政务系统安全设计方案

1系统安全设计1.1安全体系建设目标在合理成本基础上，实现工伤保险信息系统和“互联网+政务”相关对接业务安全和运行安全，即确保信息系统各类设备的正常运行，业务流程安全，确保数据信息的安全存储与传输，为信息系统各类业务提供安全保证。为了便于理解和落实，将安全目标分解，可以得到以下子目标：监控并整合系统中各种安全产品的安全事件，实现安全管理；安全保障贯穿于生命周期的全程，要定期对系统风险进行评测，保证整个系统生命周期全过程的安全性，实现动态安全；业务信息的保密性、完整性和可用性得到保护。1.2安全体系设计原则1.2.1整体性原则基于全网划分核心网络边界，控制联入核心网络的接入点逻辑上隔离业务协作网、内部业务专网和公共服务网逻辑上隔离核心网络与非核心、网络在边界和核心、设置多级安全策略1.2.2层次性原则多层次拦截以降低安全风险。1.2.3实用性原则根据当前需要设计安全方案充分满足当前的需要尽量降低成本及时的安全报警机制1.2.4可适应性和扩展性在所有存在各种各样不安全因素的网络和应用环境中，建立一个一定时期内相对安全稳定的网络系统整个系统的安全策略部署是可以随着系统的变化、发展而变化、发展的，同时具有长期的有效性不同时期网络安全策略可能不同，安全服务体系必须能够随着安全策略的变化而灵活改变1.2.5可管理性原则网络核心设备的集中可控性网络物理结构变化的可管理性各种安全设备（防火墙、IDS、抗拒绝服务产品、安全审计等）的可管理性内部员工维护工作的可管理性在遵循以上安全原则的前提下，将xxxxx劳动保障信息系统按区域安全特点进行有针对性的网络安全建设。国标号标准名称对应国际标准GB/T9387.21995信息处理系统开放系统互连基本参考模型第2部分：安全体系结构ISO7498-2:1989TCP/IP安全体系结构RFC1825通用数据安全体系信息技术开放系统互连开放系统安全框架CDSAISO10181:1996GB/T18237-2000GB/T18231-2000信息技术开放系统互连通用高层安全信息技术低层安全ISO/IEC11586:1996ISO/IEC13594GB/T9361-1988计算机场地安全要求GB/T2887-2000GB50174-1993计算机场地通用规范电子计算机房设计规范GB/T17900-1999网络代理服务器的安全技术要求GB/T18018-1999GB/T18019-1999路由器安全技术要求信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GA243-2000GB/T17963-2000计算机病毒防治产品评级准则信息技术开放系统互连网络层安全协议ISO/IEC11577:1995GB/T17143.71997GB/T17143.81997信息技术开放系统互连系统管理安全报警报告功能信息技术开放系统互连系统管理安全审计跟踪功能ISO/IEC10164-7:1992ISO/IEC10164-8:1993GB17859-1999计算机信息系统安全保护等级划分准则信息安全管理标准ISO/IEC19677GB/T18336-2001信息技术安全技术信息技术安全性评估准则ISO/IEC15408:19991.4整体安全设计模型1.4.1安全保障体系结构模型在仔细研究了多种信息网络安全体系结构后，我们认为从单一的角度得出整个信息系统完整的安全保障体系模型是非常困难的。因此，在参考国际标准ISO17799和中华人民共和国国家标准-计算机信息系统安全保护等级划分准则(GB17859-1999)，借鉴ISO7498-2中所描述的开放系统互联安全的体系结构，提出了适合信息系统的安全保障体系结构模型，如图所示：

安全管理协议层次安层...应层I传*:”"层，""层/"理安全管理协议层次安层...应层I传*:”"层，""层/"理X-物访问控制数据保密物理安全计算机网络安全计算机系统安全应用系统安全安全服务图表1安全保障体系结构模型图该模型分别从安全服务、协议层次和系统单元三个层面对社会保障信息系统的安全保障体系的建设进行了全面的分析。从上图中可以看到，所有三个层面都包含了安全管理的内容，这正体现了技术手段为辅、严格高效的管理为主的现代管理思想。安全服务层次从各种单元安全解决方案所必需的一些基本安全服务的角度出发，来考察社会保障信息系统安全保障体系的建设。这些基本安全服务包括身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖、审计跟踪和可用性服务。其中前五种安全服务取自于国际标准化组织制订的安全体系结构模型［ISO7498-2］，在［ISO7498-2］基础上增加了审计跟踪服务和可用性服务。协议层次从TCP/IP协议的分层模型出发，分别从TCP/IP协议的物理层、链路层、网络层、传输层和应用层来考察社会保障信息系统安全保障体系的建设。

系统单元层次从信息网络系统所处的环境及其自身的各个组成单元出发，分别从物理环境安全、网络平台安全、系统平台安全和应用系统安全等四个方面来考察社会保障信息系统安全保障体系的建设。安全管理涉及到所有协议层次、所有单元的安全服务和安全机制的管理。安全管理主要涉及两方面的内容：各种安全管理技术和安全管理制度等。1.4.2安全保障体系框架模型将安全保障体系结构模型中实现安全服务的所有的安全保障措施和行动按人、技术和操作三个要素划分为三个层面。人、技术和操作是信息系统安全保障体系中的三个重要组成部分：人利用各种技术来对网络和信息系统进行操作，从而达到保护网络和信息系统安全性的目的。网络信息系统的安全保障毫无疑问需要以信息安全保障技术为基础来解决，而同时信息安全又强烈地依赖于人及人的操作。因此，我们在设计信息系统安全保障体系时，强调信息安全保障需要人、技术和操作三要素的均衡；强调信息安全是过程，安全管理必然不可缺少；强调安全管理涉及人与环境，安全技术以及安全操作的各个方面，良好的安全管理机制和措施是各种要素取得均衡的关键；强调安全标准化将确保各种安全技术和措施能够协同工作和实现整体效能。因此，系统安全保障体系是在统一的安全原则指导下，从安全防护体系、安全管理保障体系、应急响应支援体系三方面进行建

设，形成集防护、检测、响应于一体的安全保障体系，从而实现物理安全、网络系统安全、应用安全、安全管理，以满足社会保障信息系统最根本的安全需求。安全保障体系框架如图：三种能力：防护、监测、响应三种能力：防护、监测、响应应用安全身份认证、访问控制、数字签名、安应用安全身份认证、访问控制、数字签名、安数据加密、安全审计全操作系统、数据库、应用系统、防系统安全网络检测与监控、冗灾备份、病护毒防护、安全审计体网络安全防火墙、抗DoS/DDoS攻击、网络系检测监控、病毒防护、安全审计实体安全设备安全、环境安全、媒体安全应急响应支援体系安全管理保障体系/1.4.3安全保障体系动态防护模型包括制定风险分析和评估(RiskAnalysis)、实施前的预防措施(Prevention).实施中的保护措施(Protection)、检测措施(Detection)、以及事后的响应(Response)、应急恢复(Recovery)等。这四个阶段形成了一个周期，也就是人们熟知的R-PDRR模型。其中，风险分析产生安全政策，安全政策决定预防、防护、检测和响应、恢复措施。应急响应在这个模型中，不仅仅是预防和检测措施的必要补充，而且对可以发现安全政策的漏洞，重新进行风险评估、修订安全政策、加强或调整预防、检测和响应措施。其动态防护模型如图表所示。通过这种动态的循环防护过程，可以逐渐降低信息系统面临的安全风险，提高整个系统的安全防护能力、隐患发现能力和应急反应能力，确保社会保障信息系统能够提供高效、安全的服务。1.4.4安全保障体系模型特点信息系统安全保障体系框架具有如下特点：体现了安全管理是纲、安全技术是基础、安全的人和操作是保障的思想；强调信息安全保障需要人、技术和操作三要素的均衡；强调安全的过程性和动态性以及防护、检测和反映（PDR）模型的应用；强调深度防御和分层防护的原则。1.5整体安全解决方案设计1.5.1基础设施安全基础设施的安全包含了机房安全、系统平台安全、网络安全三大部分。这三大部分与应用安全一起构成信息系统的安全体系。1.5.2应用系统的安全1.5.2.1IP安全策略IP安全策略是一个基于通讯分析的策略，主要依据是将通讯内容与设定好的规则进行对比分析，如果与预期分析的结果不能够吻合，那么它就认为当前的访问是非法了而拒绝访问，它弥补了TCP/IP协议的“随意通讯”的不足，可以实现更安全的TCP/IP控制策略。定制IP安全策略主要是针对于端口攻击而采取的一种安全策略，端口作为计算与网络联接的第一道屏障，不同的端口因为服务的性质不同而有所不同。1.5.2.2身份认证根据本系统的信息安全需求，系统采用基于集中统一的身份认证机制，这与电子政务安全体系基础安全机制是一致的。通过与身份认证系统，可以实现安全的社保信息系统。可以采用：通过基于数字证书的认证方法来确认用户身份；提供基于数字证书的授权控制来实现对信息资源和应用的访问控制；通过对消息摘要和数字签名的验证来提供完整性保护；采用数字签名来提供不可否认，防抵赖。1.5.2.3权限控制模式1.5.2.3.1矩阵式访问权限控制模式通过矩阵式访问权限控制模式，根据数据的所有者和所属业务区域两个属性，将数据的访问控制权限按块状划分。每个操作者根据不同的操作权限访问不同区域内的数据。例如：市本级劳动力市场管理岗位的操作人员，只能访问市本级管理相关数据。1.5.2.3.2多级授权管理模式通过多级授权管理模式，对系统操作权限的授权进行管理。多级授权管理模式，采用了授权权限管理和业务授权管理两条线进行多级管理的授权权限管理模式。在授权权限管理的这条线上，市中心系统管理员给市本级和各区县系统管理员授权，授权给市本级和各区县系统管理员在本机构范围内进行业务权限的分配。市本级和各区县系统管理员给本机构内的业务管理员授权，授权业务管理员对其业务范围内的操作岗位授权。在业务授权管理的这条线上，各业务管理员根据本机构内的系统管理员所授业务范围的权限，对本业务范围内的具体业务岗位授操作权限。1.5.2.4访问日志记录确保交易的不可抵赖性建立应用系统访问日志记录，对所有应用系统的操作过程轨迹进行记录，以便为以后对操作痕迹进行追踪，为应用系统操作漏洞分析提供原始证据。访问日志记录，包括了操作轨迹的记录、应用系统错误日志记录、访问日志数据存储和分析等。以访问日志的形式，确保应用系交易的不可抵赖性。数据信息安全主要包括以下几个方面：1、 信息存储的安全防护。信息存储的安全防护办法有：数据的备份与恢复、安全数据库和安全操作系统等。2、 信息使用的安全防护。信息使用的安全防护办法有：计算机病毒防治、数据操作的安全和数据传输过程的安全：加密、签名。3、 数据加密不是信息系统所有安全域之间、端系统之间及端系统强制必须的信息系统采用加密技术实现计费、用户身份和鉴权口令、用户资源等关键信息的加密传输或加密存储。安全审计安全审计系统负责对各类系统的全部活动的过程轨迹进行记录，以便为事后的安全审计追踪、系统安全漏洞分析提供原始证据。安全审计系统的功能主要包括安全审计事件自动响应、安全审计数据生成、安全审计数据存储、安全审计分析等。1.5.4安全管理制度，内控安全制度信息系统的建设和运用离不开各级机构具体实施操作的人，因此，单一的信息安全机制、技术和服务及其简单组合，不能保证信息系统的安全、有序和有效地运行，一个完整可控的安全体系必须依靠相应的管理制度、管理手段和技术手段相结合。人是计算机信息系统最终的使用者，在整个信息安全管理中，人员安全管理是致关重要的，管理制度将为人员管理服务。安全管理制度包括了：安全制度的建立、安全组织的建立、人员安全培训、人员安全审查等多个方面。1.5.4.1安全管理建设原则安全管理原则。安全管理原则有：多人原则、任期有限原则、职责分离原则。任期有限原则。对计算机系统管理员，采取任期制，并且任期有限。每任管理员其任期过后，都应该对其进行适当的调整。职责分离原则。对系统的不同部分，应该由不同的管理员来管理，职责分离。避免个别人员的权力过大，防止不当的事情发生1.5.4.2安全组织及其职能安全组织的建立包含了：建立安全组织机构，完善管理制度，建立有效的工作机制，做到事有人管，职责分工明确。对内部人员进行有组织的业务培训、安全教育、规范行为、制定章程等。安全组织的职能和任务是：管好系统有关人员。包括其思想品德、职业道德和业务素质等。安全管理组织的目标是管好计算机资产即计算机信息系统资源和信息资源安全。这是一个崭新的公共安全工作领域，须使安全工作组织机制不能隶属于计算机运行或应用部门，而由安全负责人负责安全组织的具体工作，直接对单位主要领导及公安主管部门负责。这也是建立安全组织的基本要求。1.5.4.3人员安全审查人员安全审查从几方面考虑：从人员的安全意识、法律意识、安全技能等方面进行审查1.5.4.4人员安全考核安全部门定期组织对信息系统所有的工作人员业务及品质两方面进行考核。对指导思想、业务水平、工作表现、遵守安全规程等方面进行考核。对于考核中发现有违反安全法规行为的人员或发现不适于接触信息系统的人员要及时调离岗位，不