(信息化方案)核心二板人社系统信息化建设安全设计方案五、系统安全设计245(一)系统安全建设目标 (245)(二)系统安全建设内容 (245)(三)系统安全设计原则 (246)(四)系统安全体系结构 (246)(五)设计中参考的部分国家标准 (248)(六)系统安全需求分析 (250)(七)系统安全策略 (254)(八)基础安全防护系统建设 (259)(九)CA认证中心系统建设 (265)(十)容灾备份中心系统建设 (273)(十一)安全管理体系建设 (284)五、系统安全设计在信息系统的建设过程中,计算机系统安全建设是一个必不可少的环节。
社会保险信息系统不仅是一个涉及多地区、多部门、多业务、多应用的信息系统,而且其安全性涉及到每个公民的切身利益。
社会保险系统中存有社会保险各项业务的关键数据和各单位敏感信息,影响着政府的管理决策和形象,存在着社会政治经济风险,其安全设计至关重要。
社会保险信息系统网络参照国家涉密网络的安全设计要求进行设计。
社会保险信息系统的安全设计,首先是针对系统所面临的来自网络内部和外部的各种安全风险进行分析,特别是对需要保护的各类信息及可承受的最大风险程度的分析,制定与各类信息(系统)安全需求相应的安全目标和安全策略,建立起包括“风险分析、安全需求分析、安全策略制定和实施、风险评估、事件监测和及时响应”的可适应安全模型,并作为系统配置、管理和应用的基本安全框架,以形成符合社会保险信息系统合理、完善的信息安全体系。
并在形成的安全体系结构的基础上,将信息安全机制(访问控制技术、密码技术和鉴别技术等)支撑的各种安全服务(机密性、完整性、可用性、可审计性和抗抵赖性等)功能,合理地作用在社会保险信息系统的各个安全需求分布点上,最终达到使风险值稳定、收敛且实现安全与风险的适度平衡。
(一)系统安全建设目标针对社会保险信息系统的特点,在现有安全设施的基础上,根据国家有关信息网络安全系统建设法律法规和标准规范以及系统对安全性设计的具体要求,并结合当前信息安全技术的发展水平,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,制定相应的安全策略,设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系,采用合理、先进的技术实施安全工程,加强安全管理,保证社会保险信息系统的安全性。
建设一个具有可操作性、高性能、高可用性、高安全性的安全体系是总的建设目标。
(二)系统安全建设内容1.建立完整的安全防护体系,全方位、多层次的实现社会保险信息系统的安全保障。
2.实现多级的安全访问控制功能。
对网络中的主机及服务进行基于地址的粗粒度访问控制和基于用户及文件的细粒度访问控制。
3.实现对重要信息的传输加密保护,防止信息在网络传输中被窃取和破坏。
4.建立安全检测监控系统。
通过在系统中配备实时监控及入侵检测系统,加强对重要网段和关键服务器的保护,为不断提高系统安全强度、强化安全管理提供有效的技术手段。
5.建立全方位病毒防范体系。
采用网络防病毒系统,并与单机防病毒软件相结合,构建一套完整的防病毒体系。
6.建立重要应用系统数据的备份机制,并实现关键主机系统的冗余及备份和灾难恢复。
7.建立服务于劳动保障系统的数字证书认证服务基础设施。
利用数字证书系统实现重要数据的加密传输,身份认证等。
8.建立有效的安全管理机制和组织体系,制定实用的安全管理制度,安全管理培训制度化,确保系统安全措施的执行。
(三)系统安全设计原则1.正确处理保密、安全与开放之间的关系;2.安全技术与安全管理结合;3.分析系统安全的风险,构造系统安全模型,从保护、检测、响应、恢复四个方面建立一套全方位的立体信息保障体系;4.遵循系统安全性与可用性相容原则,并具有适用性和可扩展性。
(四)系统安全体系结构l.系统安全层次与结构社会保险信息系统是以开放的层次化的网络系统作为支撑平台,为使各种信息安全技术功能合理地作用在网络系统的各个层次上,从技术和管理上保证安全策略得以完整准确地实现,安全需求得以满足,确定社会保险信息系统的安全层次划分和体系结构如下图所示:插图6-55网络系统安全层次结构图2.系统安全体系框架社会保险信息安全体系是一个三维立体结构,包括系统单元、安全特性、安全子系统三个要素。
其结构关系如图6-56所示。
全标准。
参考的国家相关标准如下:GB4943-1995信息技术设备(包括电气事务设备)的安全GB9254-88 信息技术设备的无线电干扰极限值和测量方法GB9361-88 计算机场地安全要求GB2887-2000 计算站场地通用规范GB50173-93电子计算机机房设计规范GB17859-1999 计算机信息系统安全保护等级划分准则GB/T15843.1-1999信息技术安全技术实体鉴别第1部分:概述GB/T9387.2-1995 信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(ISO7498-2-1989)GB/T17143.7-1997信息技术开放系统互连系统管理第7部分:安全告警报告功能GB/T17143.7-1997信息技术开放系统互连系统管理第8部分:安全审计跟踪功能GB/T17900-1999 网络代理服务器的安全技术要求GB/T18018-1999 路由器安全技术要求GB/T18019-1999 信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T15278-1994 信息处理数据加密物理层互操作性要求(ISO9160:1988)GB15851-1995 信息技术安全技术带消息恢复的数字签名方案(ISO/IEC9796:1991)GB15851-1995 信息技术安全技术用块密码算法作密码校验函数的数据完整性机制(ISO/IEC9797:1994)GB/T15843.2-1997 信息技术安全技术实体鉴别第2部分:采用对称加密算法的机制GB/T15843.3-1998 信息技术安全技术实体鉴别第3部分:用非对称签名技术的机制GB/T15843.4-1999 信息技术安全技术实体鉴别第4部分:采用密码校验函数的机制GB/T17902.1-1999 信息技术安全技术带附录的数字签名第1部分:概述GB/T18238.1-2000 信息技术安全技术散列函数第1部分:概述GB/T17903.1-1999 信息技术安全技术抗抵赖第1部分:概述GB/T17903.2-1999 信息技术安全技术抗抵赖第2部分:使用对称技术的机制GB/T17903.3-1999 信息技术安全技术抗抵赖第3部分:使用非对称技术的机制GB/T18237.1-2000 信息技术开放系统互连通用高层安全第1部分:概述、模型和记法GB/T18237.2-2000 信息技术开放系统互连通用高层安全第2部分:安全交换服务元素(SESE)服务定义GB/T18237.3-2000 信息技术开放系统互连通用高层安全第3部分:安全交换服务元素(SESE)协议规范GB/T14814-1993 信息处理文本和办公系统标准通用置标语言(SGML)GB/T18231-2000 信息技术低层安全(六)系统安全需求分析在社会保险信息系统中,凡是受到安全威胁的系统资源都要进行保护,受保护的资源包括物理资源、信息资源和服务资源等。
根据网络系统和受保护资源的实际情况,统筹考虑,从物理安全、网络安全、系统及应用安全、数据安全以及容灾备份系统的建设等方面分别对系统安全需求进行分析,以形成一套完整的安全策略。
1.物理安全需求分析物理安全是社会保险信息系统安全运行的前提,是安全系统的重要组成部分。
物理安全涉及环境安全、设备安全、媒体安全三个部分,它们分别针对信息系统所在环境、所用设备、所载媒体进行安全保护。
(1)环境安全需求①机房的安全等级应符合GB9361—88的A类;②机房内部要按不同的安全要求和功能划分区域,如业务系统数据处理区、数据操作录入区、网络管理区、办公应用区,社会保障IC卡制卡区)等;③根据工作需要确定用户能够进入相应的区域,不同的区域,实行不同的控制措施;④要有严格的规章制度和技术手段(如密码锁、监视器等)限制人员进入非授权区域。
(2)设备安全需求①重要设备必须设置安全防盗报警装置和监视系统,防止设备被盗、被毁;②重要设备,如服务器、核心交换机等,要有冗余热备份,并能快速在线恢复;③存放重要设备的机房发生电源故障后,要能提供1个小时以上的后备电力供应;④重要设备要存放在能防止雷击等自然灾害破坏的机房中;⑤存放重要设备的机房要具有防电磁干扰、防计算机辐射泄漏的设施。
(3)媒体安全需求①保存重要数据的介质要有异地备份;②存放重要备份数据的介质要保存在符合GBJ45—82中规定的一级耐火等级的房间,或存放在具备防火、防高温、防水、防震的容器中;③定期对备份介质进行检查,保证其可用性等;④介质库必须有专人管理,严格控制人员的进出。
2.网络安全需求分析网络安全是社会保险信息系统安全运行的基础,保证系统安全运行的关键。
网络系统的安全需求包括网络边界安全需求、入侵监测与实时监控需求、安全事件的响应和处理需求分析。
(1)网络边界安全需求①在具有不同安全级别的网络安全域边界配置安全设备和访问控制策略,严格控制不同安全域之间的访问行为;省市劳动保障部门的办公网和业务专网之间按照国家和地方政府电子政务内网的相关安全标准进行物理隔离,业务网络与Internet逻辑隔离;②防止非法的网络路由接入,阻止非法者窃听、窃取、篡改网络数据,防范通过远程访问非法接入;③能够对IP数据包进行过滤;(2)入侵监测与实时监控需求①能够定期自动地对网络安全进行扫描和风险评估,发现网络安全弱点和漏洞;②能够监测和发现入侵行为,并对网络违规行为能够实时报警和响应;③能够对系统中所有与安全有关事件进行跟踪审计;④入侵监测系统需要与防火墙联动,实现网络安全域的动态防护。
(3)网络基础设施的可用性连接中央、省、市三级业务专网广域主干的网络基础设施需要进行高可用性配置,以保证业务信息的无中断可靠传输。
3.系统及应用安全需求分析系统及应用安全需求分析包括防病毒传播需求分析、操作系统安全需求、用户权限管理需求、访问控制安全需求、业务信息系统安全需求等构成。
具体需求为:(1)防范病毒传播需求①系统必须能自动侦测并清除来自网络或其他输入设备(软驱、光驱、移动存储设备等)的病毒;②病毒特征库和扫描引擎的更新可通过网络分布部署,可通过服务器自动分发客户端工作站防毒软件,简化安装过程;③系统必须能够在工作站引导区遭受病毒破坏后帮助进行紧急恢复;④服务器防病毒系统必须能监控、查杀服务器本身的病毒,也能及时发现、处理来自网络上的病毒,及时清除邮件系统的病毒;(2)操作系统安全需求①操作系统的安全等级要达到C2级;②能够通过对主体(人、进程)识别和对客体(文件、设备)标注,划分安全级别和范畴,实现由操作系统对主、客体之间的访问关系进行控制;③能够定期自动地对操作系统安全进行扫描和风险评估,发现系统安全弱点和漏洞,并及时补救;④对于关键业务系统,应按照高可用性方案配置,系统具有冗余性和快速故障恢复能力;⑤必须能够按照制定的安全审计计划进行审计处理,包括审计日志和对违规事件的处理;(3)用户权限管理需求①能够为用户分配用户标识符UID,并保证用户的唯一性;②支持用户的分级和分组管理机制;③能够设定用户访问权限的有效日期、有效时间段;④能够提供可靠的用户身份认证手段,如密码等;⑤权限管理必须满足最小授权原则,使每个用户和进程只具有完成其任务的最小权限。