核心二板人社系统信息化建设安全设计方案

五、系统安全设计.........................................................245

（-）系统安全建设目标..............................................245

（二）系统安全建设内容..............................................245

（三）系统安全设计原则..............................................246

（四）系统安全体系结构..............................................246

（五）设计中参考的部分国家标准......................................248

（六）系统安全需求分析..............................................250

（七）系统安全策略..................................................254

（A）基础安全防护系统建设..........................................259

（九）CA认证中心系统建设...........................................265

（十）容灾备份中心系统建设.........................................273

（H^一）安全管理体系建设...........................................284

五、系统安全设计

在信息系统的建设过程中，计算机系统安全建设是一个必不可少的环节。社会保险信息

系统不仅是一个涉及多地区、多部门、多业务、多应用的信息系统，而且其安全性涉及到每

个公民的切身利益。社会保险系统中存有社会保险各项业务的关键数据和各单位敏感信息，

影响着政府的管理决策和形象，存在着社会政治经济风险，其安全设计至关重要。社会保险

信息系统网络参照国家涉密网络的安全设计要求进行设计。

社会保险信息系统的安全设计，首先是针对系统所面临的来自网络内部和外部的各种安

全风险进行分析，特别是对需要保护的各类信息及可承受的最大风险程度的分析，制定与各

类信息（系统）安全需求相应的安全目标和安全策略，建立起包括“风险分析、安全需求分

析、安全策略制定和实施、风险评估、事件监测和及时响应”的可适应安全模型，并作为系

统配置、管理和应用的基本安全框架，以形成符合社会保险信息系统合理、完善的信息安全

体系。并在形成的安全体系结构的基础上，将信息安全机制（访问控制技术、密码技术和鉴

别技术等）支撑的各种安全服务（机密性、完整性、可用性、可审计性和抗抵赖性等）功能,

合理地作用在社会保险信息系统的各个安全需求分布点上，最终达到使风险值稳定、收敛且

实现安全与风险的适度平衡。

（-）系统安全建设目标

针对社会保险信息系统的特点，在现有安全设施的基础上，根据国家有关信息网络安全

系统建设法律法规和标准规范以及系统对安全性设计的具体要求，并结合当前信息安全技术

的发展水平，针对可能存在的安全漏洞和安全需求，在不同层次上提出安全级别要求，制定

相应的安全策略，设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系，

采用合理、先进的技术实施安全工程，加强安全管理，保证社会保险信息系统的安全性。建

设一个具有可操作性、高性能、高可用性、高安全性的安全体系是总的建设目标。

（-）系统安全建设内容

1.建立完整的安全防护体系，全方位、多层次的实现社会保险信息系统的安全保障。

2.实现多级的安全访问控制功能。对网络中的主机及服务进行基于地址的粗粒度访问

控制和基于用户及文件的细粒度访问控制。

3.实现对重要信息的传输加密保护，防止信息在网络传输中被窃取和破坏。

4.建立安全检测监控系统。通过在系统中配备实时监控及入侵检测系统，加强对重要

网段和关键服务器的保护，为不断提高系统安全强度、强化安全管理提供有效的技术手段。

5.建立全方位病毒防范体系。采用网络防病毒系统，并与单机防病毒软件相结合，构

建一套完整的防病毒体系。

6.建立重要应用系统数据的备份机制，并实现关键主机系统的冗余及备份和灾难恢复。

7.建立服务于劳动保障系统的数字证书认证服务基础设施。利用数字证书系统实现重

要数据的加密传输，身份认证等。

8.建立有效的安全管理机制和组织体系，制定实用的安全管理制度，安全管理培训制

度化，确保系统安全措施的执行。

（三）系统安全设计原则

1.正确处理保密、安全与开放之间的关系；

2.安全技术与安全管理结合：

3.分析系统安全的风险，构造系统安全模型，从保护、检测、响应、恢复四个方面建

立一套全方位的立体信息保障体系；

4.遵循系统安全性与可用性相容原则，并具有适用性和可扩展性。

（四）系统安全体系结构

1.系统安全层次与结构

社会保险信息系统是以开放的层次化的网络系统作为支撑平台，为使各种信息安全技术

功能合理地作用在网络系统的各个层次上，从技术和管理上保证安全策略得以完整准确地实

现，安全需求得以满足，确定社会保险信息系统的安全层次划分和体系结构如下图所示：

插图6-55网络系统安全层次结构图

2.系统女全体系框架

社会保险信息安全体系是一个三维立体结构，包括系统单元、安全特性、安全子系统三

个要素。其结构关系如图6-56所示。

安全防御与）7______、

咆盛少统彳Wi备份与

,./•/V...（，加南•芋玄经

芍嚎权或

子系统

A安全特性

数

身

访

数

审

不

可

防

据

据

计

用

份

问

可

病

物理环境完

性

保

管

鉴

控

毒

抵

整

密

理

别

制

赖

性

系统单元

图6-56社会保险信息系统安全体系结构关系

系统单元应包括物理环境安全、网络单元安全、业务系统安全、安全管理等。

安全特性包括身份鉴别、访问控制、数据加密、数据完整性、不可抵赖、防病毒等安全

服务。

安全子系统包括加密、身份认证、授权管理、安全防御与响应、安全检测与监控、安全

备份与恢复等安全机制。

（五）设计中参考的部分国家标准

安全标准是保证信息系统互联、互通、互操作安全的基础，社会保险信息安全体系的设

计，是以国家电子政务标准化为基础，严格地遵循国家已有的安全标准，在没有国家标准的

地方，参考了部分行业和安全主管部门的标准，以及部分军用安全标准和其他相关的国际安

全标准。

参考的国家相关标准如下：

GB4943-1995信息技术设备（包括电气事务设备）的安全

GB9254-88信息技术设备的无线电干扰极限值和测量方法

GB9361-88计算机场地安全要求

GB2887-2000计算站场地通用规范

GB50173-93电子计算机机房设计规范

GB17859-1999计算机信息系统安全保护等级划分准则

GB/T15843.1-1999信息技术安全技术实体鉴别第1部分：概述

GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第2部分：安全体系

结构(ISO7498-2-1989)

GB/T17143.7-1997信息技术开放系统互连系统管理第7部分：安全告警报告功能

GB/T17143.7-1997信息技术开放系统互连系统管理第8部分：安全审计跟踪功能

GB/T17900-1999网络代理服务器的安全技术要求

GB/T18018-1999路由器安全技术要求

GB/T18019-1999信息技术包过滤防火墙安全技术要求

GB/T18020-1999信息技术应用级防火墙安全技术要求

GB/T15278-1994信息处理数据加密物理层互操作性要求(ISO9160:1988)

GB15851-1995信息技术安全技术带消息恢复的数字签名方案

(IS0/IEC9796:1991)

GB15851-1995信息技术安全技术用块密码算法作密码校验函数的数据完整性

机制(IS0/IEC9797:1994)

GB/T15843.2-1997信息技术安全技术实体鉴别第2部分：采用对称加密算法的

机制

GB/T15843.3-1998信息技术安全技术实体鉴别第3部分：用非对称签名技术的

机制

GB/T15843.4-1999信息技术安全技术实体鉴别第4部分：采用密码校验函数的

机制

GB/T17902.1-1999信息技术安全技术带附录的数字签名第1部分：概述

GB/T18238.1-2000信息技术安全技术散列函数第1部分：概述

GB/T17903.1-1999信息技术安全技术抗抵赖第1部分：概述

GB/T17903.2-1999信息技术安全技术抗抵赖第2部分：使用对称技术的机制

GB/T17903.3-1999信息技术安全技术抗抵赖第3部分：使用非对称技术的机制

GB/T18237.1-2000信息技术开放系统互连通用高层安全第1部分：概述、模型和

记法

GB/T18237.2-2000信息技术开放系统互连通用高层安全第2部分：安全交换服务

元素(SESE)服务定义

GB/T18237.3-2000信息技术开放系统互连通用高层安全第3部分：安全交换服务

元素(SESE)协议规范

GB/T14814-1993信息处理文本和办公系统标准通用置标语言(SGML)

GB/T18231-2000信息技术低层安全

(六)系统安全需求分析

在社会保险信息系统中，凡是受到安全威胁的系统资源都要进行保护，受保护的资源包

括物理资源、信息资源和服务资源等。根据网络系统和受保护资源的实际情况，统筹考虑，

从物理安全、网络安全、系统及应用安全、数据安全以及容灾备份系统的建设等方面分别对

系统安全需求进行分析，以形成一套完整的安全策略。

1.物理安全需求分析

物理安全是社会保险信息系统安全运行的前提，是安全系统的重要组成部分。物理安全

涉及环境安全、设备安全、媒体安全三个部分，它们分别针对信息系统所在环境、所用设备、

所载媒体进行安全保护。

(1)环境安全需求

①机房的安全等级应符合GB9361—88的A类；

②机房内部要按不同的安全要求和功能划分区域，如业务系统数据处理区、数据操作

录入区、网络管理区、办公应用区，社会保障IC卡制卡区)等；

③根据工作需要确定用户能够进入相应的区域，不同的区域，实行不同的控制措施；

④要有严格的规章制度和技术手段(如密码锁、监视器等)限制人员进入非授权区域。

(2)设备安全需求

①重要设备必须设置安全防盗报警装置和监视系统，防止设备被盗、被毁；

②重要设备，如服务器、核心交换机等，要有冗余热备份，并能快速在线恢复；

③存放重要设备的机房发生电源故障后，要能提供1个小时以上的后备电力供应；

④重要设备要存放在能防止雷击等自然灾害破坏的机房中；

⑤存放重要设备的机房要具有防电磁干扰、防计算机辐射泄漏的设施。

(3)媒体安全需求

①保存重要数据的介质要有异地备份；

②存放重要备份数据的介质要保存在符合GBJ45—82中规定的一级耐火等级的房间，

或存放在具备防火、防高温、防水、防震的容器中；

③定期对备份介质进行检查，保证其可用性等；

④介质库必须有专人管理，严格控制人员的进出。

2.网络安全需求分析

网络安全是社会保险信息系统安全运行的基础，保证系统安全运行的关键。网络系统的

安全需求包括网络边界安全需求、入侵监测与实时监控需求、安全事件的响应和处理需求分

析。

(1)网络边界安全需求

①在具有不同安全级别的网络安全域边界配置安全设备和访问控制策略，严格控制不

同安全域之间的访问行为；省市劳动保障部门的办公网和业务专网之间按照国家和地方政

府电子政务内网的相关安全标准进行物理隔离,业务网络与Internet逻辑隔离;

②防止非法的网络路由接入，阻止非法者窃听、窃取、篡改网络数据，防范通过远程

访问非法接入；

③能够对IP数据包进行过滤；

(2)入侵监测与实时监控需求

①能够定期自动地对网络安全进行扫描和风险评估，发现网络安全弱点和漏洞；

②能够监测和发现入侵行为，并对网络违规行为能够实时报警和响应；

③能够对系统中所有与安全有关事件进行跟踪审计Y

④入侵监测系统需要与防火墙联动，实现网络安全域的动态防护。

(3)网络基础设施的可用性

连接中央、省、市三级业务专网广域主干的网络基础设施需要进行高可用性配置，以保

证业务信息的无中断可靠传输。

3.系统及应用安全需求分析

系统及应用安全需求分析包括防病毒传播需求分析、操作系统安全需求、用户权限管理

需求、访问控制安全需求、业务信息系统安全需求等构成。具体需求为：

(1)防范病毒传播需求

①系统必须能自动侦测并清除来自网络或其他输入设备(软驱、光驱、移动存储设备

等)的病毒；

②病毒特征库和扫描引擎的更新可通过网络分布部署，可通过服务器自动分发客户端

工作站防毒软件，简化安装过程；

③系统必须能够在工作站引导区遭受病毒破坏后帮助进行紧急恢复；

④服务器防病毒系统必须能监控、查杀服务器本身的病毒，也能及时发现、处理来自

网络上的病毒，及时清除邮件系统的病毒；

(2)操作系统安全需求

①操作系统的安全等级要达到C2级；

②能够通过对主体(人、进程)识别和对客体(文件、设备)标注，划分安全级别和

范畴，实现由操作系统对主、客体之间的访问关系进行控制；

③能够定期自动地对操作系统安全进行扫描和风险评估，发现系统安全弱点和漏洞，

并及时补救；

④对于关键业务系统，应按照高可用性方案配置，系统具有冗余性和快速故障恢复能

力；

⑤必须能够按照制定的安全审计计划进行审计处理，包括审计日志和对违规事件的处

理；

（3）用户权限管理需求

①能够为用户分配用户标识符UID,并保证用户的唯一性；

②支持用户的分级和分组管理机制；

③能够设定用户访问权限的有效日期、有效时间段；

④能够提供可靠的用户身份认证手段，如密码等；

⑤权限管理必须满足最小授权原则，使每个用户和进程只具有完成其任务的最小权限。

（4）访问控制需求

①建立有效的用户身份认证机制，防范来自非法用户的非法访问和合法用户的非授权

访问；

②能够提供包括用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制

检查等多道安全检查；

③能够支持按照自主访问控制规则对用户进行访问控制，即按照用户与被访问对象（文

件等）的关系来决定是否允许访问；

④能够支持使用强制访问控制规则对用户进行强制访问控制检查，即根据该用户在多

级安全模型中所具有的安全属性（等级和范畴）、本次访问操作所涉及的对象（如文件）在

多级安全模型中的安全属性（等级和范畴）来确定这次访问是否被允许；

⑤系统必须能够防止用户经过被允许路径以外的其他访问路径，隐蔽地实现某些越权

的非法访问；

⑥系统必须能够将每一次访问记录在日志文件中，并提供分析和审计功能。

（5）业务信息系统安全需求

①业务经办

社会保险信息系统网络主要支持社会保险经办业务，包括本地业务经办和异地业务经

办，如基本养老保险、补充养老保险、基本医疗保险、补充医疗保险等本地经办业务信息的

传递，异地领取养老金人员有关信息的传递，在职社会保险关系转移人员有关信息的传递，

异地就医信息的传递等。这类业务传输的是个体性数据，且与个体利益直接相关，则在安全

需求方面，要求操作时必须核实操作者的有效身份和操作权限，网络必须确保流程严格无漏

洞，且系统连续稳定，数据传输必须确保信息准确、保密、且不可抵赖，在出现事故后可追

究责任。

②公共服务

社会保险信息系统网络支持公共服务，除有关政策法规信息和参数类信息的发布外，还

面向参保人员和参保单位等社会对象提供个体性数据的查询等服务。对于政策法规和缴费比

例等公开性信息，无须在应用层做安全控制。对于个体性数据，如个人帐户信息等的查询，

必须确认查询者具有合法身份，不完全强调查询者就是参保者本人，可以是参保者授权的其

他人员。对于将来逐步开展的异地网上业务办理，会要求核实个体的真实身份。

③基金监管

基金监管，主要为上级部门监管下级基金状况服务，要求既可以监管基金的总体数据，

又可以监管某具体单位的数据，包括统计数据上传、按非常规需求进行查询等方式。由于涉

及基金问题，在数据传输方面必须确保信息的保密性、准确性，在具体查询操作时还必须核

实操作者的有效身份和操作权限。

③宏观决策

社会保险信息系统网络上的宏观决策主要为上级部门提供决策支持服务,传递各种业务

信息。这一过程将利用网络扫描方式实现，即通过下发有关操作指令实现统计、查询或抽样，

并上传有关数据，具体包括三种方式。对于固定周期固定报表方式，指令先期下达，数据定

期统计上传，不涉及个体性数据，则只需确保信息的保密性、准确性，且在上传数据时满足

操作权限要求。对于临时构造统计报表并下发，以及原始数据抽样方式，指令为临时下达,

操作时则要核实下达指令者的有效身份和操作权限，且不可抵赖；其余安全需求同固定周期

固定报表方式。

另外，对于具体的个体性数据，不同的字段有不同的安全级别，应在数据库设计进行控

制。

表6-28社会保险业务安全需求分析

异地公共服务宏观决策

异地业政策个体信息异地网基金固定周临时构造

务经办信息查询和上业务监管期固定表、原始

咨询办理报表抽样

身份认证VVVV

操作权限VVVVVV

流程严格无漏洞VV

系统连续稳定VV

信息准确VVVVVVV

信息保密VVVVVV

不可抵赖VV

可追究责任VV

4.数据安全需求分析

数据安全需求包括数据库安全需求、数据传输安全需求、数据存储安全需求等构成。

(1)数据库管理系统安全需求

①数据库管理系统本身的安全等级达到C2级；

②能够通过对主体（人、进程）识别和对客体（数据表、数据分片）标注，划分安全

级别和范畴，实现由系统对主、客体之间的访问关系进行强制性控制；

③具有增强的口令使用方式限制，用户必须按规定的格式设置口令，才能进行注册；

④能够按照最小授权原则，对数据库管理员、软件开发人员、终端用户授予各自完成

自身任务所需的最小权限；

⑤能够对于数据库安全有关的事件进行跟踪、记录、报警和处理，供有关人员进行分

析；

（2）数据传输的安全需求

数据传输的安全需求包括对数据传输的机密性和完整性需求。

①数据传输的机密性要求，需要对劳动保障业务专网传输的敏感性业务数据（业务经

办数据交换信息，异地领取养老金人员有关信息，在职社会保险关系转移人员有关信息，异

地就医信息等）机密性进行保护，支持WWW、FTP、SMTP、Telnet等TCP/IP的标准服务以及

社会保险网络特有的通讯业务；

②根据传输完整性要求，保护网络传输IP数据包的不可篡改性。

（3）数据存储的安全需求

①社会保险信息系统主机的操作系统、应用软件要有存储在可靠介质的全备份，软件

以及计算机和网络设备的配置和设置的全部参数也必须进行备份;与系统安装和恢复相关的

软硬件、资料等必须放置在安全的地方；

②社会保险业务系统的重要数据必须定期进行备份，备份的数据必须存储在可靠的介

质中并与系统分开存放;而且要制定详尽的使用数据备份进行故障恢复的预案,并进行预演;

③对于需要保密的存储数据，应采取加密措施保证其机密性。

5.容灾备份安全需求

为了保证社会保险关键业务系统（本地社会保险经办业务、异地领取养老金，在职社会

关系转移，异地就医等）以及其他业务服务的稳定性与连续性，需要建设异地容灾备份中心。

当主中心发生灾难性事件时，由备份中心接管所有的业务。备份中心要有足够带宽确保与主

中心的数据同步，有足够的处理能力来接管主中心的业务，要确保快速可靠与主中心的应用

切换。同时需要在异地容灾备份中心配置数据备份系统对重要数据进行备份。

6.安全管理需求

健全的安全管理体系是各种安全防范措施得以有效实施、网络系统安全实现和维系的保

证，为此需要建立一套符合社会保险系统实际的安全管理体系。

（七）系统安全策略

社会保险信息系统安全策略包括物理安全策略、网络层安全策略、主机系统、应用系统

和数据的安全策略以及系统容灾备份的安全策略。

1.物理安全策略

物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故

以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。

(1)物理安全的内容

主要包括三个方面：

①环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；

②设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗

电磁干扰及电源保护等；

③媒体安全：包括媒体数据的安全及媒体本身的安全。

(2)物理安全措施

为保证社会保险信息系统的物理安全,在网络系统安全建设中可主要通过几个方面来实

现：

①机房环境和场地安全要求

社会保险信息系统计算机机房的建设须符合国家安全保密等部门要求以及《电子计算机

机房设计规范》(GB50174-93)、《计算机场地安全要求》(GB9361-88)等国家的相关安全标

准，机房场地与设施的安全管理满足机房场地选择、防火、防水、防静电、防雷击、防鼠害、

防辐射、防盗窃、火灾报警及消防措施等安全技术要求，保证设备的物理安全；机房的安全

等级应符合GB9361-88的A类；

②在主机房设备布局上，按应用系统的不同安全控制级别和不同功能进行区域划分。

特别是运行有涉密性质的办公系统设备，社会保障IC卡密钥设备等须布置在独立的屏蔽机

房环境中，以进行涉密信息传输和处理；

③对划分的区域实行分区控制，根据工作需要确定能否进入相应的区域；采取门禁等

安全措施，严格控制进入各分区人员；

④在机房内设置安全防盗报警装置和监视系统来实现防盗、防毁，保障设备的安全；

⑤为防止因电网电压波动、干扰、断电等对系统的影响，根据实际情况在机房内配备

断电后持续供电的UPS；

⑥按照相关设计规范和技术要求，在机房设计和建设中做好静电防护设施、防雷装置

和接地保护系统：

⑦凡是涉密网络须符合国家安全保密等部门的有关要求,布线采用光纤和屏蔽双绞线;

接入端须放置干扰器，以减少或干扰扩散出去的空间信号，防止计算机辐射信息的泄漏；

⑧对于重要的数据要进行备份，备份数据的存放位置应符合GBJ45-82中规定的一级耐

火等级，符合防火、防高温、防水、防震等要求；定期对备份数据进行检查，保证其可用性

等；

⑨制定严格的机房和设备管理制度，以及信息拷贝、介质保存出入库与销毁的管理制

度。

2.网络安全策略

(1)网络边界安全策略

社会保险网络层安全的设计和建设采用硬件保护与软件保护、静态防护与动态防护相结

合，由外向内多级防护的总体策略。根据应用系统目的和安全需求，网络系统划分为六个层

次上的不同安全区域，如图6-57所示。具体是：核心层（办公网、社会保障IC卡密钥应用

区），安全层（社会保险应用区、宏观决策支持应用区、网络基础服务区、安全应用支持服

务区、其他劳动保障应用区等），基本安全层（劳动保障系统内部资源区、相关单位资源区），

可信任层（劳动保障业务专网：政府信息网络平台/公共通信网络），非安全层（公共信息服

务应用区），危险层（公共Internet,相关单位网络）。各层安全性逐层递减。

社会保险信息系统各安全域中的安全需求和安全级别不同，网络层的安全主要是在各安

全域间建立有效的安全控制措施，使网间的访问具有可控性。

①处于核心层的办公应用局域网和社会保障IC卡密钥区应与其他网络物理隔离隔离。

如果采用物理隔离，核心层网络和其他网络的信息交换，须采用人工方式实现，并且所有操

作按照严格的保密制度要求进行；

②处于安全层的劳动保隙业务局域网中运行着多种即相联系，又相独立的应用系统：

社会保险应用，其他劳动保障和宏观决策支持应用，综合应用等。对于安全层的网络，安全

主要来自局域网内部，在局域网中可通过划分虚拟子网对各安全域间、用户和安全域间实施

安全隔离，提供子网间的访问控制能力。子网的划分按照业务系统类别、部门级别、用户权

限等因素来进行，并以最大子网安全隔离来设置子网间的访问控制；可结合基于交换机端口

的VLAN技术和基于节点MAC地址的VLAN技术，实现局域网安全控制和隔离；

③处于基本安全层的劳动保障系统内部资源区、对相关单位资源区、和非安全层的公

共信息服务应用区，作为内网和外网进行资源共享、数据交换和信息服务的安全隔离带，在

网络的互连边界上利用专用网络安全设备（如防火墙）建立安全防护，或在边界路由设备上

进行访问控制ACL等安全策略的配置，以有效地控制外界用户和局域网的信息交换；

关于ACL的配置，在对外边界路由器上设置粗略的访问控制过滤规则，形成内部网络的

第一道防护线，在内部网上使用过滤规则，形成系统之间的访问控制和逻辑隔离。为了不影

响网络的运行效率，不在边界路由器、中心三层交换机上配置过多的ACL。细致的控制在专

用网络安全设备（如防火墙）中实现；

安全隔离带作为联系内外网的环节，易受到外界系统的攻击，在各网段上配备网络安全

分析、入侵监测及网络监控系统，以监视网络上的通信数据流，捕捉可疑的网络活动，进行

实时响应和报警，并实现和专用网络安全设备（如防火墙）的联动，同时提供详尽的网络安

全审计分析报告；

④在处于信任层的政府信息网络平台/公共通信网络上进行数据传输时不考虑链路层

的加密方式，对于省市纵向业务专网和城域网上传输的业务数据（如本地业务经办、异地业

务经办、异地领取养老金人员有关信息、在职社会保险关系转移人员有关信息、异地就医信

息等）可采用数据层加密方式，实现关键敏感性信息在广域网通信信道上的安全传输。

（2）网络基础设施的可用性策略

对于数据中心局域网、省市纵向业务专网和本地城域网的网络基础如局域网主干交换

机、广域网路由器、广域网线路、网络边界安全设备（如防火墙）等考虑采用冗余设计,以

探加必务管总的可靠传獭。网络基础设施部分已在网络系统设计中考虑。

插图6-57网络层安全域结构图

3.系统及应用层安全策略

(1)操作系统安全

社会保险信息系统的主机选择安全可靠的操作系统，绝大部分主机运行WindowsNT操

作系统，一些关键性业务系统主机运行UNIX系统。用“最小适用性原则”配置系统以提高

系统安全性，并及时安装各种系统安全补丁程序。严格制定操作系统的管理制度，定期检查

系统配置。利用系统漏洞扫描软件对关键业务服务器系统(如社会保险管理系统及决策支持

系统)、公共的WWW服务器、邮件服务器、代理服务器、网管系统服务器等进行定期的安全

扫描分析，及时提供网络系统安全状况评估分析报告，并根据分析结果合理制定或调整系统

安全策略，以保证这些设备的安全隐患降至最低。

在系统中建立基于用户的访问控制机制，监视与记录每个用户操作(如通过登录过程)。

用户需独立标识，监视的数据应予以保护，防止越权访问。

(2)应用系统安全

应用层安全是建立在网络层安全基础之上，主要是对资源的有效性进行控制，管理和控

制什么用户对信息资源和服务资源具有什么权限。其安全性策略包括用户和服务器间的双向

身份认证、信息和服务资源的访问控制和访问资源的加密，并通过审计和记录机制，确保服

务请求和资源访问的防抵赖。对于外部应用，如神即信息发布等公共服务应用、电子邮件等,

其安全需求是在信息共享的同时，保证信息资源的合法访问及通讯保密性，因而必须严格按

照用户的身份控制对个人性数据的访问。

基于劳动保障PKI系统，采用数字证书等方式建立应用层的数据加密，保证数据保密性

和完整性。

对于WWW站点，需要配置页面侦测和自动修复系统，以提高站点的抗破坏能力。对于内

部应用，如办公及其他关键性业务系统的安全，对身份认证和访问控制有更高的要求，访问

控制的控制粒度更细，在应用程序和数据库系统中都应有严格的访问控制机制。

(3)防病毒系统策略

计算机病毒是一段能够自我复制，自行传播的程序。病毒运行后能够损坏文件、使系统

瘫痪，从而造成各种难以预料的后果。在网络环境下，计算机病毒具有不可估量的威胁性和

破坏力，因而计算机病毒的防范也是网络安全建设的重要环节.社会保险信息系统运行环境

复杂，网上用户数多，同Internet有连接等因素，可能会受到来自于多方面的病毒威胁，

在办公网和业务专网上建立多层次的病毒防卫体系，包括桌面客户端、服务器、邮件系统、

Internet网关上实施防病毒系统的部署，配置病毒扫描引擎和病毒特征库数据的自动更新

方式，实现对网络病毒的预防、侦测、消毒和预警，以防止病毒对系统和关键文档数据的破

坏。

(4)数据和系统备份策略

安全可靠的网络数据备份系统不仅在网络系统硬件故障或人为失误时起保护作用，也在

入侵者非法授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时也是系统灾难恢

复的前提。因而在网络系统中建立安全可靠的网络数据备份系统是保证网络系统数据安全和

网络可靠运行的必要手段。

网络系统的数据备份涉及两种类型的备份内容：网络系统中关键应用系统及运行的操作

系统的备份；网络系统中数据的备份。对于前者的备份恢复，由于应用系统稳定性较高，可

采用一次性的全备份，以防止当系统遭到任何程度的破坏，都可以方便快速地将原来的系统

恢复出来。对于后者的备份，由于数据的不稳定性，可分别采用定期全备份、差分备份、按

需备份和增量备份的策略，来保证数据的安全。在数据中心网络系统中配置数据备份系统，

以实现本地关键系统和重要数据的备份。

4.故障恢复和容灾备份策略

除配置数据备份系统，实现本地关键系统和重要数据的备份外，为保证社会保险关键业

务系统（本地社会保险业务经办、异地领取养老金，在职社会关系转移，异地就医等）以及

其他业务服务的稳定性与连续性,（说明:考虑在本地地理位置相异的其他劳动保障机构或

合作单位数据中心机房建设同城异地容灾备份中心）。利用容灾恢复软件和设备通过网络实

现异地系统和数据的备份及部分服务的冗余。当主中心发生灾难性事件时，由备份中心接管

部分关键性业务。

（八）基础安全防护系统建设

基础安全防护系统的建设包括有防火墙、入侵检测、漏洞扫描、安全审计、病毒防治等。

金保工程业务专网省市数据中心基础安全防护系统的部署方案如图6-58所示。

1.防火墙

在省、市业务专网的各网络节点的出入口处和局域网内部不同安全域之间布置防火墙设

备。具体地，Internet到公共信息服务应用区之间、业务相关单位到相关单位资源区的网

络边界、省市网络到劳动保障系统内部资源区的网络边界、各资源区和各业务应用区间、生

产库数据区和其他业务应用区间、安全应用支撑服务区与内部业务网间部署防火墙，实现不

同安全域之间的逻辑隔离、访问控制及审计。对于省市纵向业务专网采用主备线路和路由器

的冗余设计的，在边界防火墙配置上也相应地采用主备方式。

防火墙主要利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,根据在

其上配置的安全策略来控制（允许、拒绝、监测）出入网络的信息流。同时实现网络地址转

换（NAT）,审计和实时报警功能。通过防火墙的包过滤，实现基于地址的粗粒度访问控制，

通过口令认证对用户身份进行鉴别，实现基于用户的细粒度的访问控制。

（1）防火墙工作模式

防火墙主要工作在交换和路由两种模式下：

①对于交换模式：3个接口构成一个以太网交换机，本身没有1P地址，在IP层透明。

可以将任意三个物理网络连接起来构成一个互通的物理网络。

②路由模式：防火墙本身构成3个网络间的路由器，3个接口分别具有不同的IP地址。

三个网络中的主机通过该路由进行通信。

插图6-58劳动保障省市数据中心业务专网基础安全防护系统结构图

因此就防火墙系统的配置而言，可以根据实际的网络情况和实际的安全需要来配置工作

模式。当防火墙工作在交换模式时，内网、DMZ区和路由器的内部端口构成一个统一的交换

式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络

拓扑结构和各主机和设备的网络设置；当防火墙工作在路由模式时，可以作为三个区之间的

路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都可以

使用保留地址，内网用户通过地址转换访问Internet。内部网、DMZ区通过反向地址转换对

Internet提供服务。如对于Internet到公共信息服务应用区之间和省市广域网网络边界的

防火墙配置成路由模式。

(2)防火墙主要功能

①支持交换模式下和路由模式下的应用层过滤。在交换模式下和路由模式下均可以对

应用级协议进行细度的控制，支持通配符过滤。

②对HTTP协议可以进行命令级控制及URL、关键字过滤，并过滤JavaApplet、ActiveX

等小程序。

③对FTP协议可以进行命令级控制，并可以控制所存取的目录及文件。

④对SMTP协议支持基于邮件地址、内容关键字、主题的过滤，并可以设定允许Relay

的邮件域。

⑤支持不同子网间的视频、语音应用，其他安全策略不受影响。

⑥具有实时在线的网络数据监控功能，实时监控网络数据包的状态，网络上流量的动

态变化，并对非法的数据包进行阻断。

⑦具有网络嗅探的功能，实时抓取网络上的数据包，并进行解码和分析.

⑧具有自动搜集与防火墙相连子网中主机信息的功能，搜集的信息包括IP地址、MAC

地址等，以减轻管理员的工作负担。

⑨在防火墙设备的基础上，具有平滑的VPN扩充功能，VPN采用国家密码管理部门批

准使用的硬件加密和认证算法。

⑩具备与IDS设备联动能力。

2.入侵监测系统

入侵监测系统基于网络和系统的实时安全监控，运行于敏感数据需要保护的网络上，对

来自内部和外部的非法入侵行为做到及时响应、告警和记录日志，可弥补防火墙的不足。

入侵监测系统通过实时监听网络数据流，识别、记录入侵和破坏性代码流，寻找网络违

规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络信

息安全检测系统预警系统能够根据系统安全策略作出反应。入侵监测报警日志的功能时通过

对所有对网络系统有可能造成危害的数据流进行报警和响应，作为受到网络攻击的主要证

据。

入侵监测系统主要安装在易受到攻击的服务器或防火墙附近，对于数据中心局域网络，

在防火墙和内部网主干交换机附近部署入侵监测系统，以检测关键部位的数据流，防范非法

访问行为，对非法网络行为的审计、监控及安全监控，并实现与防火墙的联动进行动态防护。

即在业务专网的各网络边界的防火墙内（如Internet到公共信息服务应用区的边界防火墙、

业务相关单位到相关单位资源区的边界防火墙、上、下级网络节点到劳动保障系统内部资源

区的边界防火墙），Internet到公共信息服务应用区的边界防火墙外，以及内部业务局域网

主干交换机重要服务器网段的监控端口部署入侵监测系统，以监控网络出入口和重要服务器

进行访问的数据流，并对攻击行为作出响应。入侵监测系统由控制中心和探测引擎（网络、

主机）组成，控制中心作为入侵监测系统的管理和配置工具，可以编辑、修改和分发各网络

探测引擎、子控制中心的策略定义，给各探测引擎升级特征库，同时接收所有探测引擎的实

时报警信息。控制中心和各探测引擎间的信息交换通过加密方式进行。

入侵监测系统主要功能要求如下：

（1）具有强大的攻击检测能力。能检测1500种以上的攻击种类。检测引擎和攻击特征

库及时升级和更新。

（2）软件的部署应有一定的灵活性，采用分布式的体系结构，监测节点和管理控制站

可分立配置；

（3）监测系统的部署对原有网络和系统环境为完全透明方式，对网络数据包的监控，

应采用包拷贝方式，对网络数据包的传输不能造成延迟；监测节点和管理控制站的通信应采

用另外通道，不占用监测网络的通信带宽；

（4）提供完整的应用协议内容恢复功能。支持常用协议（如HTTP、FTP、SMTP,POP3、

TELNET）等通信过程、内容的恢复与回放。并允许用户自定义协议。同时要做到个人隐私和

安全的兼顾，根据不同的权限控制内容恢复的程度。

（5）能够检测有害的内容，例如：反动信息、暴力信息等。

（6）具有实时在线的网络数据监控功能，实时监控网络数据包的状态及网络流量的动

态变化，并对非法的数据包进行阻断。

（7）具备主动探测机制，可以主动探测网络上存在安全隐患和风险。

（8）自带数据库，不需第三方数据源。使用数据库存储攻击和入侵信息以便随时检索,

自动维护和并提供详细的攻击与入侵资料，包括发生时间、发起主机与受害主机地址、攻击

类型、以及针对此类型攻击的详细解释与解决办法。

（9）具备完善的日志记录和应用审计功能，提供灵活的自定义审计规则。

（10）提供灵活方便的报表、图形方式的统计分析功能，实时显示分析结果。

3.漏洞扫描系统

漏洞扫描系统是一种系统安全评估技术，可以测试和评价系统的安全性，并及时发现安

全漏洞。具体包括网络模拟攻击、漏洞检测、报告服务进程，以及评测风险，提供安全建议

和改进措施等功能。

在数据中心局域网安装一套网络安全漏洞扫描系统,定期或不定期对一些关键设备和系

统（网络、操作系统、主干交换机、路由器、重要服务器、防火墙和应用程序）进行漏洞扫

描，对这些设备的安全情况进行评估，发现并报告系统存在的弱点和漏洞，评估安全风险，

建议补救措施。

主要功能要求:

(1)提供基于网络的自动安全漏洞检测和分析，扫描项目应覆盖：网络层、应用层和

各种网络服务；

(2)扫描对象：基于TCP/IP的所有IP设备和服务，包括：路由器、NT服务器、UNIX

服务器、防火墙等；

(3)具有较强漏洞扫描能力，漏洞特征库丰富，可识别和检测的漏洞数应不小于1000

种，同时应有较强的扫描分析能力；网络扫描系统应能对以下几方面提供漏洞发现：

•检测网络系统的的服务进程

•检测软件的版本和补丁包，缺省配置等方面的问题

•检测NT服务器的配置漏洞

•检测Web服务器的文件和程序方面的漏洞(如IIS、CGI脚本和HTTP)

•检测标准的网络端口和服务

•检测网络服务的漏洞，包括：SMTP,FTP,SNMP,Proxy,DNS,WWW,RPC等

•检测远程访问的安全漏洞

•检测NT用户、用户组方面的漏洞，如弱的口令设置

•检测NetBIOS共享的漏洞

(4)按扫描强度的不同来定义，如：重度扫描、中度扫描、轻度扫描和自定义强度扫

描等，以满足网络安全的不同扫描需求；

(5)网络扫描的执行不应对扫描对象的系统产生影响，如重度扫描对系统的影响也应

是可恢复性的；

(6)具有灵活的扫描策略的定制能力，可按照特定的时间、扫描对象的范围、扫描的

不同漏洞分类来配置扫描需求；支持自动扫描；

(7)网络扫描系统具有生成被扫描网络环境安全弱点和漏洞的分析报告的能力；报告

应包括扫描漏洞清单，详尽的漏洞描述和补救方法，各种类型漏洞的统计图表；报告应是中

文描述，内容详细，可操作性强，报告应有多种表现形式而且易于理解，如HTML等，每个

报告都应提供修改漏洞的具体的操作步骤或安全补丁供应商的超级链接；

(8)网络扫描系统应具有较低的误报率；系统应具有频繁误报事件的屏蔽能力：

(9)软件的扫描工作对网络的数据包传输不能造成明显延迟；

(10)基于国际CVE标准建立的安全漏洞库,并通过网络升级可以与国际最新标准同步。

4.防病毒系统

为了防止病毒在内部网络传播，防止病毒对内部的重要信息和网络造成破坏，并定位感

染的来源与类型,在网络中部署病毒防护系统，采用网络集中防病毒和分散防病毒两种方式。

具体配置为：在网络中的服务器中安装文件及应用服务器防病毒组件，在邮件服务器上安装

群件系统防病毒组件，在代理服务器上安装Internet网关防病毒组件，在网络中的所有桌

面客户机上安装桌面防病毒组件，安装扫描引擎和病毒特征库更新服务器，负责全网防病毒

系统的扫描引擎和病毒特征库的及时升级更新，安装防病毒管理控制中心，负责对防病毒系

统进行统一管理。对于单机用户或移动终端用户，辅以单机防病毒软件。

在防病毒系统的部署时，集中对病毒软件库中的防病毒软件组件进行配置，通过配置可

以简化客户端的管理和提高运行效率，并使全网的防病毒策略保持一致。配置内容包括：

•客户端防病毒软件的缺省安装方式和参数；

•防病毒软件的运行参数；

•扫描方式定制；

•缺省扫描范围确定；

•碰到病毒后的处理等；

•定时升级和更新设置。

通过对网络中的病毒扫描集中控制，建立各种定时任务，统一集中触发，然后由各被管

理机器运行，同时可对日志文件的各种格式进行控制。在管理服务器上建立了集中的病毒分

发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告，所有病毒扫描状态信息都

可由控制台得到。

防病毒产品技术要求如下：

(1)支持多种平台的病毒防范，包括UNIX系列、Windows系列、Linux系列。

(2)支持对Internet/Intranet服务器的病毒防治，能够阻止恶意的Java或ActiveX

小程序的破坏；

(3)支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒；

(4)支持多的病毒处理选项，如对染毒文件进行实时杀毒、移出、删除、重新命名等;

(5)提供对病毒特征信息和检测引擎的定期在线更新服务；

(6)提供集中式网络防病毒管理

5.安全审计

在利用防火墙、IDS等安全产品本身的审计功能，以及操作系统的审计功能的同时，在

网络系统中配置跨平台的综合审计系统，实现对网络系统的全方位集中安全审计。支持基于

PKI的应用审计，能在有策略配置的指导下实时或定时采集各信息系统产生的数据，并进行

有效的转换和整合，以满足系统安全管理员的安全数据挖掘需求。支持基于XML的审计数据

采集协议。提供灵活的自定义审计规则。

安全审计系统的功能要求：

(1)能够从多种服务器(UNIX、Windows2000,Linux)自动收集系统事件，并将这些

事件保存在中心数据库。

(2)具有完整的网络日志功能，详细记录每个用户的网络访问行为。

(3)全面的操作系统日志功能。可将用户对操作系统的访问记录下来。包括用户操作

的时间、用户名、操作的结果以及名称和路径。

（4）日志快速查询。查询系统主要应用于对已记录的操作系统和网络系统的审计日志

文件进行分析查询，根据查询条件可以方便快速地得到相关记录的结果。

（5）支持分布式的数据审计与预警。

（6）完善的自保护能力。安全审计模块具有自保护功能，防止用户对审计文件和系统

的非法修改，保证审计系统和安全日志文件的完整性。

（7）智能分析功能。安全审计模块可以根据操作系统和网络的实际情况，智能地对一

些可能的安全隐患向管理员提出警告，帮助系统管理员对系统的安全管理。

（九）CA认证中心系统建设

1.总体描述

劳动保障安全应用支撑平台以密码服务为基础，以数字证书技术为核心，为劳动和社会

保障业务专网上的各项业务系统和公共服务系统等提供信任、授权及应用支撑服务。作为安

全应用支撑平台重要组成部分的证书服务系统是建设重点。

劳动和社会保障信任服务体系采用树状结构，以劳动保障部为枢纽，建立劳动和社会保

障数字证书策略和管理中心以及根CA中心，并作为劳动和社会保障信任服务体系最高管理

机构和信任源点。劳动保障部负责统一规划信任服务体系的密码体制，负责建立基于劳动和

社会保障全系统统一的密码管理系统和信任服务体系根系统，建立劳动和社会保障行业证书

认证系统，负责与劳动保障部门业务相关联的业务系统安全认证与授权管理。省市将按照劳

动和社会保障部的技术规范，以劳动和社会保障部的根系统为依托，建立相应的证书服务系

统。省市劳动保障证书服务系统，原则上不建设自己的CA中心，直接使用劳动和社会保障

部CA中心来生产证书，只需要建立RA中心及分布式的证书查询验证服务系统（LDAP服务

器和OCSP服务器）即可。（说明:对于业务量大、有条件的省或直辖市可根据自己的实际

情况,以劳动和社会保障根。中心为根建立二级。中心,为本省（市）的劳动保障业务

系统服务。其部署结构如图6-59所示）

劳动保障证书服务系统采用双证书（签名证书和加密证书）、双中心（证书认证中心和

密钥管理中心）机制。

2.实施策略和体系结构

证书服务系统是安全支撑平台信任服务系统的核心部件，采用“集中式生产、分布式服

务”模式，即证书申请、审核分别在劳动和社会保障部、省级劳动和社会保障厅、地市劳动

和社会保障局三级证书审核注册机构执行，证书的生产（签发、发布、管理、撤销等）集中

在劳动和社会保障部、纱动和社会保障厅两级证书认证中心执行，证书认证由分布在各地

的证书查询验证服务系统完成。

插图6-59二级CA认证中心部署结构图

劳动和社会保障证书服务系统体系结构如图6-60所示:

图6-60劳动和社会保障证书服务系统体系结构图

3.二级系统建设

在劳动和社会保障信任服务体系中，省(市)证书服务系统属于二级系统，包括二级证

书认证(CA)中心和省市级证书审核注册机构(RA),证书查询验证服务系统、密钥管理系

统、密码服务系统、可信授权服务系统。具体的建设内容为：

(1)二级证书认证中心(CA)

二级证书认证中心(CA)负责给所属用户发放和管理支持各种应用的数字证书，提供证

书的查询验证，并负责将上级CA的信用通过向大量最终用户发证纵向扩散。二级CA的性能

指标、操作方式、安全性设计与部级根CA相似，具体可参见劳动和社会保障部金保工程可

研报告。中心建设部分。

根CA与二级CA的通信、根CA与证书持有人、二级CA与证书持有人之间的通信为在

线PKCS#7/10或PKIX-CMPo

(2)省市级证书审核注册机构(RA)

各省、市级证书审核注册机构在上一级证书认证中心的授权下，提供用户数字证书申请

的注册受理、用户真实身份的审核、用户数字证书的申请与下载、用户数字证书的撤消与恢

复、证书受理核发点的设立审核及管理等服务：

要求证书审核注册系统具有以下功能：

①证书申请、身份审核、证书下载等服务都可采用在线或离线两种方式。

②证书申请服务：用户通过网络登录到注册系统在线申请证书，或到指定的注册机构

离线申请证书。

③身份审核服务：审核人通过注册系统，连接相关机构的应用系统，对证书申请者进

行在线身份审核，或通过注册系统进行现场身份审核。

④证书下载服务：用户通过网络登录到注册系统在线下载证书，或到指定的注册机构

离线下载证书。证书注册系统要提供用户签名证书密钥对的生成功能，该功能必须通过证书

载体内的密码运算功能实现。

⑤证书管理服务：提供证书认证策略及操作策略的管理；对自身证书进行安全管理；

对内部管理员数字证书、操作员数字证书进行统一管理；支持个别处理和批处理方式发放数

字证书。

⑥提供与证书认证中心、证书受理核发点之间的接口。

省市级证书审核注册机构(RA)部署结构如图6-61,包括Web服务器、证书注册审核

服务器、密码服务系统等组成。

(3)证书查询验证服务系统

证书查询验证服务系统为应用支撑平台及业务系统提供证书认证服务，包括目录查询服

务和证书在线状态查询服务。

证书查询验证服务体系基于分布式计算技术，采用“分布式服务”的模式，对应劳动和

社会保障部、省级的证书认证中心，根据行政管理和地域不同分布式部署证书查询验证服务

系统。如图6-62所示。(说明:对于不建设证书认证中心的省市,须部署一套与上级证书认

证中心一样的证书查询验证服务系统。)

基于LDAP协议针对非实时证书状态查