政務(wù)系統(tǒng)安全設(shè)計方案

1系統(tǒng)安全設(shè)計1.1安全體系建設(shè)目標(biāo)在合理成本基礎(chǔ)上，實現(xiàn)工傷保險信息系統(tǒng)和“互聯(lián)網(wǎng)+政務(wù)”相關(guān)對接業(yè)務(wù)安全和運(yùn)行安全，即確保信息系統(tǒng)各類設(shè)備的正常運(yùn)行，業(yè)務(wù)流程安全，確保數(shù)據(jù)信息的安全存儲與傳輸，為信息系統(tǒng)各類業(yè)務(wù)提供安全保證。為了便于理解和落實，將安全目標(biāo)分解，可以得到以下子目標(biāo)：監(jiān)控并整合系統(tǒng)中各種安全產(chǎn)品的安全事件，實現(xiàn)安全管理；安全保障貫穿于生命周期的全程，要定期對系統(tǒng)風(fēng)險進(jìn)行評測，保證整個系統(tǒng)生命周期全過程的安全性，實現(xiàn)動態(tài)安全；業(yè)務(wù)信息的保密性、完整性和可用性得到保護(hù)。1.2安全體系設(shè)計原則1.2.1整體性原則基于全網(wǎng)劃分核心網(wǎng)絡(luò)邊界，控制聯(lián)入核心網(wǎng)絡(luò)的接入點邏輯上隔離業(yè)務(wù)協(xié)作網(wǎng)、內(nèi)部業(yè)務(wù)專網(wǎng)和公共服務(wù)網(wǎng)邏輯上隔離核心網(wǎng)絡(luò)與非核心、網(wǎng)絡(luò)在邊界和核心、設(shè)置多級安全策略1.2.2層次性原則多層次攔截以降低安全風(fēng)險。1.2.3實用性原則根據(jù)當(dāng)前需要設(shè)計安全方案充分滿足當(dāng)前的需要盡量降低成本及時的安全報警機(jī)制1.2.4可適應(yīng)性和擴(kuò)展性在所有存在各種各樣不安全因素的網(wǎng)絡(luò)和應(yīng)用環(huán)境中，建立一個一定時期內(nèi)相對安全穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)整個系統(tǒng)的安全策略部署是可以隨著系統(tǒng)的變化、發(fā)展而變化、發(fā)展的，同時具有長期的有效性不同時期網(wǎng)絡(luò)安全策略可能不同，安全服務(wù)體系必須能夠隨著安全策略的變化而靈活改變1.2.5可管理性原則網(wǎng)絡(luò)核心設(shè)備的集中可控性網(wǎng)絡(luò)物理結(jié)構(gòu)變化的可管理性各種安全設(shè)備（防火墻、IDS、抗拒絕服務(wù)產(chǎn)品、安全審計等）的可管理性內(nèi)部員工維護(hù)工作的可管理性在遵循以上安全原則的前提下，將xxxxx勞動保障信息系統(tǒng)按區(qū)域安全特點進(jìn)行有針對性的網(wǎng)絡(luò)安全建設(shè)。國標(biāo)號標(biāo)準(zhǔn)名稱對應(yīng)國際標(biāo)準(zhǔn)GB/T9387.21995信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)ISO7498-2:1989TCP/IP安全體系結(jié)構(gòu)RFC1825通用數(shù)據(jù)安全體系信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架CDSAISO10181:1996GB/T18237-2000GB/T18231-2000信息技術(shù)開放系統(tǒng)互連通用高層安全信息技術(shù)低層安全I(xiàn)SO/IEC11586:1996ISO/IEC13594GB/T9361-1988計算機(jī)場地安全要求GB/T2887-2000GB50174-1993計算機(jī)場地通用規(guī)范電子計算機(jī)房設(shè)計規(guī)范GB/T17900-1999網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求GB/T18018-1999GB/T18019-1999路由器安全技術(shù)要求信息技術(shù)包過濾防火墻安全技術(shù)要求GB/T18020-1999信息技術(shù)應(yīng)用級防火墻安全技術(shù)要求GA243-2000GB/T17963-2000計算機(jī)病毒防治產(chǎn)品評級準(zhǔn)則信息技術(shù)開放系統(tǒng)互連網(wǎng)絡(luò)層安全協(xié)議ISO/IEC11577:1995GB/T17143.71997GB/T17143.81997信息技術(shù)開放系統(tǒng)互連系統(tǒng)管理安全報警報告功能信息技術(shù)開放系統(tǒng)互連系統(tǒng)管理安全審計跟蹤功能ISO/IEC10164-7:1992ISO/IEC10164-8:1993GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則信息安全管理標(biāo)準(zhǔn)ISO/IEC19677GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則ISO/IEC15408:19991.4整體安全設(shè)計模型1.4.1安全保障體系結(jié)構(gòu)模型在仔細(xì)研究了多種信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)后，我們認(rèn)為從單一的角度得出整個信息系統(tǒng)完整的安全保障體系模型是非常困難的。因此，在參考國際標(biāo)準(zhǔn)ISO17799和中華人民共和國國家標(biāo)準(zhǔn)-計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB17859-1999)，借鑒ISO7498-2中所描述的開放系統(tǒng)互聯(lián)安全的體系結(jié)構(gòu)，提出了適合信息系統(tǒng)的安全保障體系結(jié)構(gòu)模型，如圖所示：

安全管理協(xié)議層次安層...應(yīng)層I傳*:”"層，""層/"理安全管理協(xié)議層次安層...應(yīng)層I傳*:”"層，""層/"理X-物訪問控制數(shù)據(jù)保密物理安全計算機(jī)網(wǎng)絡(luò)安全計算機(jī)系統(tǒng)安全應(yīng)用系統(tǒng)安全安全服務(wù)圖表1安全保障體系結(jié)構(gòu)模型圖該模型分別從安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個層面對社會保障信息系統(tǒng)的安全保障體系的建設(shè)進(jìn)行了全面的分析。從上圖中可以看到，所有三個層面都包含了安全管理的內(nèi)容，這正體現(xiàn)了技術(shù)手段為輔、嚴(yán)格高效的管理為主的現(xiàn)代管理思想。安全服務(wù)層次從各種單元安全解決方案所必需的一些基本安全服務(wù)的角度出發(fā)，來考察社會保障信息系統(tǒng)安全保障體系的建設(shè)。這些基本安全服務(wù)包括身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴、審計跟蹤和可用性服務(wù)。其中前五種安全服務(wù)取自于國際標(biāo)準(zhǔn)化組織制訂的安全體系結(jié)構(gòu)模型［ISO7498-2］，在［ISO7498-2］基礎(chǔ)上增加了審計跟蹤服務(wù)和可用性服務(wù)。協(xié)議層次從TCP/IP協(xié)議的分層模型出發(fā)，分別從TCP/IP協(xié)議的物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層來考察社會保障信息系統(tǒng)安全保障體系的建設(shè)。

系統(tǒng)單元層次從信息網(wǎng)絡(luò)系統(tǒng)所處的環(huán)境及其自身的各個組成單元出發(fā)，分別從物理環(huán)境安全、網(wǎng)絡(luò)平臺安全、系統(tǒng)平臺安全和應(yīng)用系統(tǒng)安全等四個方面來考察社會保障信息系統(tǒng)安全保障體系的建設(shè)。安全管理涉及到所有協(xié)議層次、所有單元的安全服務(wù)和安全機(jī)制的管理。安全管理主要涉及兩方面的內(nèi)容：各種安全管理技術(shù)和安全管理制度等。1.4.2安全保障體系框架模型將安全保障體系結(jié)構(gòu)模型中實現(xiàn)安全服務(wù)的所有的安全保障措施和行動按人、技術(shù)和操作三個要素劃分為三個層面。人、技術(shù)和操作是信息系統(tǒng)安全保障體系中的三個重要組成部分：人利用各種技術(shù)來對網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行操作，從而達(dá)到保護(hù)網(wǎng)絡(luò)和信息系統(tǒng)安全性的目的。網(wǎng)絡(luò)信息系統(tǒng)的安全保障毫無疑問需要以信息安全保障技術(shù)為基礎(chǔ)來解決，而同時信息安全又強(qiáng)烈地依賴于人及人的操作。因此，我們在設(shè)計信息系統(tǒng)安全保障體系時，強(qiáng)調(diào)信息安全保障需要人、技術(shù)和操作三要素的均衡；強(qiáng)調(diào)信息安全是過程，安全管理必然不可缺少；強(qiáng)調(diào)安全管理涉及人與環(huán)境，安全技術(shù)以及安全操作的各個方面，良好的安全管理機(jī)制和措施是各種要素取得均衡的關(guān)鍵；強(qiáng)調(diào)安全標(biāo)準(zhǔn)化將確保各種安全技術(shù)和措施能夠協(xié)同工作和實現(xiàn)整體效能。因此，系統(tǒng)安全保障體系是在統(tǒng)一的安全原則指導(dǎo)下，從安全防護(hù)體系、安全管理保障體系、應(yīng)急響應(yīng)支援體系三方面進(jìn)行建

設(shè)，形成集防護(hù)、檢測、響應(yīng)于一體的安全保障體系，從而實現(xiàn)物理安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用安全、安全管理，以滿足社會保障信息系統(tǒng)最根本的安全需求。安全保障體系框架如圖：三種能力：防護(hù)、監(jiān)測、響應(yīng)三種能力：防護(hù)、監(jiān)測、響應(yīng)應(yīng)用安全身份認(rèn)證、訪問控制、數(shù)字簽名、安應(yīng)用安全身份認(rèn)證、訪問控制、數(shù)字簽名、安數(shù)據(jù)加密、安全審計全操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、防系統(tǒng)安全網(wǎng)絡(luò)檢測與監(jiān)控、冗災(zāi)備份、病護(hù)毒防護(hù)、安全審計體網(wǎng)絡(luò)安全防火墻、抗DoS/DDoS攻擊、網(wǎng)絡(luò)系檢測監(jiān)控、病毒防護(hù)、安全審計實體安全設(shè)備安全、環(huán)境安全、媒體安全應(yīng)急響應(yīng)支援體系安全管理保障體系/1.4.3安全保障體系動態(tài)防護(hù)模型包括制定風(fēng)險分析和評估(RiskAnalysis)、實施前的預(yù)防措施(Prevention).實施中的保護(hù)措施(Protection)、檢測措施(Detection)、以及事后的響應(yīng)(Response)、應(yīng)急恢復(fù)(Recovery)等。這四個階段形成了一個周期，也就是人們熟知的R-PDRR模型。其中，風(fēng)險分析產(chǎn)生安全政策，安全政策決定預(yù)防、防護(hù)、檢測和響應(yīng)、恢復(fù)措施。應(yīng)急響應(yīng)在這個模型中，不僅僅是預(yù)防和檢測措施的必要補(bǔ)充，而且對可以發(fā)現(xiàn)安全政策的漏洞，重新進(jìn)行風(fēng)險評估、修訂安全政策、加強(qiáng)或調(diào)整預(yù)防、檢測和響應(yīng)措施。其動態(tài)防護(hù)模型如圖表所示。通過這種動態(tài)的循環(huán)防護(hù)過程，可以逐漸降低信息系統(tǒng)面臨的安全風(fēng)險，提高整個系統(tǒng)的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力，確保社會保障信息系統(tǒng)能夠提供高效、安全的服務(wù)。1.4.4安全保障體系模型特點信息系統(tǒng)安全保障體系框架具有如下特點：體現(xiàn)了安全管理是綱、安全技術(shù)是基礎(chǔ)、安全的人和操作是保障的思想；強(qiáng)調(diào)信息安全保障需要人、技術(shù)和操作三要素的均衡；強(qiáng)調(diào)安全的過程性和動態(tài)性以及防護(hù)、檢測和反映（PDR）模型的應(yīng)用；強(qiáng)調(diào)深度防御和分層防護(hù)的原則。1.5整體安全解決方案設(shè)計1.5.1基礎(chǔ)設(shè)施安全基礎(chǔ)設(shè)施的安全包含了機(jī)房安全、系統(tǒng)平臺安全、網(wǎng)絡(luò)安全三大部分。這三大部分與應(yīng)用安全一起構(gòu)成信息系統(tǒng)的安全體系。1.5.2應(yīng)用系統(tǒng)的安全1.5.2.1IP安全策略IP安全策略是一個基于通訊分析的策略，主要依據(jù)是將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行對比分析，如果與預(yù)期分析的結(jié)果不能夠吻合，那么它就認(rèn)為當(dāng)前的訪問是非法了而拒絕訪問，它彌補(bǔ)了TCP/IP協(xié)議的“隨意通訊”的不足，可以實現(xiàn)更安全的TCP/IP控制策略。定制IP安全策略主要是針對于端口攻擊而采取的一種安全策略，端口作為計算與網(wǎng)絡(luò)聯(lián)接的第一道屏障，不同的端口因為服務(wù)的性質(zhì)不同而有所不同。1.5.2.2身份認(rèn)證根據(jù)本系統(tǒng)的信息安全需求，系統(tǒng)采用基于集中統(tǒng)一的身份認(rèn)證機(jī)制，這與電子政務(wù)安全體系基礎(chǔ)安全機(jī)制是一致的。通過與身份認(rèn)證系統(tǒng)，可以實現(xiàn)安全的社保信息系統(tǒng)?？梢圆捎茫和ㄟ^基于數(shù)字證書的認(rèn)證方法來確認(rèn)用戶身份；提供基于數(shù)字證書的授權(quán)控制來實現(xiàn)對信息資源和應(yīng)用的訪問控制；通過對消息摘要和數(shù)字簽名的驗證來提供完整性保護(hù)；采用數(shù)字簽名來提供不可否認(rèn)，防抵賴。1.5.2.3權(quán)限控制模式1.5.2.3.1矩陣式訪問權(quán)限控制模式通過矩陣式訪問權(quán)限控制模式，根據(jù)數(shù)據(jù)的所有者和所屬業(yè)務(wù)區(qū)域兩個屬性，將數(shù)據(jù)的訪問控制權(quán)限按塊狀劃分。每個操作者根據(jù)不同的操作權(quán)限訪問不同區(qū)域內(nèi)的數(shù)據(jù)。例如：市本級勞動力市場管理崗位的操作人員，只能訪問市本級管理相關(guān)數(shù)據(jù)。1.5.2.3.2多級授權(quán)管理模式通過多級授權(quán)管理模式，對系統(tǒng)操作權(quán)限的授權(quán)進(jìn)行管理。多級授權(quán)管理模式，采用了授權(quán)權(quán)限管理和業(yè)務(wù)授權(quán)管理兩條線進(jìn)行多級管理的授權(quán)權(quán)限管理模式。在授權(quán)權(quán)限管理的這條線上，市中心系統(tǒng)管理員給市本級和各區(qū)縣系統(tǒng)管理員授權(quán)，授權(quán)給市本級和各區(qū)縣系統(tǒng)管理員在本機(jī)構(gòu)范圍內(nèi)進(jìn)行業(yè)務(wù)權(quán)限的分配。市本級和各區(qū)縣系統(tǒng)管理員給本機(jī)構(gòu)內(nèi)的業(yè)務(wù)管理員授權(quán)，授權(quán)業(yè)務(wù)管理員對其業(yè)務(wù)范圍內(nèi)的操作崗位授權(quán)。在業(yè)務(wù)授權(quán)管理的這條線上，各業(yè)務(wù)管理員根據(jù)本機(jī)構(gòu)內(nèi)的系統(tǒng)管理員所授業(yè)務(wù)范圍的權(quán)限，對本業(yè)務(wù)范圍內(nèi)的具體業(yè)務(wù)崗位授操作權(quán)限。1.5.2.4訪問日志記錄確保交易的不可抵賴性建立應(yīng)用系統(tǒng)訪問日志記錄，對所有應(yīng)用系統(tǒng)的操作過程軌跡進(jìn)行記錄，以便為以后對操作痕跡進(jìn)行追蹤，為應(yīng)用系統(tǒng)操作漏洞分析提供原始證據(jù)。訪問日志記錄，包括了操作軌跡的記錄、應(yīng)用系統(tǒng)錯誤日志記錄、訪問日志數(shù)據(jù)存儲和分析等。以訪問日志的形式，確保應(yīng)用系交易的不可抵賴性。數(shù)據(jù)信息安全主要包括以下幾個方面：1、 信息存儲的安全防護(hù)。信息存儲的安全防護(hù)辦法有：數(shù)據(jù)的備份與恢復(fù)、安全數(shù)據(jù)庫和安全操作系統(tǒng)等。2、 信息使用的安全防護(hù)。信息使用的安全防護(hù)辦法有：計算機(jī)病毒防治、數(shù)據(jù)操作的安全和數(shù)據(jù)傳輸過程的安全：加密、簽名。3、 數(shù)據(jù)加密不是信息系統(tǒng)所有安全域之間、端系統(tǒng)之間及端系統(tǒng)強(qiáng)制必須的信息系統(tǒng)采用加密技術(shù)實現(xiàn)計費(fèi)、用戶身份和鑒權(quán)口令、用戶資源等關(guān)鍵信息的加密傳輸或加密存儲。安全審計安全審計系統(tǒng)負(fù)責(zé)對各類系統(tǒng)的全部活動的過程軌跡進(jìn)行記錄，以便為事后的安全審計追蹤、系統(tǒng)安全漏洞分析提供原始證據(jù)。安全審計系統(tǒng)的功能主要包括安全審計事件自動響應(yīng)、安全審計數(shù)據(jù)生成、安全審計數(shù)據(jù)存儲、安全審計分析等。1.5.4安全管理制度，內(nèi)控安全制度信息系統(tǒng)的建設(shè)和運(yùn)用離不開各級機(jī)構(gòu)具體實施操作的人，因此，單一的信息安全機(jī)制、技術(shù)和服務(wù)及其簡單組合，不能保證信息系統(tǒng)的安全、有序和有效地運(yùn)行，一個完整可控的安全體系必須依靠相應(yīng)的管理制度、管理手段和技術(shù)手段相結(jié)合。人是計算機(jī)信息系統(tǒng)最終的使用者，在整個信息安全管理中，人員安全管理是致關(guān)重要的，管理制度將為人員管理服務(wù)。安全管理制度包括了：安全制度的建立、安全組織的建立、人員安全培訓(xùn)、人員安全審查等多個方面。1.5.4.1安全管理建設(shè)原則安全管理原則。安全管理原則有：多人原則、任期有限原則、職責(zé)分離原則。任期有限原則。對計算機(jī)系統(tǒng)管理員，采取任期制，并且任期有限。每任管理員其任期過后，都應(yīng)該對其進(jìn)行適當(dāng)?shù)恼{(diào)整。職責(zé)分離原則。對系統(tǒng)的不同部分，應(yīng)該由不同的管理員來管理，職責(zé)分離。避免個別人員的權(quán)力過大，防止不當(dāng)?shù)氖虑榘l(fā)生1.5.4.2安全組織及其職能安全組織的建立包含了：建立安全組織機(jī)構(gòu)，完善管理制度，建立有效的工作機(jī)制，做到事有人管，職責(zé)分工明確。對內(nèi)部人員進(jìn)行有組織的業(yè)務(wù)培訓(xùn)、安全教育、規(guī)范行為、制定章程等。安全組織的職能和任務(wù)是：管好系統(tǒng)有關(guān)人員。包括其思想品德、職業(yè)道德和業(yè)務(wù)素質(zhì)等。安全管理組織的目標(biāo)是管好計算機(jī)資產(chǎn)即計算機(jī)信息系統(tǒng)資源和信息資源安全。這是一個嶄新的公共安全工作領(lǐng)域，須使安全工作組織機(jī)制不能隸屬于計算機(jī)運(yùn)行或應(yīng)用部門，而由安全負(fù)責(zé)人負(fù)責(zé)安全組織的具體工作，直接對單位主要領(lǐng)導(dǎo)及公安主管部門負(fù)責(zé)。這也是建立安全組織的基本要求。1.5.4.3人員安全審查人員安全審查從幾方面考慮：從人員的安全意識、法律意識、安全技能等方面進(jìn)行審查1.5.4.4人員安全考核安全部門定期組織對信息系統(tǒng)所有的工作人員業(yè)務(wù)及品質(zhì)兩方面進(jìn)行考核。對指導(dǎo)思想、業(yè)務(wù)水平、工作表現(xiàn)、遵守安全規(guī)程等方面進(jìn)行考核。對于考核中發(fā)現(xiàn)有違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸信息系統(tǒng)的人員要及時調(diào)離崗位，不