6、社保系统项目建设方案之五系统安全部分

6、社保系统项目建设方案之五系统安全部分内容摘要：

过 审计和记录机制，确保 服务请求和资源访问的 防抵赖。 对于外部应用，如 WWW信息发布等公共服务应 用 、电子邮件等 ，其 安全需求是在信息共享的 同时，保证信息资源的合法访问及通讯 保密 性 ，因而 必须严格按照用户的身份控制对 个人性数据 的访问。 基于劳动保障 PKI 系统，采用数字证书等方式 建立应用层的数据加密，保证数据 保密 性和完整性。 对于 WWW 站点，需要配置页面侦测和自动修复系统，以提高站点的抗破坏能力。 对于 内部 应用，如 办公 及其他关键性业务系统的安全 ， 对身份认证和访问控制有更高的要求 ， 访问控制的控制粒度更细 ，在应用程序和数据库系统中都应有严格的访问控制机制。 （ 3）防病毒系统策略 计算机病毒是一段能够自我复制，自行传 播的程序。 病毒运行后能够损坏文件、使系统瘫痪，从而造成各种难以预料的后果。 在网络环境下，计算机病毒具有不可估量的威胁性和破坏力，因而计算机病毒的防范也是网络安全建设的重要环节。 社会保险信息系统运行环境复杂，网上用户数多，同 Inter 有连接等因素，可能会受到来自于多方面的病毒威胁，在办公网和业务专网上建立多层次的病毒防卫体系，包括桌面客户端、服务器、邮件系统、 Inter 网关上实施防病毒系统的部署，配置病毒扫描引擎和病毒特征库数据的自动更新方式，实现对网络病毒的预防、侦测、消毒和预警，以防止病毒对系 统和关键文档数据的破坏。 （ 4）数据和系统备份策略 安全可靠的网络数据备份系统不仅在网络系统硬件故障或人为失误时起保护作用，也在入侵者非法授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时也是系统灾难恢复的前提。 因而在网络系统中建立安全可靠的网络数据备份系统是保证网络系统数据安全和网络可靠运行的必要手段。 网络系统的数据备份涉及两种类型的备份内容：网络系统中关键应用系统及运行的操作系统的备份；网络系统中数据的备份。 对于前者的备份恢复，由于应用系统稳定性较高，可采用一次性的全备份，以防止当系统遭到任何程 度的破坏，都可以方便快速地将原来的系统恢复出来。 对于后者的备份，由于数据的不稳定性，可分别采用定期全备份、差分备份、按需备份和增量备份的策略，来保证数据的安全。 在数据中心网络系统中配置数据备份系统，以实现本地关键系统和重要数据的备份。 4．故障恢复和容灾备份策略 除配置数据备份系统，实现本地关键系统和重要数据的备份外，为保证社会保险关键业务系统以及其他业务服务的稳定性与连续性， 考虑在本地地理位置相异的其他劳动保障机构或合作单位数据中心机房建设同城 异地容灾备份中心。 利用容灾恢复软件和设备通过网络实现异地系统和 数据的备份及部分服务的冗余。 当主中心发生灾难性事件时，由备份中心接管 部分关键性 业务。 （八）基础安全防护系统建设 基础安全防护系统的建设包括有防火墙、入侵检测、漏洞扫描、安全审计、病毒防治等。 金保工程业务专网市数据中心基础安全防护系统的部署方案如图 6－ 58 所示。 1．防火墙 在市业务专网的各网络节点的出入口处和局域网内部不同安全域之间布置防火墙设备。 具体地， Inter 到公共信息服务应用区之间、业务相关单位到相关单位资源区的网络边界、市网络到劳动保障系统内部资源区的网络边界、各资源区和各业务应用区间、生 产库数据区和其他业务应用区间、安全应用支撑服务区与内部业务网间部署防火墙，实现不同安全域之间的逻辑隔离、访问控制及审计。 对于市纵向业务专网采用主备线路和路由器的冗余设计的，在边界防火墙配置上也相应地采用主备方式。 防火墙主要利用 IP 和 TCP 包的头信息对进出被保护网络的 IP包信息进行过滤，根据在其上配置的安全策略来控制（允许、拒绝、监测）出入网络的信息流。 同时实现网络地址转换（ NAT）、审计和实时报警功能。 通过防火墙的包过滤，实现基于地址的粗粒度访问控制，通过口令认证对用户身份进行鉴别，实现基于用户的细粒度的 访问控制。 （ 1）防火墙工作模式 防火墙主要工作在交换和路由两种模式下： ① 对于交换模式： 3 个接口构成一个以太网交换机，本身没有IP 地址，在 IP 层透明。 可以将任意三个物理网络连接起来构成一个互通的物理网络。 ② 路由模式：防火墙本身构成 3 个网络间的路由器， 3 个接口分别具有不同的 IP 地址。 三个网络中的主机通过该路由进行通信。 图 658 劳动保障市数据中心业务专网基础安全防护系统结构图 因此就防火墙系统的配置而言，可以根据实际的网络情况和实际的安全需要来配置工作模式。 当防火墙工作在交换模式时，内网、 DMZ 区和路由器的内部端口构成一个统一的交换式物理子网，内网和 DMZ 区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置；当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、 DMZ 到外网的网络地址转换，也就是说，内网和 DMZ 都可以使用保留地址，内网用户通过地址转换访问 Inter。 内部网、 DMZ区通过反向地址转换对 Inter 提供服务。 如对于 Inter 到公共信息服务应用区之间和市广域网网络边界的防火墙配置成路由模式。 （ 2）防火墙 主要功能 ① 支持交换模式下和路由模式下的应用层过滤。 在交换模式下和路由模式下均可以对应用级协议进行细度的控制，支持通配符过滤。 ② 对 HTTP 协议可以进行命令级控制及 URL、关键字过滤，并过滤 Java Applet、 ActiveX 等小程序。 ③ 对 FTP 协议可以进行命令级控制，并可以控制所存取的目录及文件。 ④ 对 SMTP 协议支持基于邮件地址、内容关键字、主题的过滤，并可以设定允许 Relay 的邮件域。 ⑤ 支持不同子网间的视频、语音应用，其他安全策略不受影响。 ⑥ 具有实时在线的网络数据监控功能，实时监控 网络数据包的状态，网络上流量的动态变化，并对非法的数据包进行阻断。 ⑦ 具有网络嗅探的功能，实时抓取网络上的数据包，并进行解码和分析。 ⑧ 具有自动搜集与防火墙相连子网中主机信息的功能，搜集的信息包括 IP 地址、 MAC 地址等，以减轻管理员的工作负担。 ⑨ 在防火墙设备的基础上，具有平滑的 VPN 扩充功能， VPN采用国家密码管理部门批准使用的硬件加密和认证算法。 ⑩ 具备与 IDS 设备联动能力。 2．入侵监测系统 入侵监测系统基于网络和系统的实时安全监控，运行于敏感数据需要保护的网络上，对来自内部和外部的非法入侵 行为做到及时响应、告警和记录日志，可弥补防火墙的不足。 入侵监测系统通过实时监听网络数据流，识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。 当发现网络违规模式和未授权的网络访问尝试时，网络信息安全检测系统预警系统能够根据系统安全策略作出反应。 入侵监测报警日志的功能时通过对所有对网络系统有可能造成危害的数据流进行报警和响应，作为受到网络攻击的主要证据。 入侵监测系统主要安装在易受到攻击的服务器或防火墙附近，对于数据中心局域网络，在防火墙和内部网主干交换机附近部署入侵监测系统，以检测关键部 位的数据流，防范非法访问行为，对非法网络行为的审计、监控及安全监控，并实现与防火墙的联动进行动态防护。 即在业务专网的各网络边界的防火墙内（如 Inter 到 公共信息服务应用区的边界防火墙、业务相关单位到相关单位资源区的边界防火墙、上、下级网络节点到劳动保障系统内部资源区的边界防火墙 ）， Inter 到 公共信息服务应用区的边界防火墙外，以及内部业务局域网主干交换机重要服务器网段的监控端口部署入侵监测系统，以监控网络出入口和重要服务器进行访问的数据流，并对攻击行为作出响应。 入侵监测系统由控制中心和探测引擎（ 网络、主机）组成，控制中心作为入侵监测系统的管理和配置工具，可以编辑、修改和分发各网络探测引擎、子控制中心的策略定义，给各探测引擎升级特征库，同时接收所有探测引擎的实时报警信息。 控制中心和各探测引擎间的信息交换通过加密方式进行。 入侵监测系统主要功能要求如下： （ 1）具有强大的攻击检测能力。 能检测 1500 种以上的攻击种类。 检测引擎和攻击特征库及时升级和更新。 （ 2）软件的部署应有一定的灵活性，采用分布式的体系结构，监测节点和管理控制站可分立配置； （ 3）监测系统的部署对原有网络和系统环境为完全透明方式，对网 络数据包的监控，应采用包拷贝方式，对网络数据包的传输不能造成延迟；监测节点和管理控制站的通信应采用另外通道，不占用监测网络的通信带宽； （ 4）提供完整的应用协议内容恢复功能。 支持常用协议（如HTTP、 FTP、 SMTP、 POP TELNET） 等通信过程 、 内容 的恢复与 回放。 并 允许 用户 自定义协议。 同时要做到个人隐私和安全的兼顾，根据不同的权限控制内容恢复的程度。 （ 5）能够检测有害的内容，例如：反动信息、暴力信息等。 （ 6）具有实时在线的网络数据监控功能，实时监控网络数据包的状态及网络流量的动态变化，并对非法 的数据包进行阻断。 （ 7）具备主动探测机制，可以主动探测网络上存在安全隐患和风险。 （ 8）自带数据库， 不需第三方数据源。 使用数据库存储攻击和入侵信息以便随时检索， 自动维护和 并提供详细的攻击与入侵资料，包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。 （ 9）具备完善的日志记录和应用审计功能，提供灵活的自定义审计规则。 （ 10） 提供灵活方便的报表 、图形方式的统计分析 功能， 实时显示分析结果。 3．漏洞扫描系统 漏洞扫描系统是一种系统安全评估技术，可以测试和评价系统的安全性， 并及时发现安全漏洞。 具体包括网络模拟攻击、漏洞检测、报告服务进程，以及评测风险，提供安全建议和改进措施等功能。 在数据中心局域网安装一套网络安全漏洞扫描系统，定期或不定期对一些关键设备和系统（网络、操作系统、主干交换机、路由器、重要服务器、防火墙和应用程序）进行漏洞扫描，对这些设备的安全情况进行评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。 主要功能要求： （ 1）提供基于网络的自动安全漏洞检测和分析，扫描项目应覆盖：网络层、应用层和各种网络服务； （ 2）扫描对象：基于 TCP/IP 的所有 IP 设备和服务，包括：路由器、 NT 服务器、 UNIX 服务器、防火墙等； （ 3）具有较强漏洞扫描能力，漏洞特征库丰富，可识别和检测的漏洞数应不小于 1000 种，同时应有较强的扫描分析能力；网络扫描系统应能对以下几方面提供漏洞发现： 检测网络系统的的服务进程 检测软件的版本和补丁包，缺省配置等方面的问题 检测 NT 服务器的配置漏洞 检测Ｗ eb 服务器的文件和程序方面的漏洞（如 IIS、 CGI 脚本和HTTP） 检测标准的网络端口和服务 检测网络服务的漏洞，包括： SMTP， FTP， SNMP， Proxy，DNS， WWW， RPC 等 检测远程访问的安全漏洞 检测 NT 用户、用户组方面的漏洞，如弱的口令设置 检测 NetBIOS 共享的漏洞 （ 4）按扫描强度的不同来定义，如：重度扫描、中度扫描、轻度扫描和自定义强度扫描等，以满足网络安全的不同扫描需求； （ 5）网络扫描的执行不应对扫描对象的系统产生影响，如重度扫描对系统的影响也应是可恢复性的； （ 6）具有灵活的扫描策略的定制能力，可按照特定的时间、扫描对象的范围、扫描的不同漏洞分类来配置扫描需求；支持自动扫描； （ 7）网络扫描系统具有生成被扫描网络环境安全弱点和漏洞的分析报告的能力；报告应包括 扫描漏洞清单，详尽的漏洞描述和补救方法，各种类型漏洞的统计图表；报告应是中文描述，内容详细，可操作性强，报告应有多种表现形式而且易于理解，如 HTML等，每个报告都应提供修改漏洞的具体的操作步骤或安全补丁供应商的超级链接； （ 8）网络扫描系统应具有较低的误报率；系统应具有频繁误报事件的屏蔽能力； （ 9）软件的扫描工作对网络的数据包传输不能造成明显延迟； （ 10）基于国际 CVE 标准建立的安全漏洞库，并通过网络升级可以与国际最新标准同步。 4．防病毒系统 为了防止病毒在内部网络传播，防止病毒对内部的重要信息和网络 造成破坏，并定位感染的来源与类型，在网络中部署病毒防护系统，采用网络 集中防病毒和分散防病毒两种 方式。 具体配置为：在网络中的服务器中安装文件及应用服务器防病毒组件，在邮件服务器上安装群件系统防病毒组件，在代理服务器上安装 Inter 网关防病毒组件，在网络中的所有桌面客户机上安装桌面防病毒组件，安装扫描引擎和病毒特征库更新服务器，负责全网防病毒系统的扫描引擎和病毒特征库的及时升级更新，安装防病毒管理控制中心，负责对防病毒系统进行统一管理。 对于单机用户或移动终端用户，辅以单机防病毒软件。 在防病毒系统的部署时 ，集中对病毒软件库中的防病毒软件组件进行配置，通过配置可以简化客户端的管理和提高运行效率，并使全网的防病毒策略保持一致。 配置内容包括：  客户端防病毒软件的缺省安装方式和参数；  防病毒软件的运行参数；  扫描方式定制；  缺省扫描范围。