TOC\o"1-3"\h\z五、系統(tǒng)安全設計 245（一）系統(tǒng)安全建設目的 245（二）系統(tǒng)安全建設內(nèi)容 245（三）系統(tǒng)安全設計原則 246（四）系統(tǒng)安全體系結(jié)構(gòu) 246（五）設計中參考的部分國家標準 248（六）系統(tǒng)安全需求分析 250（七）系統(tǒng)安全策略 254（八）基礎安全防護系統(tǒng)建設 259（九）CA認證中心系統(tǒng)建設 265（十）容災備份中心系統(tǒng)建設 273（十一）安全管理體系建設 284五、系統(tǒng)安全設計在信息系統(tǒng)的建設過程中，計算機系統(tǒng)安全建設是一個必不可少的環(huán)節(jié)。社會保險信息系統(tǒng)不僅是一個涉及多地區(qū)、多部門、多業(yè)務、多應用的信息系統(tǒng)，并且其安全性涉及到每個公民的切身利益。社會保險系統(tǒng)中存有社會保險各項業(yè)務的關(guān)鍵數(shù)據(jù)和各單位敏感信息，影響著政府的管理決策和形象，存在著社會政治經(jīng)濟風險，其安全設計至關(guān)重要。社會保險信息系統(tǒng)網(wǎng)絡參照國家涉密網(wǎng)絡的安全設計規(guī)定進行設計。社會保險信息系統(tǒng)的安全設計，一方面是針對系統(tǒng)所面臨的來自網(wǎng)絡內(nèi)部和外部的各種安全風險進行分析，特別是對需要保護的各類信息及可承受的最大風險限度的分析，制定與各類信息（系統(tǒng)）安全需求相應的安全目的和安全策略，建立起涉及“風險分析、安全需求分析、安全策略制定和實行、風險評估、事件監(jiān)測和及時響應”的可適應安全模型，并作為系統(tǒng)配置、管理和應用的基本安全框架，以形成符合社會保險信息系統(tǒng)合理、完善的信息安全體系。并在形成的安全體系結(jié)構(gòu)的基礎上，將信息安全機制（訪問控制技術(shù)、密碼技術(shù)和鑒別技術(shù)等）支撐的各種安全服務（機密性、完整性、可用性、可審計性和抗抵賴性等）功能，合理地作用在社會保險信息系統(tǒng)的各個安全需求分布點上，最終達成使風險值穩(wěn)定、收斂且實現(xiàn)安全與風險的適度平衡。（一）系統(tǒng)安全建設目的針對社會保險信息系統(tǒng)的特點，在現(xiàn)有安全設施的基礎上，根據(jù)國家有關(guān)信息網(wǎng)絡安全系統(tǒng)建設法律法規(guī)和標準規(guī)范以及系統(tǒng)對安全性設計的具體規(guī)定，并結(jié)合當前信息安全技術(shù)的發(fā)展水平，針對也許存在的安全漏洞和安全需求，在不同層次上提出安全級別規(guī)定，制定相應的安全策略，設計一套科學合理、多層次、分布式、并且融合技術(shù)和管理的安全體系，采用合理、先進的技術(shù)實行安全工程，加強安全管理，保證社會保險信息系統(tǒng)的安全性。建設一個具有可操作性、高性能、高可用性、高安全性的安全體系是總的建設目的。（二）系統(tǒng)安全建設內(nèi)容1．建立完整的安全防護體系，全方位、多層次的實現(xiàn)社會保險信息系統(tǒng)的安全保障。2．實現(xiàn)多級的安全訪問控制功能。對網(wǎng)絡中的主機及服務進行基于地址的粗粒度訪問控制和基于用戶及文獻的細粒度訪問控制。3．實現(xiàn)對重要信息的傳輸加密保護，防止信息在網(wǎng)絡傳輸中被竊取和破壞。4．建立安全檢測監(jiān)控系統(tǒng)。通過在系統(tǒng)中配備實時監(jiān)控及入侵檢測系統(tǒng)，加強對重要網(wǎng)段和關(guān)鍵服務器的保護，為不斷提高系統(tǒng)安全強度、強化安全管理提供有效的技術(shù)手段。5．建立全方位病毒防范體系。采用網(wǎng)絡防病毒系統(tǒng)，并與單機防病毒軟件相結(jié)合，構(gòu)建一套完整的防病毒體系。6．建立重要應用系統(tǒng)數(shù)據(jù)的備份機制，并實現(xiàn)關(guān)鍵主機系統(tǒng)的冗余及備份和劫難恢復。7．建立服務于勞動保障系統(tǒng)的數(shù)字證書認證服務基礎設施。運用數(shù)字證書系統(tǒng)實現(xiàn)重要數(shù)據(jù)的加密傳輸，身份認證等。8．建立有效的安全管理機制和組織體系，制定實用的安全管理制度，安全管理培訓制度化，保證系統(tǒng)安全措施的執(zhí)行。（三）系統(tǒng)安全設計原則1．對的解決保密、安全與開放之間的關(guān)系；2．安全技術(shù)與安全管理結(jié)合；3．分析系統(tǒng)安全的風險，構(gòu)造系統(tǒng)安全模型，從保護、檢測、響應、恢復四個方面建立一套全方位的立體信息保障體系；4．遵循系統(tǒng)安全性與可用性相容原則，并具有合用性和可擴展性。（四）系統(tǒng)安全體系結(jié)構(gòu)l．系統(tǒng)安全層次與結(jié)構(gòu)社會保險信息系統(tǒng)是以開放的層次化的網(wǎng)絡系統(tǒng)作為支撐平臺，為使各種信息安全技術(shù)功能合理地作用在網(wǎng)絡系統(tǒng)的各個層次上，從技術(shù)和管理上保證安全策略得以完整準確地實現(xiàn)，安全需求得以滿足，擬定社會保險信息系統(tǒng)的安全層次劃分和體系結(jié)構(gòu)如下圖所示：

插圖6-55網(wǎng)絡系統(tǒng)安全層次結(jié)構(gòu)圖

2．系統(tǒng)安全體系框架社會保險信息安全體系是一個三維立體結(jié)構(gòu)，涉及系統(tǒng)單元、安全特性、安全子系統(tǒng)三個要素。其結(jié)構(gòu)關(guān)系如圖6-56所示。安全子系統(tǒng)安全子系統(tǒng)安全特性系統(tǒng)單元物理環(huán)境網(wǎng)絡單元業(yè)務系統(tǒng)安全管理身份鑒別訪問控制數(shù)據(jù)保密數(shù)據(jù)完整性不可抵賴防病毒審計管理可用性身份認證子系統(tǒng)加密子系統(tǒng)安全防御與響應子系統(tǒng)安全備份與恢復子系統(tǒng)監(jiān)控子系統(tǒng)授權(quán)管理子系統(tǒng)圖6-56社會保險信息系統(tǒng)安全體系結(jié)構(gòu)關(guān)系系統(tǒng)單元應涉及物理環(huán)境安全、網(wǎng)絡單元安全、業(yè)務系統(tǒng)安全、安全管理等。安全特性涉及身份鑒別、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整性、不可抵賴、防病毒等安全服務。安全子系統(tǒng)涉及加密、身份認證、授權(quán)管理、安全防御與響應、安全檢測與監(jiān)控、安全備份與恢復等安全機制。（五）設計中參考的部分國家標準安全標準是保證信息系統(tǒng)互聯(lián)、互通、互操作安全的基礎，社會保險信息安全體系的設計，是以國家電子政務標準化為基礎，嚴格地遵循國家已有的安全標準，在沒有國家標準的地方，參考了部分行業(yè)和安全主管部門的標準，以及部分軍用安全標準和其他相關(guān)的國際安全標準。參考的國家相關(guān)標準如下：GB4943-1995信息技術(shù)設備（涉及電氣事務設備）的安全GB9254-88 信息技術(shù)設備的無線電干擾極限值和測量方法GB9361-88 計算機場地安全規(guī)定GB2887-2023 計算站場地通用規(guī)范GB50173-93電子計算機機房設計規(guī)范GB17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則GB/T15843.1-1999信息技術(shù)安全技術(shù)實體鑒別第1部分：概述GB/T9387.2-1995 信息解決系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)（ISO7498-2-1989）GB/T17143.7-1997信息技術(shù)開放系統(tǒng)互連系統(tǒng)管理第7部分：安全告警報告功能GB/T17143.7-1997信息技術(shù)開放系統(tǒng)互連系統(tǒng)管理第8部分：安全審計跟蹤功能GB/T17900-1999 網(wǎng)絡代理服務器的安全技術(shù)規(guī)定GB/T18018-1999 路由器安全技術(shù)規(guī)定GB/T18019-1999 信息技術(shù) 包過濾防火墻安全技術(shù)規(guī)定GB/T18020-1999信息技術(shù)應用級防火墻安全技術(shù)規(guī)定GB/T15278-1994 信息解決數(shù)據(jù)加密 物理層互操作性規(guī)定（ISO9160:1988）GB15851-1995 信息技術(shù)安全技術(shù) 帶消息恢復的數(shù)字署名方案（ISO/IEC9796:1991）GB15851-1995 信息技術(shù)安全技術(shù) 用塊密碼算法作密碼校驗函數(shù)的數(shù)據(jù)完整性機制（ISO/IEC9797:1994）GB/T15843.2-1997 信息技術(shù)安全技術(shù)實體鑒別第2部分：采用對稱加密算法的機制GB/T15843.3-1998 信息技術(shù)安全技術(shù)實體鑒別第3部分：用非對稱署名技術(shù)的機制GB/T15843.4-1999 信息技術(shù)安全技術(shù)實體鑒別第4部分：采用密碼校驗函數(shù)的機制GB/T17902.1-1999 信息技術(shù)安全技術(shù)帶附錄的數(shù)字署名第1部分：概述GB/T18238.1-2023 信息技術(shù)安全技術(shù)散列函數(shù)第1部分：概述GB/T17903.1-1999 信息技術(shù)安全技術(shù)抗抵賴第1部分：概述GB/T17903.2-1999 信息技術(shù)安全技術(shù)抗抵賴第2部分：使用對稱技術(shù)的機制GB/T17903.3-1999 信息技術(shù)安全技術(shù)抗抵賴第3部分：使用非對稱技術(shù)的機制GB/T18237.1-2023 信息技術(shù)開放系統(tǒng)互連通用高層安全第1部分：概述、模型和記法GB/T18237.2-2023 信息技術(shù)開放系統(tǒng)互連通用高層安全第2部分：安全互換服務元素(SESE)服務定義GB/T18237.3-2023 信息技術(shù)開放系統(tǒng)互連通用高層安全第3部分：安全互換服務元素(SESE)協(xié)議規(guī)范GB/T14814-1993 信息解決文本和辦公系統(tǒng)標準通用置標語言(SGML)GB/T18231-2023 信息技術(shù)低層安全（六）系統(tǒng)安全需求分析在社會保險信息系統(tǒng)中，凡是受到安全威脅的系統(tǒng)資源都要進行保護，受保護的資源涉及物理資源、信息資源和服務資源等。根據(jù)網(wǎng)絡系統(tǒng)和受保護資源的實際情況，統(tǒng)籌考慮，從物理安全、網(wǎng)絡安全、系統(tǒng)及應用安全、數(shù)據(jù)安全以及容災備份系統(tǒng)的建設等方面分別對系統(tǒng)安全需求進行分析，以形成一套完整的安全策略。1．物理安全需求分析物理安全是社會保險信息系統(tǒng)安全運營的前提，是安全系統(tǒng)的重要組成部分。物理安全涉及環(huán)境安全、設備安全、媒體安全三個部分，它們分別針對信息系統(tǒng)所在環(huán)境、所用設備、所載媒體進行安全保護。（1）環(huán)境安全需求①機房的安全等級應符合GB9361—88的A類；②機房內(nèi)部要按不同的安全規(guī)定和功能劃分區(qū)域，如業(yè)務系統(tǒng)數(shù)據(jù)解決區(qū)、數(shù)據(jù)操作錄入?yún)^(qū)、網(wǎng)絡管理區(qū)、辦公應用區(qū)，社會保障IC卡制卡區(qū)）等；③根據(jù)工作需要擬定用戶可以進入相應的區(qū)域，不同的區(qū)域，實行不同的控制措施；④要有嚴格的規(guī)章制度和技術(shù)手段（如密碼鎖、監(jiān)視器等）限制人員進入非授權(quán)區(qū)域。（2）設備安全需求①重要設備必須設立安全防盜報警裝置和監(jiān)視系統(tǒng)，防止設備被盜、被毀；②重要設備，如服務器、核心互換機等，要有冗余熱備份，并能快速在線恢復；③存放重要設備的機房發(fā)生電源故障后，要能提供1個小時以上的后備電力供應；④重要設備要存放在能防止雷擊等自然災害破壞的機房中；⑤存放重要設備的機房要具有防電磁干擾、防計算機輻射泄漏的設施。（3）媒體安全需求①保存重要數(shù)據(jù)的介質(zhì)要有異地備份；②存放重要備份數(shù)據(jù)的介質(zhì)要保存在符合GBJ45—82中規(guī)定的一級耐火等級的房間，或存放在具有防火、防高溫、防水、防震的容器中；③定期對備份介質(zhì)進行檢查，保證其可用性等；④介質(zhì)庫必須有專人管理，嚴格控制人員的進出。2．網(wǎng)絡安全需求分析網(wǎng)絡安全是社會保險信息系統(tǒng)安全運營的基礎，保證系統(tǒng)安全運營的關(guān)鍵。網(wǎng)絡系統(tǒng)的安全需求涉及網(wǎng)絡邊界安全需求、入侵監(jiān)測與實時監(jiān)控需求、安全事件的響應和解決需求分析。（1）網(wǎng)絡邊界安全需求①在具有不同安全級別的網(wǎng)絡安全域邊界配置安全設備和訪問控制策略，嚴格控制不同安全域之間的訪問行為；省市勞動保障部門的辦公網(wǎng)和業(yè)務專網(wǎng)之間按照國家和地方政府電子政務內(nèi)網(wǎng)的相關(guān)安全標準進行物理隔離，業(yè)務網(wǎng)絡與Internet邏輯隔離；②防止非法的網(wǎng)絡路由接入，阻止非法者竊聽、竊取、篡改網(wǎng)絡數(shù)據(jù)，防范通過遠程訪問非法接入；③可以對IP數(shù)據(jù)包進行過濾；（2）入侵監(jiān)測與實時監(jiān)控需求①可以定期自動地對網(wǎng)絡安全進行掃描和風險評估，發(fā)現(xiàn)網(wǎng)絡安全弱點和漏洞；②可以監(jiān)測和發(fā)現(xiàn)入侵行為，并對網(wǎng)絡違規(guī)行為可以實時報警和響應；③可以對系統(tǒng)中所有與安全有關(guān)事件進行跟蹤審計；④入侵監(jiān)測系統(tǒng)需要與防火墻聯(lián)動，實現(xiàn)網(wǎng)絡安全域的動態(tài)防護。（3）網(wǎng)絡基礎設施的可用性連接中央、省、市三級業(yè)務專網(wǎng)廣域主干的網(wǎng)絡基礎設施需要進行高可用性配置，以保證業(yè)務信息的無中斷可靠傳輸。3．系統(tǒng)及應用安全需求分析系統(tǒng)及應用安全需求分析涉及防病毒傳播需求分析、操作系統(tǒng)安全需求、用戶權(quán)限管理需求、訪問控制安全需求、業(yè)務信息系統(tǒng)安全需求等構(gòu)成。具體需求為：（1）防范病毒傳播需求①系統(tǒng)必須能自動偵測并清除來自網(wǎng)絡或其他輸入設備（軟驅(qū)、光驅(qū)、移動存儲設備等）的病毒；②病毒特性庫和掃描引擎的更新可通過網(wǎng)絡分布部署，可通過服務器自動分發(fā)客戶端工作站防毒軟件，簡化安裝過程；③系統(tǒng)必須可以在工作站引導區(qū)遭受病毒破壞后幫助進行緊急恢復；④服務器防病毒系統(tǒng)必須能監(jiān)控、查殺服務器自身的病毒，也能及時發(fā)現(xiàn)、解決來自網(wǎng)絡上的病毒，及時清除郵件系統(tǒng)的病毒；（2）操作系統(tǒng)安全需求①操作系統(tǒng)的安全等級要達成C2級；②可以通過對主體（人、進程）辨認和對客體（文獻、設備）標注，劃分安全級別和范疇，實現(xiàn)由操作系統(tǒng)對主、客體之間的訪問關(guān)系進行控制；③可以定期自動地對操作系統(tǒng)安全進行掃描和風險評估，發(fā)現(xiàn)系統(tǒng)安全弱點和漏洞，并及時補救；④對于關(guān)鍵業(yè)務系統(tǒng)，應按照高可用性方案配置，系統(tǒng)具有冗余性和快速故障恢復能力；⑤必須可以按照制定的安全審計計劃進行審計解決，涉及審計日記和對違規(guī)事件的解決；（3）用戶權(quán)限管理需求①可認為用戶分派用戶標記符UID，并保證用戶的唯一性；②支持用戶的分級和分組管理機制；③可以設定用戶訪問權(quán)限的有效日期、有效時間段；④可以提供可靠的用戶身份認證手段，如密碼等；⑤權(quán)限管理必須滿足最小授權(quán)原則，使每個用戶和進程只具有完畢其任務的最小權(quán)限。（4）訪問控制需求①建立有效的用戶身份認證機制，防范來自非法用戶的非法訪問和合法用戶的非授權(quán)訪問；②可以提供涉及用戶名的辨認與驗證、用戶口令的辨認與驗證、用戶帳號的缺省限制檢查等多道安全檢查；③可以支持按照自主訪問控制規(guī)則對用戶進行訪問控制，即按照用戶與被訪問對象（文獻等）的關(guān)系來決定是否允許訪問；④可以支持使用強制訪問控制規(guī)則對用戶進行強制訪問控制檢查，即根據(jù)該用戶在多級安全模型中所具有的安全屬性（等級和范疇）、本次訪問操作所涉及的對象（如文獻）在多級安全模型中的安全屬性（等級和范疇）來擬定這次訪問是否被允許；⑤系統(tǒng)必須可以防止用戶通過被允許途徑以外的其他訪問途徑，隱蔽地實現(xiàn)某些越權(quán)的非法訪問；⑥系統(tǒng)必須可以將每一次訪問記錄在日記文獻中，并提供分析和審計功能。（5）業(yè)務信息系統(tǒng)安全需求①業(yè)務經(jīng)辦社會保險信息系統(tǒng)網(wǎng)絡重要支持社會保險經(jīng)辦業(yè)務，涉及本地業(yè)務經(jīng)辦和異地業(yè)務經(jīng)辦，如基本養(yǎng)老保險、補充養(yǎng)老保險、基本醫(yī)療保險、補充醫(yī)療保險等本地經(jīng)辦業(yè)務信息的傳遞，異地領取養(yǎng)老金人員有關(guān)信息的傳遞，在職社會保險關(guān)系轉(zhuǎn)移人員有關(guān)信息的傳遞，異地就醫(yī)信息的傳遞等。這類業(yè)務傳輸?shù)氖莻€體性數(shù)據(jù)，且與個體利益直接相關(guān)，則在安全需求方面，規(guī)定操作時必須核算操作者的有效身份和操作權(quán)限，網(wǎng)絡必須保證流程嚴格無漏洞，且系統(tǒng)連續(xù)穩(wěn)定，數(shù)據(jù)傳輸必須保證信息準確、保密、且不可抵賴，在出現(xiàn)事故后可追究責任。②公共服務社會保險信息系統(tǒng)網(wǎng)絡支持公共服務，除有關(guān)政策法規(guī)信息和參數(shù)類信息的發(fā)布外，還面向參保人員和參保單位等社會對象提供個體性數(shù)據(jù)的查詢等服務。對于政策法規(guī)和繳費比例等公開性信息，無須在應用層做安全控制。對于個體性數(shù)據(jù)，如個人帳戶信息等的查詢，必須確認查詢者具有合法身份，不完全強調(diào)查詢者就是參保者本人，可以是參保者授權(quán)的其別人員。對于將來逐步開展的異地網(wǎng)上業(yè)務辦理，會規(guī)定核算個體的真實身份。③基金監(jiān)管基金監(jiān)管，重要為上級部門監(jiān)管下級基金狀況服務，規(guī)定既可以監(jiān)管基金的總體數(shù)據(jù)，又可以監(jiān)管某具體單位的數(shù)據(jù)，涉及記錄數(shù)據(jù)上傳、按非常規(guī)需求進行查詢等方式。由于涉及基金問題，在數(shù)據(jù)傳輸方面必須保證信息的保密性、準確性，在具體查詢操作時還必須核算操作者的有效身份和操作權(quán)限。③宏觀決策社會保險信息系統(tǒng)網(wǎng)絡上的宏觀決策重要為上級部門提供決策支持服務，傳遞各種業(yè)務信息。這一過程將運用網(wǎng)絡掃描方式實現(xiàn)，即通過下發(fā)有關(guān)操作指令實現(xiàn)記錄、查詢或抽樣，并上傳有關(guān)數(shù)據(jù)，具體涉及三種方式。對于固定周期固定報表方式，指令先期下達，數(shù)據(jù)定期記錄上傳，不涉及個體性數(shù)據(jù)，則只需保證信息的保密性、準確性，且在上傳數(shù)據(jù)時滿足操作權(quán)限規(guī)定。對于臨時構(gòu)造記錄報表并下發(fā)，以及原始數(shù)據(jù)抽樣方式，指令為臨時下達，操作時則要核算下達指令者的有效身份和操作權(quán)限，且不可抵賴；其余安全需求同固定周期固定報表方式。此外，對于具體的個體性數(shù)據(jù)，不同的字段有不同的安全級別，應在數(shù)據(jù)庫設計進行控制。表6-28社會保險業(yè)務安全需求分析異地業(yè)務經(jīng)辦異地公共服務基金監(jiān)管宏觀決策政策信息個體信息查詢和征詢異地網(wǎng)上業(yè)務辦理固定周期固定報表臨時構(gòu)造表、原始抽樣身份認證∨∨∨∨操作權(quán)限∨∨∨∨∨∨流程嚴格無漏洞∨∨系統(tǒng)連續(xù)穩(wěn)定∨∨信息準確∨∨∨∨∨∨∨信息保密∨∨∨∨∨∨不可抵賴∨∨可追究責任∨∨4．數(shù)據(jù)安全需求分析數(shù)據(jù)安全需求涉及數(shù)據(jù)庫安全需求、數(shù)據(jù)傳輸安全需求、數(shù)據(jù)存儲安全需求等構(gòu)成。（1）數(shù)據(jù)庫管理系統(tǒng)安全需求①數(shù)據(jù)庫管理系統(tǒng)自身的安全等級達成C2級；②可以通過對主體（人、進程）辨認和對客體（數(shù)據(jù)表、數(shù)據(jù)分片）標注，劃分安全級別和范疇，實現(xiàn)由系統(tǒng)對主、客體之間的訪問關(guān)系進行強制性控制；③具有增強的口令使用方式限制，用戶必須按規(guī)定的格式設立口令，才干進行注冊；④可以按照最小授權(quán)原則，對數(shù)據(jù)庫管理員、軟件開發(fā)人員、終端用戶授予各自完畢自身任務所需的最小權(quán)限；⑤可以對于數(shù)據(jù)庫安全有關(guān)的事件進行跟蹤、記錄、報警和解決，供有關(guān)人員進行分析；（2）數(shù)據(jù)傳輸?shù)陌踩枨髷?shù)據(jù)傳輸?shù)陌踩枨笊婕皩?shù)據(jù)傳輸?shù)臋C密性和完整性需求。①數(shù)據(jù)傳輸?shù)臋C密性規(guī)定，需要對勞動保障業(yè)務專網(wǎng)傳輸?shù)拿舾行詷I(yè)務數(shù)據(jù)（業(yè)務經(jīng)辦數(shù)據(jù)互換信息，異地領取養(yǎng)老金人員有關(guān)信息，在職社會保險關(guān)系轉(zhuǎn)移人員有關(guān)信息，異地就醫(yī)信息等）機密性進行保護，支持WWW、FTP、SMTP、Telnet等TCP/IP的標準服務以及社會保險網(wǎng)絡特有的通訊業(yè)務；②根據(jù)傳輸完整性規(guī)定，保護網(wǎng)絡傳輸IP數(shù)據(jù)包的不可篡改性。（3）數(shù)據(jù)存儲的安全需求①社會保險信息系統(tǒng)主機的操作系統(tǒng)、應用軟件要有存儲在可靠介質(zhì)的全備份，軟件以及計算機和網(wǎng)絡設備的配置和設立的所有參數(shù)也必須進行備份；與系統(tǒng)安裝和恢復相關(guān)的軟硬件、資料等必須放置在安全的地方；②社會保險業(yè)務系統(tǒng)的重要數(shù)據(jù)必須定期進行備份，備份的數(shù)據(jù)必須存儲在可靠的介質(zhì)中并與系統(tǒng)分開存放；并且要制定詳盡的使用數(shù)據(jù)備份進行故障恢復的預案，并進行預演；③對于需要保密的存儲數(shù)據(jù)，應采用加密措施保證其機密性。5．容災備份安全需求為了保證社會保險關(guān)鍵業(yè)務系統(tǒng)（本地社會保險經(jīng)辦業(yè)務、異地領取養(yǎng)老金，在職社會關(guān)系轉(zhuǎn)移，異地就醫(yī)等）以及其他業(yè)務服務的穩(wěn)定性與連續(xù)性，需要建設異地容災備份中心。當主中心發(fā)生劫難性事件時，由備份中心接管所有的業(yè)務。備份中心要有足夠帶寬保證與主中心的數(shù)據(jù)同步，有足夠的解決能力來接管主中心的業(yè)務，要保證快速可靠與主中心的應用切換。同時需要在異地容災備份中心配置數(shù)據(jù)備份系統(tǒng)對重要數(shù)據(jù)進行備份。6．安全管理需求健全的安全管理體系是各種安全防范措施得以有效實行、網(wǎng)絡系統(tǒng)安全實現(xiàn)和維系的保證，為此需要建立一套符合社會保險系統(tǒng)實際的安全管理體系。（七）系統(tǒng)安全策略社會保險信息系統(tǒng)安全策略涉及物理安全策略、網(wǎng)絡層安全策略、主機系統(tǒng)、應用系統(tǒng)和數(shù)據(jù)的安全策略以及系統(tǒng)容災備份的安全策略。1．物理安全策略物理安全是保護計算機網(wǎng)絡設備、設施以及其他媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。（1）物理安全的內(nèi)容重要涉及三個方面：①環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和劫難保護；②設備安全：重要涉及設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；③媒體安全：涉及媒體數(shù)據(jù)的安全及媒體自身的安全。（2）物理安全措施為保證社會保險信息系統(tǒng)的物理安全，在網(wǎng)絡系統(tǒng)安全建設中可重要通過幾個方面來實現(xiàn)：①機房環(huán)境和場地安全規(guī)定社會保險信息系記錄算機機房的建設須符合國家安全保密等部門規(guī)定以及《電子計算機機房設計規(guī)范》（GB50174-93）、《計算機場地安全規(guī)定》（GB9361-88）等國家的相關(guān)安全標準，機房場地與設施的安全管理滿足機房場地選擇、防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災報警及消防措施等安全技術(shù)規(guī)定，保證設備的物理安全；機房的安全等級應符合GB9361-88的A類；②在主機房設備布局上，按應用系統(tǒng)的不同安全控制級別和不同功能進行區(qū)域劃分。特別是運營有渉密性質(zhì)的辦公系統(tǒng)設備，社會保障IC卡密鑰設備等須布置在獨立的屏蔽機房環(huán)境中，以進行涉密信息傳輸和解決；③對劃分的區(qū)域?qū)嵭蟹謪^(qū)控制，根據(jù)工作需要擬定能否進入相應的區(qū)域；采用門禁等安全措施，嚴格控制進入各分區(qū)人員；④在機房內(nèi)設立安全防盜報警裝置和監(jiān)視系統(tǒng)來實現(xiàn)防盜、防毀，保障設備的安全；⑤為防止因電網(wǎng)電壓波動、干擾、斷電等對系統(tǒng)的影響，根據(jù)實際情況在機房內(nèi)配備斷電后連續(xù)供電的UPS；⑥按照相關(guān)設計規(guī)范和技術(shù)規(guī)定，在機房設計和建設中做好靜電防護設施、防雷裝置和接地保護系統(tǒng)；⑦凡是渉密網(wǎng)絡須符合國家安全保密等部門的有關(guān)規(guī)定，布線采用光纖和屏蔽雙絞線；接入端須放置干擾器，以減少或干擾擴散出去的空間信號，防止計算機輻射信息的泄漏；⑧對于重要的數(shù)據(jù)要進行備份，備份數(shù)據(jù)的存放位置應符合GBJ45-82中規(guī)定的一級耐火等級，符合防火、防高溫、防水、防震等規(guī)定；定期對備份數(shù)據(jù)進行檢查，保證其可用性等；⑨制定嚴格的機房和設備管理制度，以及信息拷貝、介質(zhì)保存出入庫與銷毀的管理制度。2．網(wǎng)絡安全策略（1）網(wǎng)絡邊界安全策略社會保險網(wǎng)絡層安全的設計和建設采用硬件保護與軟件保護、靜態(tài)防護與動態(tài)防護相結(jié)合，由外向內(nèi)多級防護的總體策略。根據(jù)應用系統(tǒng)目的和安全需求，網(wǎng)絡系統(tǒng)劃分為六個層次上的不同安全區(qū)域，如圖6-57所示。具體是：核心層（辦公網(wǎng)、社會保障IC卡密鑰應用區(qū)），安全層（社會保險應用區(qū)、宏觀決策支持應用區(qū)、網(wǎng)絡基礎服務區(qū)、安全應用支持服務區(qū)、其他勞動保障應用區(qū)等），基本安全層（勞動保障系統(tǒng)內(nèi)部資源區(qū)、相關(guān)單位資源區(qū)），可信任層（勞動保障業(yè)務專網(wǎng)：政府信息網(wǎng)絡平臺/公共通信網(wǎng)絡），非安全層（公共信息服務應用區(qū)），危險層（公共Internet，相關(guān)單位網(wǎng)絡）。各層安全性逐層遞減。社會保險信息系統(tǒng)各安全域中的安全需求和安全級別不同，網(wǎng)絡層的安全重要是在各安全域間建立有效的安全控制措施，使網(wǎng)間的訪問具有可控性。①處在核心層的辦公應用局域網(wǎng)和社會保障IC卡密鑰區(qū)應與其他網(wǎng)絡物理隔離隔離。假如采用物理隔離，核心層網(wǎng)絡和其他網(wǎng)絡的信息互換，須采用人工方式實現(xiàn)，并且所有操作按照嚴格的保密制度規(guī)定進行；②處在安全層的勞動保障業(yè)務局域網(wǎng)中運營著多種即相聯(lián)系，又相獨立的應用系統(tǒng)：社會保險應用，其他勞動保障和宏觀決策支持應用，綜合應用等。對于安全層的網(wǎng)絡，安全重要來自局域網(wǎng)內(nèi)部，在局域網(wǎng)中可通過劃分虛擬子網(wǎng)對各安全域間、用戶和安全域間實行安全隔離，提供子網(wǎng)間的訪問控制能力。子網(wǎng)的劃分按照業(yè)務系統(tǒng)類別、部門級別、用戶權(quán)限等因素來進行，并以最大子網(wǎng)安全隔離來設立子網(wǎng)間的訪問控制；可結(jié)合基于互換機端口的VLAN技術(shù)和基于節(jié)點MAC地址的VLAN技術(shù)，實現(xiàn)局域網(wǎng)安全控制和隔離；③處在基本安全層的勞動保障系統(tǒng)內(nèi)部資源區(qū)、對相關(guān)單位資源區(qū)、和非安全層的公共信息服務應用區(qū)，作為內(nèi)網(wǎng)和外網(wǎng)進行資源共享、數(shù)據(jù)互換和信息服務的安全隔離帶，在網(wǎng)絡的互連邊界上運用專用網(wǎng)絡安全設備（如防火墻）建立安全防護，或在邊界路由設備上進行訪問控制ACL等安全策略的配置，以有效地控制外界用戶和局域網(wǎng)的信息互換；關(guān)于ACL的配置，在對外邊界路由器上設立粗略的訪問控制過濾規(guī)則，形成內(nèi)部網(wǎng)絡的第一道防護線，在內(nèi)部網(wǎng)上使用過濾規(guī)則，形成系統(tǒng)之間的訪問控制和邏輯隔離。為了不影響網(wǎng)絡的運營效率，不在邊界路由器、中心三層互換機上配置過多的ACL。細致的控制在專用網(wǎng)絡安全設備（如防火墻）中實現(xiàn)；安全隔離帶作為聯(lián)系內(nèi)外網(wǎng)的環(huán)節(jié)，易受到外界系統(tǒng)的襲擊，在各網(wǎng)段上配備網(wǎng)絡安全分析、入侵監(jiān)測及網(wǎng)絡監(jiān)控系統(tǒng)，以監(jiān)視網(wǎng)絡上的通信數(shù)據(jù)流，捕獲可疑的網(wǎng)絡活動，進行實時響應和報警，并實現(xiàn)和專用網(wǎng)絡安全設備（如防火墻）的聯(lián)動，同時提供詳盡的網(wǎng)絡安全審計分析報告；④在處在信任層的政府信息網(wǎng)絡平臺/公共通信網(wǎng)絡上進行數(shù)據(jù)傳輸時不考慮鏈路層的加密方式，對于省市縱向業(yè)務專網(wǎng)和城域網(wǎng)上傳輸?shù)臉I(yè)務數(shù)據(jù)（如本地業(yè)務經(jīng)辦、異地業(yè)務經(jīng)辦、異地領取養(yǎng)老金人員有關(guān)信息、在職社會保險關(guān)系轉(zhuǎn)移人員有關(guān)信息、異地就醫(yī)信息等）可采用數(shù)據(jù)層加密方式，實現(xiàn)關(guān)鍵敏感性信息在廣域網(wǎng)通信信道上的安全傳輸。（2）網(wǎng)絡基礎設施的可用性策略對于數(shù)據(jù)中心局域網(wǎng)、省市縱向業(yè)務專網(wǎng)和本地城域網(wǎng)的網(wǎng)絡基礎如局域網(wǎng)主干互換機、廣域網(wǎng)路由器、廣域網(wǎng)線路、網(wǎng)絡邊界安全設備（如防火墻）等考慮采用冗余設計，以保證業(yè)務信息的可靠傳輸。網(wǎng)絡基礎設施部分已在網(wǎng)絡系統(tǒng)設計中考慮。

插圖6-57網(wǎng)絡層安全域結(jié)構(gòu)圖

3．系統(tǒng)及應用層安全策略（1）操作系統(tǒng)安全社會保險信息系統(tǒng)的主機選擇安全可靠的操作系統(tǒng)，絕大部分主機運營WindowsNT操作系統(tǒng)，一些關(guān)鍵性業(yè)務系統(tǒng)主機運營UNIX系統(tǒng)。用“最小合用性原則”配置系統(tǒng)以提高系統(tǒng)安全性，并及時安裝各種系統(tǒng)安全補丁程序。嚴格制定操作系統(tǒng)的管理制度，定期檢查系統(tǒng)配置。運用系統(tǒng)漏洞掃描軟件對關(guān)鍵業(yè)務服務器系統(tǒng)（如社會保險管理系統(tǒng)及決策支持系統(tǒng)）、公共的WWW服務器、郵件服務器、代理服務器、網(wǎng)管系統(tǒng)服務器等進行定期的安全掃描分析，及時提供網(wǎng)絡系統(tǒng)安全狀況評估分析報告，并根據(jù)分析結(jié)果合理制定或調(diào)整系統(tǒng)安全策略，以保證這些設備的安全隱患降至最低。在系統(tǒng)中建立基于用戶的訪問控制機制，監(jiān)視與記錄每個用戶操作（如通過登錄過程）。用戶需獨立標記，監(jiān)視的數(shù)據(jù)應予以保護，防止越權(quán)訪問。（2）應用系統(tǒng)安全應用層安全是建立在網(wǎng)絡層安全基礎之上，重要是對資源的有效性進行控制，管理和控制什么用戶對信息資源和服務資源具有什么權(quán)限。其安全性策略涉及用戶和服務器間的雙向身份認證、信息和服務資源的訪問控制和訪問資源的加密，并通過審計和記錄機制，保證服務請求和資源訪問的防抵賴。對于外部應用，如WWW信息發(fā)布等公共服務應用、電子郵件等，其安全需求是在信息共享的同時，保證信息資源的合法訪問及通訊保密性，因而必須嚴格按照用戶的身份控制對個人性數(shù)據(jù)的訪問?；趧趧颖Ｕ螾KI系統(tǒng)，采用數(shù)字證書等方式建立應用層的數(shù)據(jù)加密，保證數(shù)據(jù)保密性和完整性。對于WWW站點，需要配置頁面?zhèn)蓽y和自動修復系統(tǒng)，以提高站點的抗破壞能力。對于內(nèi)部應用，如辦公及其他關(guān)鍵性業(yè)務系統(tǒng)的安全，對身份認證和訪問控制有更高的規(guī)定，訪問控制的控制粒度更細，在應用程序和數(shù)據(jù)庫系統(tǒng)中都應有嚴格的訪問控制機制。（3）防病毒系統(tǒng)策略計算機病毒是一段可以自我復制，自行傳播的程序。病毒運營后可以損壞文獻、使系統(tǒng)癱瘓，從而導致各種難以預料的后果。在網(wǎng)絡環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力，因而計算機病毒的防范也是網(wǎng)絡安全建設的重要環(huán)節(jié)。社會保險信息系統(tǒng)運營環(huán)境復雜，網(wǎng)上用戶數(shù)多，同Internet有連接等因素，也許會受到來自于多方面的病毒威脅，在辦公網(wǎng)和業(yè)務專網(wǎng)上建立多層次的病毒防衛(wèi)體系，涉及桌面客戶端、服務器、郵件系統(tǒng)、Internet網(wǎng)關(guān)上實行防病毒系統(tǒng)的部署，配置病毒掃描引擎和病毒特性庫數(shù)據(jù)的自動更新方式，實現(xiàn)對網(wǎng)絡病毒的防止、偵測、消毒和預警，以防止病毒對系統(tǒng)和關(guān)鍵文檔數(shù)據(jù)的破壞。（4）數(shù)據(jù)和系統(tǒng)備份策略安全可靠的網(wǎng)絡數(shù)據(jù)備份系統(tǒng)不僅在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起保護作用，也在入侵者非法授權(quán)訪問或?qū)W(wǎng)絡襲擊及破壞數(shù)據(jù)完整性時起到保護作用，同時也是系統(tǒng)劫難恢復的前提。因而在網(wǎng)絡系統(tǒng)中建立安全可靠的網(wǎng)絡數(shù)據(jù)備份系統(tǒng)是保證網(wǎng)絡系統(tǒng)數(shù)據(jù)安全和網(wǎng)絡可靠運營的必要手段。網(wǎng)絡系統(tǒng)的數(shù)據(jù)備份涉及兩種類型的備份內(nèi)容：網(wǎng)絡系統(tǒng)中關(guān)鍵應用系統(tǒng)及運營的操作系統(tǒng)的備份；網(wǎng)絡系統(tǒng)中數(shù)據(jù)的備份。對于前者的備份恢復，由于應用系統(tǒng)穩(wěn)定性較高，可采用一次性的全備份，以防止當系統(tǒng)遭到任何限度的破壞，都可以方便快速地將本來的系統(tǒng)恢復出來。對于后者的備份，由于數(shù)據(jù)的不穩(wěn)定性，可分別采用定期全備份、差分備份、按需備份和增量備份的策略，來保證數(shù)據(jù)的安全。在數(shù)據(jù)中心網(wǎng)絡系統(tǒng)中配置數(shù)據(jù)備份系統(tǒng)，以實現(xiàn)本地關(guān)鍵系統(tǒng)和重要數(shù)據(jù)的備份。4．故障恢復和容災備份策略除配置數(shù)據(jù)備份系統(tǒng)，實現(xiàn)本地關(guān)鍵系統(tǒng)和重要數(shù)據(jù)的備份外，為保證社會保險關(guān)鍵業(yè)務系統(tǒng)（本地社會保險業(yè)務經(jīng)辦、異地領取養(yǎng)老金，在職社會關(guān)系轉(zhuǎn)移，異地就醫(yī)等）以及其他業(yè)務服務的穩(wěn)定性與連續(xù)性，（說明：考慮在本地地理位置相異的其他勞動保障機構(gòu)或合作單位數(shù)據(jù)中心機房建設同城異地容災備份中心）。運用容災恢復軟件和設備通過網(wǎng)絡實現(xiàn)異地系統(tǒng)和數(shù)據(jù)的備份及部分服務的冗余。當主中心發(fā)生劫難性事件時，由備份中心接管部分關(guān)鍵性業(yè)務。（八）基礎安全防護系統(tǒng)建設基礎安全防護系統(tǒng)的建設涉及有防火墻、入侵檢測、漏洞掃描、安全審計、病毒防治等。金保工程業(yè)務專網(wǎng)省市數(shù)據(jù)中心基礎安全防護系統(tǒng)的部署方案如圖6－58所示。1．防火墻在省、市業(yè)務專網(wǎng)的各網(wǎng)絡節(jié)點的出入口處和局域網(wǎng)內(nèi)部不同安全域之間布置防火墻設備。具體地，Internet到公共信息服務應用區(qū)之間、業(yè)務相關(guān)單位到相關(guān)單位資源區(qū)的網(wǎng)絡邊界、省市網(wǎng)絡到勞動保障系統(tǒng)內(nèi)部資源區(qū)的網(wǎng)絡邊界、各資源區(qū)和各業(yè)務應用區(qū)間、生產(chǎn)庫數(shù)據(jù)區(qū)和其他業(yè)務應用區(qū)間、安全應用支撐服務區(qū)與內(nèi)部業(yè)務網(wǎng)間部署防火墻，實現(xiàn)不同安全域之間的邏輯隔離、訪問控制及審計。對于省市縱向業(yè)務專網(wǎng)采用主備線路和路由器的冗余設計的，在邊界防火墻配置上也相應地采用主備方式。防火墻重要運用IP和TCP包的頭信息對進出被保護網(wǎng)絡的IP包信息進行過濾，根據(jù)在其上配置的安全策略來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流。同時實現(xiàn)網(wǎng)絡地址轉(zhuǎn)換（NAT）、審計和實時報警功能。通過防火墻的包過濾，實現(xiàn)基于地址的粗粒度訪問控制，通過口令認證對用戶身份進行鑒別，實現(xiàn)基于用戶的細粒度的訪問控制。（1）防火墻工作模式防火墻重要工作在互換和路由兩種模式下：①對于互換模式：3個接口構(gòu)成一個以太網(wǎng)互換機，自身沒有IP地址，在IP層透明?？梢詫⑷我馊齻€物理網(wǎng)絡連接起來構(gòu)成一個互通的物理網(wǎng)絡。②路由模式：防火墻自身構(gòu)成3個網(wǎng)絡間的路由器，3個接口分別具有不同的IP地址。三個網(wǎng)絡中的主機通過該路由進行通信。

插圖6-58勞動保障省市數(shù)據(jù)中心業(yè)務專網(wǎng)基礎安全防護系統(tǒng)結(jié)構(gòu)圖

因此就防火墻系統(tǒng)的配置而言，可以根據(jù)實際的網(wǎng)絡情況和實際的安全需要來配置工作模式。當防火墻工作在互換模式時，內(nèi)網(wǎng)、DMZ區(qū)和路由器的內(nèi)部端口構(gòu)成一個統(tǒng)一的互換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡拓撲結(jié)構(gòu)和各主機和設備的網(wǎng)絡設立；當防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保存地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet。內(nèi)部網(wǎng)、DMZ區(qū)通過反向地址轉(zhuǎn)換對Internet提供服務。如對于Internet到公共信息服務應用區(qū)之間和省市廣域網(wǎng)網(wǎng)絡邊界的防火墻配置成路由模式。（2）防火墻重要功能①支持互換模式下和路由模式下的應用層過濾。在互換模式下和路由模式下均可以相應用級協(xié)議進行細度的控制，支持通配符過濾。②對HTTP協(xié)議可以進行命令級控制及URL、關(guān)鍵字過濾，并過濾JavaApplet、ActiveX等小程序。③對FTP協(xié)議可以進行命令級控制，并可以控制所存取的目錄及文獻。④對SMTP協(xié)議支持基于郵件地址、內(nèi)容關(guān)鍵字、主題的過濾，并可以設定允許Relay的郵件域。⑤支持不同子網(wǎng)間的視頻、語音應用，其他安全策略不受影響。⑥具有實時在線的網(wǎng)絡數(shù)據(jù)監(jiān)控功能，實時監(jiān)控網(wǎng)絡數(shù)據(jù)包的狀態(tài)，網(wǎng)絡上流量的動態(tài)變化，并對非法的數(shù)據(jù)包進行阻斷。⑦具有網(wǎng)絡嗅探的功能，實時抓取網(wǎng)絡上的數(shù)據(jù)包，并進行解碼和分析。⑧具有自動搜集與防火墻相連子網(wǎng)中主機信息的功能，搜集的信息涉及IP地址、MAC地址等，以減輕管理員的工作承擔。⑨在防火墻設備的基礎上，具有平滑的VPN擴充功能，VPN采用國家密碼管理部門批準使用的硬件加密和認證算法。⑩具有與IDS設備聯(lián)動能力。2．入侵監(jiān)測系統(tǒng)入侵監(jiān)測系統(tǒng)基于網(wǎng)絡和系統(tǒng)的實時安全監(jiān)控，運營于敏感數(shù)據(jù)需要保護的網(wǎng)絡上，對來自內(nèi)部和外部的非法入侵行為做到及時響應、告警和記錄日記，可填補防火墻的局限性。入侵監(jiān)測系統(tǒng)通過實時監(jiān)聽網(wǎng)絡數(shù)據(jù)流，辨認、記錄入侵和破壞性代碼流，尋找網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試時，網(wǎng)絡信息安全檢測系統(tǒng)預警系統(tǒng)可以根據(jù)系統(tǒng)安全策略作出反映。入侵監(jiān)測報警日記的功能時通過對所有對網(wǎng)絡系統(tǒng)有也許導致危害的數(shù)據(jù)流進行報警和響應，作為受到網(wǎng)絡襲擊的重要證據(jù)。入侵監(jiān)測系統(tǒng)重要安裝在易受到襲擊的服務器或防火墻附近，對于數(shù)據(jù)中心局域網(wǎng)絡，在防火墻和內(nèi)部網(wǎng)主干互換機附近部署入侵監(jiān)測系統(tǒng)，以檢測關(guān)鍵部位的數(shù)據(jù)流，防范非法訪問行為，對非法網(wǎng)絡行為的審計、監(jiān)控及安全監(jiān)控，并實現(xiàn)與防火墻的聯(lián)動進行動態(tài)防護。即在業(yè)務專網(wǎng)的各網(wǎng)絡邊界的防火墻內(nèi)（如Internet到公共信息服務應用區(qū)的邊界防火墻、業(yè)務相關(guān)單位到相關(guān)單位資源區(qū)的邊界防火墻、上、下級網(wǎng)絡節(jié)點到勞動保障系統(tǒng)內(nèi)部資源區(qū)的邊界防火墻），Internet到公共信息服務應用區(qū)的邊界防火墻外，以及內(nèi)部業(yè)務局域網(wǎng)主干互換機重要服務器網(wǎng)段的監(jiān)控端口部署入侵監(jiān)測系統(tǒng)，以監(jiān)控網(wǎng)絡出入口和重要服務器進行訪問的數(shù)據(jù)流，并對襲擊行為作出響應。入侵監(jiān)測系統(tǒng)由控制中心和探測引擎（網(wǎng)絡、主機）組成，控制中心作為入侵監(jiān)測系統(tǒng)的管理和配置工具，可以編輯、修改和分發(fā)各網(wǎng)絡探測引擎、子控制中心的策略定義，給各探測引擎升級特性庫，同時接受所有探測引擎的實時報警信息。控制中心和各探測引擎間的信息互換通過加密方式進行。入侵監(jiān)測系統(tǒng)重要功能規(guī)定如下：（1）具有強大的襲擊檢測能力。能檢測1500種以上的襲擊種類。檢測引擎和襲擊特性庫及時升級和更新。（2）軟件的部署應有一定的靈活性，采用分布式的體系結(jié)構(gòu)，監(jiān)測節(jié)點和管理控制站可分立配置；（3）監(jiān)測系統(tǒng)的部署對原有網(wǎng)絡和系統(tǒng)環(huán)境為完全透明方式，對網(wǎng)絡數(shù)據(jù)包的監(jiān)控，應采用包拷貝方式，對網(wǎng)絡數(shù)據(jù)包的傳輸不能導致延遲；監(jiān)測節(jié)點和管理控制站的通信應采用此外通道，不占用監(jiān)測網(wǎng)絡的通信帶寬；（4）提供完整的應用協(xié)議內(nèi)容恢復功能。支持常用協(xié)議（如HTTP、FTP、SMTP、POP3、TELNET）等通信過程、內(nèi)容的恢復與回放。并允許用戶自定義協(xié)議。同時要做到個人隱私和安全的兼顧，根據(jù)不同的權(quán)限控制內(nèi)容恢復的限度。（5）可以檢測有害的內(nèi)容，例如：反動信息、暴力信息等。（6）具有實時在線的網(wǎng)絡數(shù)據(jù)監(jiān)控功能，實時監(jiān)控網(wǎng)絡數(shù)據(jù)包的狀態(tài)及網(wǎng)絡流量的動態(tài)變化，并對非法的數(shù)據(jù)包進行阻斷。（7）具有積極探測機制，可以積極探測網(wǎng)絡上存在安全隱患和風險。（8）自帶數(shù)據(jù)庫，不需第三方數(shù)據(jù)源。使用數(shù)據(jù)庫存儲襲擊和入侵信息以便隨時檢索，自動維護和并提供具體的襲擊與入侵資料，涉及發(fā)生時間、發(fā)起主機與受害主機地址、襲擊類型、以及針對此類型襲擊的具體解釋與解決辦法。（9）具有完善的日記記錄和應用審計功能，提供靈活的自定義審計規(guī)則。（10）提供靈活方便的報表、圖形方式的記錄分析功能，實時顯示分析結(jié)果。3．漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)是一種系統(tǒng)安全評估技術(shù)，可以測試和評價系統(tǒng)的安全性，并及時發(fā)現(xiàn)安全漏洞。具體涉及網(wǎng)絡模擬襲擊、漏洞檢測、報告服務進程，以及評測風險，提供安全建議和改善措施等功能。在數(shù)據(jù)中心局域網(wǎng)安裝一套網(wǎng)絡安全漏洞掃描系統(tǒng)，定期或不定期對一些關(guān)鍵設備和系統(tǒng)（網(wǎng)絡、操作系統(tǒng)、主干互換機、路由器、重要服務器、防火墻和應用程序）進行漏洞掃描，對這些設備的安全情況進行評估，發(fā)現(xiàn)并報告系統(tǒng)存在的弱點和漏洞，評估安全風險，建議補救措施。重要功能規(guī)定：（1）提供基于網(wǎng)絡的自動安全漏洞檢測和分析，掃描項目應覆蓋：網(wǎng)絡層、應用層和各種網(wǎng)絡服務；（2）掃描對象：基于TCP/IP的所有IP設備和服務，涉及：路由器、NT服務器、UNIX服務器、防火墻等；（3）具有較強漏洞掃描能力，漏洞特性庫豐富，可辨認和檢測的漏洞數(shù)應不小于1000種，同時應有較強的掃描分析能力；網(wǎng)絡掃描系統(tǒng)應能對以下幾方面提供漏洞發(fā)現(xiàn)：檢測網(wǎng)絡系統(tǒng)的的服務進程檢測軟件的版本和補丁包，缺省配置等方面的問題檢測NT服務器的配置漏洞檢測Ｗeb服務器的文獻和程序方面的漏洞（如IIS、CGI腳本和HTTP）檢測標準的網(wǎng)絡端口和服務檢測網(wǎng)絡服務的漏洞，涉及：SMTP，F(xiàn)TP，SNMP，Proxy，DNS，WWW，RPC等檢測遠程訪問的安全漏洞檢測NT用戶、用戶組方面的漏洞，如弱的口令設立檢測NetBIOS共享的漏洞（4）按掃描強度的不同來定義，如：重度掃描、中度掃描、輕度掃描和自定義強度掃描等，以滿足網(wǎng)絡安全的不同掃描需求；（5）網(wǎng)絡掃描的執(zhí)行不應對掃描對象的系統(tǒng)產(chǎn)生影響，如重度掃描對系統(tǒng)的影響也應是可恢復性的；（6）具有靈活的掃描策略的定制能力，可按照特定的時間、掃描對象的范圍、掃描的不同漏洞分類來配置掃描需求；支持自動掃描；（7）網(wǎng)絡掃描系統(tǒng)具有生成被掃描網(wǎng)絡環(huán)境安全弱點和漏洞的分析報告的能力；報告應涉及掃描漏洞清單，詳盡的漏洞描述和補救方法，各種類型漏洞的記錄圖表；報告應是中文描述，內(nèi)容具體，可操作性強，報告應有多種表現(xiàn)形式并且易于理解，如HTML等，每個報告都應提供修改漏洞的具體的操作環(huán)節(jié)或安全補丁供應商的超級鏈接；（8）網(wǎng)絡掃描系統(tǒng)應具有較低的誤報率；系統(tǒng)應具有頻繁誤報事件的屏蔽能力；（9）軟件的掃描工作對網(wǎng)絡的數(shù)據(jù)包傳輸不能導致明顯延遲；（10）基于國際CVE標準建立的安全漏洞庫，并通過網(wǎng)絡升級可以與國際最新標準同步。4．防病毒系統(tǒng)為了防止病毒在內(nèi)部網(wǎng)絡傳播，防止病毒對內(nèi)部的重要信息和網(wǎng)絡導致破壞，并定位感染的來源與類型，在網(wǎng)絡中部署病毒防護系統(tǒng)，采用網(wǎng)絡集中防病毒和分散防病毒兩種方式。具體配置為：在網(wǎng)絡中的服務器中安裝文獻及應用服務器防病毒組件，在郵件服務器上安裝群件系統(tǒng)防病毒組件，在代理服務器上安裝Internet網(wǎng)關(guān)防病毒組件，在網(wǎng)絡中的所有桌面客戶機上安裝桌面防病毒組件，安裝掃描引擎和病毒特性庫更新服務器，負責全網(wǎng)防病毒系統(tǒng)的掃描引擎和病毒特性庫的及時升級更新，安裝防病毒管理控制中心，負責對防病毒系統(tǒng)進行統(tǒng)一管理。對于單機用戶或移動終端用戶，輔以單機防病毒軟件。在防病毒系統(tǒng)的部署時，集中對病毒軟件庫中的防病毒軟件組件進行配置，通過配置可以簡化客戶端的管理和提高運營效率，并使全網(wǎng)的防病毒策略保持一致。配置內(nèi)容涉及：客戶端防病毒軟件的缺省安裝方式和參數(shù)；防病毒軟件的運營參數(shù)；掃描方式定制；缺省掃描范圍擬定；碰到病毒后的解決等；定期升級和更新設立。通過對網(wǎng)絡中的病毒掃描集中控制，建立各種定期任務，統(tǒng)一集中觸發(fā)，然后由各被管理機器運營，同時可對日記文獻的各種格式進行控制。在管理服務器上建立了集中的病毒分發(fā)報告、各被管機器的病毒掃描報告、所安裝軟件的版本等報告，所有病毒掃描狀態(tài)信息都可由控制臺得到。防病毒產(chǎn)品技術(shù)規(guī)定如下：（1）支持多種平臺的病毒防范，涉及UNIX系列、Windows系列、Linux系列。（2）支持對Internet/Intranet服務器的病毒防治，可以阻止惡意的Java或ActiveX小程序的破壞；（3）支持對電子郵件附件的病毒防治，涉及WORD、EXCEL中的宏病毒；（4）支持多的病毒解決選項，如對染毒文獻進行實時殺毒、移出、刪除、重新命名等；（5）提供對病毒特性信息和檢測引擎的定期在線更新服務；（6）提供集中式網(wǎng)絡防病毒管理5．安全審計在運用防火墻、IDS等安全產(chǎn)品自身的審計功能，以及操作系統(tǒng)的審計功能的同時，在網(wǎng)絡系統(tǒng)中配置跨平臺的綜合審計系統(tǒng)，實現(xiàn)對網(wǎng)絡系統(tǒng)的全方位集中安全審計。支持基于PKI的應用審計，能在有策略配置的指導下實時或定期采集各信息系統(tǒng)產(chǎn)生的數(shù)據(jù)，并進行有效的轉(zhuǎn)換和整合，以滿足系統(tǒng)安全管理員的安全數(shù)據(jù)挖掘需求。支持基于XML的審計數(shù)據(jù)采集協(xié)議。提供靈活的自定義審計規(guī)則。安全審計系統(tǒng)的功能規(guī)定：（1）可以從多種服務器（UNIX、Windows2023、Linux）自動收集系統(tǒng)事件，并將這些事件保存在中心數(shù)據(jù)庫。（2）具有完整的網(wǎng)絡日記功能，具體記錄每個用戶的網(wǎng)絡訪問行為。（3）全面的操作系統(tǒng)日記功能?？蓪⒂脩魧Σ僮飨到y(tǒng)的訪問記錄下來。涉及用戶操作的時間、用戶名、操作的結(jié)果以及名稱和途徑。（4）日記快速查詢。查詢系統(tǒng)重要應用于對已記錄的操作系統(tǒng)和網(wǎng)絡系統(tǒng)的審計日記文獻進行分析查詢，根據(jù)查詢條件可以方便快速地得到相關(guān)記錄的結(jié)果。（5）支持分布式的數(shù)據(jù)審計與預警。（6）完善的自保護能力。安全審計模塊具有自保護功能，防止用戶對審計文獻和系統(tǒng)的非法修改，保證審計系統(tǒng)和安全日記文獻的完整性。（7）智能分析功能。安全審計模塊可以根據(jù)操作系統(tǒng)和網(wǎng)絡的實際情況，智能地對一些也許的安全隱患向管理員提出警告，幫助系統(tǒng)管理員對系統(tǒng)的安全管理。（九）CA認證中心系統(tǒng)建設1．總體描述勞動保障安全應用支撐平臺以密碼服務為基礎，以數(shù)字證書技術(shù)為核心，為勞動和社會保障業(yè)務專網(wǎng)上的各項業(yè)務系統(tǒng)和公共服務系統(tǒng)等提供信任、授權(quán)及應用支撐服務。作為安全應用支撐平臺重要組成部分的證書服務系統(tǒng)是建設重點。勞動和社會保障信任服務體系采用樹狀結(jié)構(gòu)，以勞動保障部為樞紐，建立勞動和社會保障數(shù)字證書策略和管理中心以及根CA中心，并作為勞動和社會保障信任服務體系最高管理機構(gòu)和信任源點。勞動保障部負責統(tǒng)一規(guī)劃信任服務體系的密碼體制，負責建立基于勞動和社會保障全系統(tǒng)統(tǒng)一的密碼管理系統(tǒng)和信任服務體系根系統(tǒng)，建立勞動和社會保障行業(yè)證書認證系統(tǒng)，負責與勞動保障部門業(yè)務相關(guān)聯(lián)的業(yè)務系統(tǒng)安全認證與授權(quán)管理。省市將按照勞動和社會保障部的技術(shù)規(guī)范，以勞動和社會保障部的根系統(tǒng)為依托，建立相應的證書服務系統(tǒng)。省市勞動保障證書服務系統(tǒng)，原則上不建設自己的CA中心，直接使用勞動和社會保障部CA中心來生產(chǎn)證書，只需要建立RA中心及分布式的證書查詢驗證服務系統(tǒng)（LDAP服務器和OCSP服務器）即可。(說明：對于業(yè)務量大、有條件的省或直轄市可根據(jù)自己的實際情況，以勞動和社會保障根CA中心為根建立二級CA中心，為本省（市）的勞動保障業(yè)務系統(tǒng)服務。其部署結(jié)構(gòu)如圖6-59所示)勞動保障證書服務系統(tǒng)采用雙證書（署名證書和加密證書）、雙中心（證書認證中心和密鑰管理中心）機制。2．實行策略和體系結(jié)構(gòu)證書服務系統(tǒng)是安全支撐平臺信任服務系統(tǒng)的核心部件，采用“集中式生產(chǎn)、分布式服務”模式，即證書申請、審核分別在勞動和社會保障部、省級勞動和社會保障廳、地市勞動和社會保障局三級證書審核注冊機構(gòu)執(zhí)行，證書的生產(chǎn)（簽發(fā)、發(fā)布、管理、撤消等）集中在勞動和社會保障部、省勞動和社會保障廳兩級證書認證中心執(zhí)行，證書認證由分布在各地的證書查詢驗證服務系統(tǒng)完畢。插圖6-59二級CA認證中心部署結(jié)構(gòu)圖勞動和社會保障證書服務系統(tǒng)體系結(jié)構(gòu)如圖6－60所示：根根CARA省廳RA省廳CA省廳RA市局RAKMCKMC勞動保障部省廳省廳市局國家電子政務內(nèi)網(wǎng)CA勞動保障部RA政務內(nèi)網(wǎng)國家電子政務外網(wǎng)CA政務外網(wǎng)圖6-60勞動和社會保障證書服務系統(tǒng)體系結(jié)構(gòu)圖3．二級系統(tǒng)建設在勞動和社會保障信任服務體系中，省（市）證書服務系統(tǒng)屬于二級系統(tǒng)，涉及二級證書認證（CA）中心和省市級證書審核注冊機構(gòu)（RA），證書查詢驗證服務系統(tǒng)、密鑰管理系統(tǒng)、密碼服務系統(tǒng)、可信授權(quán)服務系統(tǒng)。具體的建設內(nèi)容為：（1）二級證書認證中心（CA）二級證書認證中心（CA）負責給所屬用戶發(fā)放和管理支持各種應用的數(shù)字證書，提供證書的查詢驗證，并負責將上級CA的信用通過向大量最終用戶發(fā)證縱向擴散。二級CA的性能指標、操作方式、安全性設計與部級根CA相似，具體可參見勞動和社會保障部金保工程可研報告CA中心建設部分。根CA與二級CA的通信、根CA與證書持有人、二級CA與證書持有人之間的通信為在線PKCS#7/10或PKIX-CMP。（2）省市級證書審核注冊機構(gòu)（RA）各省、市級證書審核注冊機構(gòu)在上一級證書認證中心的授權(quán)下，提供用戶數(shù)字證書申請的注冊受理、用戶真實身份的審核、用戶數(shù)字證書的申請與下載、用戶數(shù)字證書的撤消與恢復、證書受理核發(fā)點的設立審核及管理等服務：規(guī)定證書審核注冊系統(tǒng)具有以下功能：①證書申請、身份審核、證書下載等服務都可采用在線或離線兩種方式。②證書申請服務：用戶通過網(wǎng)絡登錄到注冊系統(tǒng)在線申請證書，或到指定的注冊機構(gòu)離線申請證書。③身份審核服務：審核人通過注冊系統(tǒng)，連接相關(guān)機構(gòu)的應用系統(tǒng)，對證書申請者進行在線身份審核，或通過注冊系統(tǒng)進行現(xiàn)場身份審核。④證書下載服務：用戶通過網(wǎng)絡登錄到注冊系統(tǒng)在線下載證書，或到指定的注冊機構(gòu)離線下載證書。證書注冊系統(tǒng)要提供用戶署名證書密鑰對的生成功能，該功能必須通過證書載體內(nèi)的密碼運算功能實現(xiàn)。⑤證書管理服務：提供證書認證策略及操作策略的管理；對自身證書進行安全管理；對內(nèi)部管理員數(shù)字證書、操作員數(shù)字證書進行統(tǒng)一管理；支持個別解決和批解決方式發(fā)放數(shù)字證書。⑥提供與證書認證中心、證書受理核發(fā)點之間的接口。省市級證書審核注冊機構(gòu)（RA）部署結(jié)構(gòu)如圖6-61，涉及Web服務器、證書注冊審核服務器、密碼服務系統(tǒng)等組成。（3）證書查詢驗證服務系統(tǒng)證書查詢驗證服務系統(tǒng)為應用支撐平臺及業(yè)務系統(tǒng)提供證書認證服務，涉及目錄查詢服務和證書在線狀態(tài)查詢服務。證書查詢驗證服務體系基于分布式計算技術(shù)，采用“分布式服務”的模式，相應勞動和社會保障部、省級的證書認證中心，根據(jù)行政管理和地區(qū)不同分布式部署證書查詢驗證服務系統(tǒng)。如圖6-62所示。(說明:對于不建設證書認證中心的省市，須部署一套與上級證書認證中心同樣的證書查詢驗證服務系統(tǒng)。)基于LDAP協(xié)議針對非實時證書狀態(tài)查詢應用或服務器端應用，提供證書撤消列表的目錄發(fā)布?；贠CSP協(xié)議針對實時證書狀態(tài)查詢應用或客戶端應用，提供證書狀態(tài)的在線智能查詢。證書查詢驗證服務系統(tǒng)的功能與接口規(guī)定是：①目錄管理與證書查詢服務根據(jù)系統(tǒng)網(wǎng)絡設立需求，采用集中式與分布式兩種方式構(gòu)建目錄管理服務，提供以下安全服務功能：證書和證書撤消列表的發(fā)布、下載、更新、恢復；基于LDAP技術(shù)的目錄訪問控制服務；目錄查詢，即用戶或應用系統(tǒng)運用數(shù)字證書中標記的CRL地址，運用LDAP目錄服務技術(shù)下載CRL，檢查證書有效性。②基于OCSP技術(shù)的證書在線狀態(tài)查詢服務，支持各分布式證書查詢驗證服務系統(tǒng)的數(shù)據(jù)一致性。③為應用系統(tǒng)提供LDAP和OCSP查詢接口，提供C/C++/C#和Java等接口。插圖6-61省市級證書審核注冊機構(gòu)（RA）部署結(jié)構(gòu)圖國家電子政務外網(wǎng)國家電子政務外網(wǎng)CA國家電子政務內(nèi)網(wǎng)CA政務內(nèi)網(wǎng)政務內(nèi)網(wǎng)政務外網(wǎng)政務外網(wǎng)勞動保障部勞動保障部證書查驗服務證書查驗服務勞動保障部勞動保障部證書查驗服務證書查驗服務LDAPOCSPLDAPLDAPLDAPOCSPLDAPLDAPOCSPOCSPLDAP勞動保障系統(tǒng)根CAOCSP勞動保障系統(tǒng)根CAOCSP證書查驗服務證書查驗服務省廳省廳證書查驗服務證書查驗服務省廳省廳省局CARA省局CARA證書查驗服務市局證書查驗服務市局證書查驗服務市局證書查驗服務市局RARALDAPLDAPRARALDAPLDAPOCSPOCSPOCSPOCSP圖6-62證書查驗服務系統(tǒng)體系結(jié)構(gòu)圖（4）密鑰管理系統(tǒng)密鑰管理系統(tǒng)提供加密密鑰的產(chǎn)生、登記、認證、分發(fā)、查詢、注銷、歸檔及恢復等管理服務。在勞動和社會保障部部署一個根密鑰管理中心。如有必要可在省級機構(gòu)建立二級證書認證中心，以勞動和社會保障部的根密鑰為基礎建立相應的密鑰管理系統(tǒng)。密鑰管理系統(tǒng)的功能與接口規(guī)定是：①密鑰生成：通過專用密碼設備生成所需密鑰，涉及生成非對稱密鑰對和對稱密鑰。②密鑰發(fā)送：采用安全協(xié)議通過證書認證中心，把密鑰對傳送給用戶。用戶涉及證書認證中心、下級KMC、特定用戶群或設備。③密鑰存儲：密鑰管理系統(tǒng)的各類密鑰均需安全加密存儲。④密鑰庫管理：密鑰管理系統(tǒng)配置的各個密鑰庫要安全加密管理。⑤密鑰查詢：個人查詢，通過審核注冊機構(gòu)-證書認證中心，向密鑰管理中心訪問查詢；法律憑證查詢，直接到密鑰管理中心查詢。⑥密鑰撤消：通過審核注冊機構(gòu)-證書認證中心，訪問密鑰管理中心實行密鑰撤消。⑦密鑰恢復：個人規(guī)定密鑰恢復，通過審核注冊機構(gòu)-證書認證中心，訪問密鑰管理中心進行密鑰恢復；法律憑證規(guī)定密鑰恢復，直接到密鑰管理中心實行。⑧密鑰管理中心運營管理，涉及審計、認證、恢復、記錄等系統(tǒng)管理。⑨密鑰管理中心安全管理，涉及系統(tǒng)、設備、數(shù)據(jù)、人員等安全管理。⑩支持密鑰5年保存期。⑾提供與證書認證系統(tǒng)之間的接口。密鑰管理系統(tǒng)與證書認證系統(tǒng)之間采用基于身份認證的安全通信協(xié)議。（5）密碼服務系統(tǒng)密碼服務系統(tǒng)提供加解密、署名及署名驗證、數(shù)字信封等安全服務，以支持信息的機密性、完整性、真實性和不可抵賴性?？蛻舳说拿艽a服務由實體鑒別密碼器提供，服務器端由加密服務器提供。所有密碼算法必須在經(jīng)國家密碼管理部門審批的密碼設備上運營。密碼服務系統(tǒng)要構(gòu)建一個相對獨立的可信計算環(huán)境，進行安全密碼算法解決；要采用分布式計算技術(shù)，提供系統(tǒng)性能的動態(tài)可擴展；應采用安全中間件技術(shù)，兼容各種密碼設備，向上層應用提供統(tǒng)一穩(wěn)定的服務接口。密碼服務系統(tǒng)的功能與接口規(guī)定是：①基礎加解密服務，重要提供：對數(shù)據(jù)的加密和解密的運算功能；對數(shù)據(jù)的署名和署名驗證的運算功能；數(shù)字證書簽發(fā)和驗證等基本證書運算服務功能；對數(shù)據(jù)的數(shù)字信封封裝和解封裝等運算功能；對數(shù)據(jù)進行摘要運算并具有驗證數(shù)據(jù)完整性功能；會話密鑰生成和存儲功能。②統(tǒng)一的安全接口：運用安全中間件技術(shù)對底層的加密算法進行對象化抽象，為應用提供相對穩(wěn)定的統(tǒng)一安全服務接口。③多算法支持功能：提供對多密碼算法的支持，用戶可根據(jù)需要選擇一種國家密碼管理部門認證通過的密碼算法。④分布式計算功能：采用分布式計算技術(shù)，隨著業(yè)務量的逐漸增長，靈活地增長密碼服務模塊，實現(xiàn)性能動態(tài)按需平滑擴展，且不影響上層的應用系統(tǒng)。采用國家密碼管理部門審查批準的密碼算法、密碼設備和安全載體；密碼運算須在密碼硬件內(nèi)運營，密鑰不以明文形式暴露在系統(tǒng)外；具有設備安全和敏感信息保護機制；關(guān)鍵設備的真實性鑒別功能；密碼函數(shù)接口采用統(tǒng)一標準接口，相應用系統(tǒng)提供Java和C/C++/C#等接口。密碼服務系統(tǒng)的性能規(guī)定是：RSA算法密鑰長度1024－2048bits，ECC算法密鑰長度192bits。應用層的服務器端和客戶端密碼設備，應根據(jù)具體情況滿足基本的公鑰密碼算法署名速度、公鑰密碼算法驗證速度、對稱密鑰密碼算法加解密速度、可存儲的密鑰對數(shù)目。（6）可信授權(quán)服務系統(tǒng)授權(quán)服務系統(tǒng)在信任服務系統(tǒng)基礎上，為應用提供資源的授權(quán)管理及訪問控制服務。授權(quán)管理服務系統(tǒng)以擴展的PKI技術(shù)為基礎，對資源的訪問授權(quán)由資源的管理者來進行控制分派。資源管理者通過授權(quán)管理服務系統(tǒng)為資源使用者分派資源訪問權(quán)限，并加以署名。應用系統(tǒng)核驗資源使用者的訪問權(quán)限，達成資源安全訪問的目的。勞動和社會保障PKI/CA授權(quán)服務模式采用集中式和分布式授權(quán)服務系統(tǒng)下結(jié)合的模式。①集中式授權(quán)服務系統(tǒng)集中式授權(quán)服務系統(tǒng)提供集中式管理，通過在數(shù)字證書的擴展項增長用戶的屬性或權(quán)限信息，在服務器端構(gòu)建授權(quán)服務系統(tǒng)，提供授權(quán)管理。集中式授權(quán)系統(tǒng)的功能規(guī)定是：a）用戶管理：提供管理用戶信息功能，涉及用戶注冊、注銷、修改等。b）審核管理：重要完畢用戶授權(quán)申請的審核功能。c）資源管理：制定資源訪問控制列表。根據(jù)實際的應用，把資源和用戶角色關(guān)聯(lián)起來，標示用戶角色對資源的訪問權(quán)限。d）角色管理：涉及角色的制定、編輯、更新。根據(jù)具體應用實際，制定出恰當?shù)慕巧畔?，以便和用戶的實際身份相映射。授權(quán)管理中心制定出完整的角色信息，并把角色信息同步到資源管理中心。②分布式授權(quán)服務系統(tǒng)分布授權(quán)服務系統(tǒng)提供分布式管理服務，可在客戶端根據(jù)用戶的具體情況進行個性化定制，靈活設立有效授權(quán)信息，由資源所有者分派資源的訪問權(quán)限，并加數(shù)字署名，防止抵賴。分布式授權(quán)服務系統(tǒng)的功能與接口規(guī)定是：a）署名授權(quán)：根據(jù)用戶的資源授權(quán)信息等數(shù)據(jù)制定訪問授權(quán)列表，并完畢用戶對列表的署名。b）授權(quán)管理：執(zhí)行與授權(quán)有關(guān)的管理功能，如對用戶制定的授權(quán)信息列表修改。c）提供客戶端署名授權(quán)和服務器端資源訪問授權(quán)驗證的應用接口，涉及C/C++/C#及Java等接口。4．CA認證系統(tǒng)的應用系統(tǒng)部署（1）社會保險信息系統(tǒng)交易分類①系統(tǒng)登錄該類交易重要涉及操作員的身份認證及權(quán)限分派。②資料維護該類交易涉及對系統(tǒng)的基本資料的增、刪、改等操作。③系統(tǒng)命令該類交易通過觸發(fā)或執(zhí)行社會保險應用系統(tǒng)中某些固有的命令來實現(xiàn)某些功能。④數(shù)據(jù)互換該類交易通過發(fā)送或接受等方式來與其他系統(tǒng)進行數(shù)據(jù)互換。（2）CA在各類交易應用的應用①系統(tǒng)登錄類交易的CA安全應用a）個人數(shù)字證書的應用由數(shù)字證書認證中心為每位系統(tǒng)操作人員頒發(fā)數(shù)字證書，用于操作員身份辨認。同時，將系統(tǒng)操作權(quán)限與個人數(shù)字證書關(guān)聯(lián)在一起，不同的數(shù)字證書有不同的操作權(quán)限。b）服務器端對客戶端的身份認證用戶在登錄應用服務器時，將客戶端證書、隨機數(shù)、隨機數(shù)署名同時發(fā)送到服務器端，由服務器端驗證客戶端證書。c）客戶端對服務器端的身份認證客戶端通過認證后，服務器端將服務器證書、隨機數(shù)、隨機數(shù)署名發(fā)送到客戶端，由客戶端驗證服務器端證書。②資料維護類交易的CA安全應用根據(jù)操作對象的不同，該類交易可分為敏感類資料維護交易和非敏感類資料維護交易。敏感類資料維護交易，如：對參保職工身份證的修改、對參保職工工作日期的修改，對參保職工繳費工資的修改等，這類操作的結(jié)果將直接對社保基金的征收或個人待遇的享受導致影響。非敏感類資料維護交易，如：參保職工民族的維護、參保單位聯(lián)系電話的維護等，這類操作的結(jié)果對社保基金的征收及參保職工的待遇都不會導致影響。③數(shù)字署名的應用對于敏感類資料維護交易，系統(tǒng)往往需要記錄下進行交易操作的經(jīng)辦人員，這種情況下，我們通過使用數(shù)字署名，就可以實現(xiàn)操作的不可抵賴性。社會保險信息系統(tǒng)作為一個大型的應用系統(tǒng)，其范圍往往覆蓋了一個城市的所以區(qū)縣，這種情況下，假如數(shù)據(jù)是通過政務外網(wǎng)傳送的話，為了防止在數(shù)據(jù)傳輸過程中對敏感數(shù)據(jù)的篡改，也需要對數(shù)據(jù)進行數(shù)字署名。（說明：對于CA系統(tǒng)的其他部分建設原則上不建議各省自己單獨建設，直接使用部本級資源即可。）（十）容災備份中心系統(tǒng)建設1．概述隨著社會保險信息化建設的逐步發(fā)展，業(yè)務系統(tǒng)的數(shù)據(jù)解決量和數(shù)據(jù)存儲量越來越大。社會保險關(guān)鍵業(yè)務系統(tǒng)（本地業(yè)務經(jīng)辦如基本養(yǎng)老保險、補充養(yǎng)老保險、基本醫(yī)療保險、補充醫(yī)療保險等，異地業(yè)務經(jīng)辦如異地領取養(yǎng)老金，在職社會關(guān)系轉(zhuǎn)移，異地就醫(yī)等）運營的連續(xù)性、穩(wěn)定性，業(yè)務數(shù)據(jù)的完整性、對的性、有效性，會直接關(guān)系到業(yè)務的生產(chǎn)、管理與決策活動。這就規(guī)定對網(wǎng)絡、通信線路、服務器主機、存儲等關(guān)鍵硬件設備以及各種操作系統(tǒng)、數(shù)據(jù)庫，應用服務器等軟硬件的故障恢復和容災備份進行全面的、整體的考慮和部署。假如沒有全面的考慮容錯、容災設計，那么在任何一個環(huán)節(jié)上發(fā)生故障和劫難，都會導致業(yè)務無法正常進行，導致重要數(shù)據(jù)的丟失、破壞，相關(guān)的業(yè)務系統(tǒng)也會受到影響，給國家?guī)頁p失，給廣大用戶帶來不便，嚴重時更帶來重大的社會影響和政治影響。（說明：省市社會保險系統(tǒng)的建設由于其參保規(guī)模等都不盡相同，系統(tǒng)建設規(guī)模不盡相同。參考以下故障恢復和容災備份系統(tǒng)建設基本方案，根據(jù)自己的實際情況進行調(diào)整。）2．系統(tǒng)建設目的及建設內(nèi)容在系統(tǒng)建設過程中，不僅考慮數(shù)據(jù)中心端的容錯，還應當考慮對重要關(guān)鍵業(yè)務的系統(tǒng)進行異地容災備份和對重要數(shù)據(jù)的定期和實時的備份。這樣不僅保證了關(guān)鍵業(yè)務數(shù)據(jù)的不丟失性和高安全性并且還避免了當數(shù)據(jù)中心發(fā)生意外劫難時業(yè)務中斷時間過長，將損失降到最低點。系統(tǒng)的容錯、容災建設目的是滿足省市數(shù)據(jù)中心本地和異地經(jīng)辦業(yè)務系統(tǒng)等的容錯和容災建設需求，容災中心系統(tǒng)建設的內(nèi)容涉及有：（1）面向數(shù)據(jù)中心提供全面的網(wǎng)絡通訊設備、通訊線路、存儲網(wǎng)絡設備的全面容錯和異地容災。（2）面向數(shù)據(jù)中心提供部分關(guān)鍵業(yè)務系統(tǒng)的容錯和異地容災。（3）提供數(shù)據(jù)中心和容災中心本地數(shù)據(jù)備份。結(jié)合系統(tǒng)建設的范圍和內(nèi)容，容災中心系統(tǒng)的建設涉及社會保險本地和異地經(jīng)辦業(yè)務系統(tǒng)和證書服務系統(tǒng)（說明：假如數(shù)據(jù)中心建有子CA系統(tǒng)，在容災中心中部署證書認證和查詢系統(tǒng)）的容災備份。3．系統(tǒng)建設原則和規(guī)定對關(guān)鍵的網(wǎng)絡系統(tǒng)、應用業(yè)務系統(tǒng)和數(shù)據(jù)的故障保護和容災備份是為了保證整個業(yè)務系統(tǒng)運營的高可用性和安全性，消除系統(tǒng)使用者和操作者的后顧之憂，不同的應用環(huán)境規(guī)定不同的解決方案來適應。在系統(tǒng)設計時，應當滿足以下原則：（1）容錯、容災系統(tǒng)的全面性需保證的業(yè)務系統(tǒng)涉及多個層面的資源：網(wǎng)絡層資源、應用層資源、數(shù)據(jù)庫層資源。要保證整個系統(tǒng)可以正常運營，必須保證系統(tǒng)所涉及的每個層面、每個環(huán)節(jié)都正常工作。這就規(guī)定我們對需要保證連續(xù)性的關(guān)鍵業(yè)務系統(tǒng)的所有環(huán)節(jié)實現(xiàn)全面的容錯、容災，避免任意環(huán)節(jié)的故障導致整個業(yè)務系統(tǒng)的崩潰。（2）容錯、容災系統(tǒng)的智能性在系統(tǒng)發(fā)生故障時通常是正在使用的用戶發(fā)現(xiàn)系統(tǒng)異常，告知系統(tǒng)管理員，系統(tǒng)管理員才會跑到每臺設備上通過手工將問題排除，重新將系統(tǒng)在線。在系統(tǒng)容錯、容災技術(shù)的實現(xiàn)過程中，假如不能將系統(tǒng)的故障和問題自動恢復，那么這始終會是整個容錯、容災系統(tǒng)的一個薄弱環(huán)節(jié)，難以實現(xiàn)高效的、不間斷的服務。為此，省市數(shù)據(jù)中心需要一個智能的容錯、容災系統(tǒng)。（3）容錯、容災系統(tǒng)的平臺兼容性目前，在整個系統(tǒng)中存在著多種IT廠商的產(chǎn)品。在設計容錯、容災系統(tǒng)的時候不能受到某個具體IT廠商的產(chǎn)品和技術(shù)限制。所選產(chǎn)品要有良好的兼容特性，將目前現(xiàn)有和原有的資源充足整合運用，建立跨平臺、開放性的容錯、容災系統(tǒng)。（4）容錯、容災系統(tǒng)的高可擴展性隨著勞動和社會保障部門電子政務系統(tǒng)建設的逐步加快，信息業(yè)務的不斷擴展，容錯、容災系統(tǒng)的建設必須考慮此后的業(yè)務發(fā)展，必須具有高可擴展性。（5）容錯、容災系統(tǒng)的重點針對性容錯、容災系統(tǒng)根據(jù)業(yè)務模塊的不同也需要有一定側(cè)重性，有的業(yè)務模塊只規(guī)定對業(yè)務數(shù)據(jù)進行備份即可，有的模塊只規(guī)定對網(wǎng)絡進行容錯，有的模塊規(guī)定當劫難發(fā)生時業(yè)務系統(tǒng)恢復的時間要不久，等等。因此容錯、容災系統(tǒng)建設必須滿足用戶不同的、不斷擴展的容錯、容災需求。容災備份中心的建設須滿足以下規(guī)定：備份中心與數(shù)據(jù)中心在地理位置上保持較遠的距離，使得當數(shù)據(jù)中心遭受災害破壞時，不會影響到備份中心；須保證備份中心與數(shù)據(jù)中心的數(shù)據(jù)同步；備份中心的所有應用系統(tǒng)必須通過嚴格的測試，保證業(yè)務系統(tǒng)可以正常運營；備份中心與數(shù)據(jù)中心間網(wǎng)絡帶寬應能保證兩地間數(shù)據(jù)的可靠同步；備份中心計算機系統(tǒng)有足夠的解決能力來接管數(shù)據(jù)中心的業(yè)務；同時應具有不低于數(shù)據(jù)中心的安全防護能力；數(shù)據(jù)中心和備份中心的應用切換快速可靠，并可進行自動和手動切換。4．劫難恢復基本模式分析（1）本地容錯本地故障、錯誤可以分為幾種類型：網(wǎng)絡設備宕機、服務器宕機、數(shù)據(jù)庫宕機、存儲設備宕機、線路中斷、操作系統(tǒng)故障、應用系統(tǒng)故障、硬件設備故障、磁盤故障。本地容錯是由本地冗余和備份的設備和軟件組成，本地設備和軟件發(fā)生故障時，本地冗余和備份的設備和軟件可以幫助恢復業(yè)務。（2）異地容災大劫難可分為幾個類型：自然劫難（地震、臺風、洪水等）、突發(fā)事件（社保業(yè)務系統(tǒng)中斷、通訊中斷、計算機病毒、計算機/網(wǎng)絡犯罪、火災影響、供水中斷、化學品泄漏、爆炸事件、恐怖活動、戰(zhàn)爭）。大劫難使得本地的網(wǎng)絡、服務器、存儲設備宕機，技術(shù)支持人員不能及時到現(xiàn)場恢復，業(yè)務系統(tǒng)中斷，從而導致重大損失和劫難。異地容災是在本地發(fā)生大劫難時由異地設備提供業(yè)務容災恢復。高端異地容災是由本地運營中心和異地備份中心所組成，異地備份中心具有本地運營中心的相同業(yè)務系統(tǒng)，兩個中心的數(shù)據(jù)是同步的。在無大劫難時，本地運營中心正常運營。在有大劫難時，關(guān)鍵業(yè)務的客戶端的請求自動被送往異地備份中心的服務器，而異地備份中心的數(shù)據(jù)庫提供已同步的數(shù)據(jù)響應客戶端的請求，從而保證數(shù)據(jù)的完整性和一致性，保證業(yè)務7×24不間斷運營。中端異地容災與高端異地容災大部分相同，所不同的是對重要業(yè)務采用中端容災硬件和軟件，有數(shù)據(jù)丟失，業(yè)務短暫間斷，投資成本較低。低端異地容災可以對一般業(yè)務采用遠端磁帶庫和磁盤進行定期備份，業(yè)務恢復時間長，數(shù)據(jù)丟失多，投資成本最低。5．劫難恢復數(shù)據(jù)分析從數(shù)據(jù)用途角度分析一般可將需要備份的數(shù)據(jù)分為系統(tǒng)數(shù)據(jù)、基礎數(shù)據(jù)、應用數(shù)據(jù)、臨時數(shù)據(jù)；根據(jù)數(shù)據(jù)存貯與管理方式又可分為數(shù)據(jù)庫數(shù)據(jù)、非數(shù)據(jù)庫數(shù)據(jù)、孤立數(shù)據(jù)、遺失數(shù)據(jù)。從數(shù)據(jù)備份角度講，上述各種不同的數(shù)據(jù)類型需采用不同的備份策略，如采用相應的數(shù)據(jù)備份技術(shù)及不同的備份周期，重點保護應用數(shù)據(jù)等。同時，數(shù)據(jù)復制按復制間隔時間的長短可以分為如下幾個模式：①定期復制定期復制通常是以間隔多少小時為單位進行數(shù)據(jù)復制。優(yōu)點：數(shù)據(jù)在災備中心可以立即可用。缺陷：在災備中心的數(shù)據(jù)實時性不強；數(shù)據(jù)有不連續(xù)的也許。②異步復制異步復制通常是以間隔多少分鐘為單位進行數(shù)據(jù)復制。優(yōu)點：這種復制方式性能最優(yōu)；對數(shù)據(jù)中心業(yè)務應用的性能影響比較?。辉跒膫渲行臄?shù)據(jù)可以立即可用。缺陷：災備中心的備份節(jié)點比數(shù)據(jù)中心的主節(jié)點的數(shù)據(jù)會稍有延遲；有潛在的數(shù)據(jù)被破壞的也許。③同步復制同步復制通常是以間隔多少秒為單位進行數(shù)據(jù)復制。優(yōu)點：可以保證最大的數(shù)據(jù)同步（RPO）；在災備中心數(shù)據(jù)可以立即可用。缺陷：對數(shù)據(jù)中心的業(yè)務應用性能影響較大；受網(wǎng)絡帶寬的影響，容易產(chǎn)生寫數(shù)據(jù)的延遲；在完畢一個寫的操作，需要跨越多個主機節(jié)點，影響I/O操作的性能。為了實現(xiàn)上述數(shù)據(jù)備份的策略，在系統(tǒng)建設時采用如下幾種技術(shù)來實現(xiàn)：①基于硬件的數(shù)據(jù)復制優(yōu)點：不消耗應用系統(tǒng)CPU資源。缺陷：存儲平臺沒有選擇的余地，比較固定；同步模式下復制的性能不高；異步模式下數(shù)據(jù)的完整性很難保證；定期復制導致數(shù)據(jù)實時性不高，需要的存儲容量更多。②數(shù)據(jù)庫復制優(yōu)點：可用于脫機（OFF-HOST）解決。缺陷：做為一個容災方案還不全面；管理和維護比較復雜；只支持異步或定期復制；備份服務器和生產(chǎn)服務器有差異。做為一個全面的容災方案，不建議使用這種方式。③基于主機復制優(yōu)點：不依賴與存儲設備；具有最佳的可擴展性；在同步復制模式下，復制效率高、可運用存在的網(wǎng)絡，充足運用資源。在異步模式下，可以保證數(shù)據(jù)的完整性、可以長距離實時復制數(shù)據(jù)。缺陷：基于主機的復制要使用系統(tǒng)CPU的資源。6．劫難恢復模式分析容災按級別可分為數(shù)據(jù)容災和應用容災兩部分：（1）數(shù)據(jù)容災：在異地建立一個數(shù)據(jù)拷貝，這個拷貝在本地生產(chǎn)系統(tǒng)的“數(shù)據(jù)系統(tǒng)”出現(xiàn)不可恢復的“物理故障”時，提供可用的數(shù)據(jù)。（2）應用容災：在異地提供一個完整的應用和數(shù)據(jù)系統(tǒng)拷貝（不一定規(guī)定同當量），這個拷貝在本地生產(chǎn)系統(tǒng)出現(xiàn)不可恢復的“物理故障”時，提供即時可用的生產(chǎn)系統(tǒng)。容災系統(tǒng)按投資成本與恢復所需時間的不同涉及如下模式：Tier0-沒有異地數(shù)據(jù)Tier1-PTAM卡車運送訪問方式PickupTruckAccessMethodTier2-PTAM卡車運送訪問方式+熱備份中心PTAM+HotSiteTier3-電子鏈接ElectronicVaultingTier4–批量/在線數(shù)據(jù)庫鏡像與日記ActiveSecondarySiteTier5–兩中心兩階段確認Two-SiteTwo-PhaseCommitTier6-0數(shù)據(jù)丟失遠程磁盤鏡像與自動切換ZeroDataLoss根據(jù)容災恢復時間和數(shù)據(jù)恢復限度等不同容災恢復規(guī)定，將這6種容災備份模式劃分為三個等級。①冷備份：災備運營系統(tǒng)未安裝或未配置成與生產(chǎn)系統(tǒng)相同或相似的運營環(huán)境，應用系統(tǒng)數(shù)據(jù)沒有及時裝入備份系統(tǒng)。一旦發(fā)生劫難，需安裝配置所需的運營環(huán)境，用數(shù)據(jù)備份介質(zhì)（磁帶或光盤）恢復應用數(shù)據(jù)，手工逐筆或自動批量追補孤立數(shù)據(jù)，將用戶通過通訊線路切換到備份系統(tǒng)，恢復業(yè)務運營。優(yōu)點：設備投資較少，節(jié)省通信費用，通信環(huán)境規(guī)定不高。缺陷：恢復時間較長，一般要數(shù)天至一周，數(shù)據(jù)完