīng)用系統(tǒng)的操作過(guò)程軌跡進(jìn)行記錄，以便為以后對(duì)操作痕跡進(jìn)行追蹤，為應(yīng)用系統(tǒng)操作漏洞分析提供原始證據(jù)。訪問(wèn)日志記錄，包括了操作軌跡的記錄、應(yīng)用系統(tǒng)錯(cuò)誤日志記錄、訪問(wèn)日志數(shù)據(jù)存儲(chǔ)和分析等。以訪問(wèn)日志的形式，確保應(yīng)用系交易的不可抵賴性。數(shù)據(jù)信息安全主要包括以下幾個(gè)方面：1、 信息存儲(chǔ)的安全防護(hù)。信息存儲(chǔ)的安全防護(hù)辦法有：數(shù)據(jù)的備份與恢復(fù)、安全數(shù)據(jù)庫(kù)和安全操作系統(tǒng)等。2、 信息使用的安全防護(hù)。信息使用的安全防護(hù)辦法有：計(jì)算機(jī)病毒防治、數(shù)據(jù)操作的安全和數(shù)據(jù)傳輸過(guò)程的安全：加密、簽名。3、 數(shù)據(jù)加密不是信息系統(tǒng)所有安全域之間、端系統(tǒng)之間及端系統(tǒng)強(qiáng)制必須的信息系統(tǒng)采用加密技術(shù)實(shí)現(xiàn)計(jì)費(fèi)、用戶身份和鑒權(quán)口令、用戶資源等關(guān)鍵信息的加密傳輸或加密存儲(chǔ)。安全審計(jì)安全審計(jì)系統(tǒng)負(fù)責(zé)對(duì)各類系統(tǒng)的全部活動(dòng)的過(guò)程軌跡進(jìn)行記錄，以便為事后的安全審計(jì)追蹤、系統(tǒng)安全漏洞分析提供原始證據(jù)。安全審計(jì)系統(tǒng)的功能主要包括安全審計(jì)事件自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)數(shù)據(jù)存儲(chǔ)、安全審計(jì)分析等。1.5.4安全管理制度，內(nèi)控安全制度信息系統(tǒng)的建設(shè)和運(yùn)用離不開(kāi)各級(jí)機(jī)構(gòu)具體實(shí)施操作的人，因此，單一的信息安全機(jī)制、技術(shù)和服務(wù)及其簡(jiǎn)單組合，不能保證信息系統(tǒng)的安全、有序和有效地運(yùn)行，一個(gè)完整可控的安全體系必須依靠相應(yīng)的管理制度、管理手段和技術(shù)手段相結(jié)合。人是計(jì)算機(jī)信息系統(tǒng)最終的使用者，在整個(gè)信息安全管理中，人員安全管理是致關(guān)重要的，管理制度將為人員管理服務(wù)。安全管理制度包括了：安全制度的建立、安全組織的建立、人員安全培訓(xùn)、人員安全審查等多個(gè)方面。1.5.4.1安全管理建設(shè)原則安全管理原則。安全管理原則有：多人原則、任期有限原則、職責(zé)分離原則。任期有限原則。對(duì)計(jì)算機(jī)系統(tǒng)管理員，采取任期制，并且任期有限。每任管理員其任期過(guò)后，都應(yīng)該對(duì)其進(jìn)行適當(dāng)?shù)恼{(diào)整。職責(zé)分離原則。對(duì)系統(tǒng)的不同部分，應(yīng)該由不同的管理員來(lái)管理，職責(zé)分離。避免個(gè)別人員的權(quán)力過(guò)大，防止不當(dāng)?shù)氖虑榘l(fā)生1.5.4.2安全組織及其職能安全組織的建立包含了：建立安全組織機(jī)構(gòu)，完善管理制度，建立有效的工作機(jī)制，做到事有人管，職責(zé)分工明確。對(duì)內(nèi)部人員進(jìn)行有組織的業(yè)務(wù)培訓(xùn)、安全教育、規(guī)范行為、制定章程等。安全組織的職能和任務(wù)是：管好系統(tǒng)有關(guān)人員。包括其思想品德、職業(yè)道德和業(yè)務(wù)素質(zhì)等。安全管理組織的目標(biāo)是管好計(jì)算機(jī)資產(chǎn)即計(jì)算機(jī)信息系統(tǒng)資源和信息資源安全。這是一個(gè)嶄新的公共安全工作領(lǐng)域，須使安全工作組織機(jī)制不能隸屬于計(jì)算機(jī)運(yùn)行或應(yīng)用部門(mén)，而由安全負(fù)責(zé)人負(fù)責(zé)安全組織的具體工作，直接對(duì)單位主要領(lǐng)導(dǎo)及公安主管部門(mén)負(fù)責(zé)。這也是建立安全組織的基本要求。1.5.4.3人員安全審查人員安全審查從幾方面考慮：從人員的安全意識(shí)、法律意識(shí)、安全技能等方面進(jìn)行審查1.5.4.4人員安全考核安全部門(mén)定期組織對(duì)信息系統(tǒng)所有的工作人員業(yè)務(wù)及品質(zhì)兩方面進(jìn)行考核。對(duì)指導(dǎo)思想、業(yè)務(wù)水平、工作表現(xiàn)、遵守安全規(guī)程等方面進(jìn)行考核。對(duì)于考核中發(fā)現(xiàn)有違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸信息系統(tǒng)的人員要及時(shí)調(diào)離崗位，不