人社行业终端安全解决方案推广v31.docx

资源描述

人社行业终端安全解决方案推广v31.docx

《人社行业终端安全解决方案推广v31.docx》由会员分享，可在线阅读，更多相关《人社行业终端安全解决方案推广v31.docx（11页珍藏版）》请在冰豆网上搜索。

人社行业终端安全解决方案推广v31.docx

人社行业终端安全解决方案推广v31

人社行业

终端安全解决方案

2018年6月

■版本变更记录

时间

版本

说明

修改人

2018-02-26

V1.0

创建

管笑

2018-06-25

V2.0

更新

管笑

2018-7-19

V3.0

更新

管笑

1背景

1.1人社行业背景

2008年3月31日，第十一届国务院成立的第13天，在原中华人民共和国人事部与中华人民共和国劳动和社会保障部的基础上新组建的中华人民共和国人力资源和社会保障部正式挂牌。

1998年以后，我国社会主义市场经济建设步伐进一步加快，作为经济发展的重要要素之一的劳动力，其自由流动的诉求越来越强烈。

与此同时，政府的公共职能要求进一步强化。

通过改革以减少机构重叠、职能交叉与脱节现象，增强政府的协调能力与对社会经济的宏观管理能力的社会期盼越来越强烈。

在这种情况下，本届政府决定不再保留人事部、劳动和社会保障部，组建人力资源和社会保障部，同时成立国家公务员局、保留国家外国专家局，由人力资源和社会保障部管理。

人力资源和社会保障部的组建，旨在更好地实施人才强国战略，充分发挥我国人力资源优势，建设人力资源强国；同时统筹机关和企事业单位人员管理；完善机关和企事业单位收入分配制度改革；整合人才市场和劳动力市场，建立统一规范的人力资源市场，促进人力资源合理流动和有效配置；统筹全社会的就业和社会保障政策，建立健全从就业到养老的服务和保障体系。

作为肩负公共管理职能的部门，她将在两大领域发挥政府的调控服务功能：

一是以促进就业、维护劳动关系稳定和完善社会保障体系为核心的社会管理和公共服务职能；二是以机关事业单位公职人员管理为核心的公共人事管理职能。

新任部长尹蔚民在新部处级以上干部会议讲话指出，这个部门将承担起拟订人力资源管理和社会保障政策、健全公共就业服务体系、加快建立覆盖城乡居民的社会保障体系、完善劳动收入分配制度、组织实施劳动监察等关系国计民生的重要职责；承担起公务员队伍建设、专业技术人员队伍建设和技能人才、农村实用人才队伍建设的重要职责；承担起事业单位人事制度改革、职称制度改革和军转安置制度改革等重要职责。

从新部职能的整合上可以看出，人力资源和社会保障部就是要贯彻落实以人为本的执政理念。

大部制改革是深化行政管理体制改革、建设服务型政府、探索实行职能有机统一的大部门体制的一项重要举措。

此后，这个部门将实现政府职能向创造良好发展环境、提供优质公共服务、维护社会公平正义的根本转变；实现政府组织机构及人员编制向科学化、规范化、法制化的根本转变；实现行政运行机制和政府管理方式向规范有序、公开透明、便民高效的根本转变。

1.2互联网+信息化发展趋势

随着互联网+时代的到来，企业信息化进程的不断加快，企业网络规模与终端数量在不断变大，企业业务对信息化系统的依赖程度越来越高，信息化系统的建设与升级，一方面推动着企业的办公自动化、业务自动化进程不断加快，提高企业的运营效率，降低企业的运营成本。

另一方面，也为企业带来了新的问题，对企业的运营与管理提出了新的挑战。

1.3新时代安全威胁与挑战

伴随着网络信息化技术的广泛应用与快速发展，网络空间安全问题日益严重，国内外网络安全形势发展新的攻击形态层出不穷，安全威胁呈现复杂常态化趋势。

2017年上半年爆发的勒索病毒“WannaCry”肆虐全球，防不胜防的计算机病毒给终端的正常运行造成了较大的威胁，特别是针对终端安全方面，在国家层面和具体业务层面都提出了相关要求。

严重影响国家安全、社会公共安全和人民群众切身利益。

习总书记明确指出：

“没有网络安全就没有国家安全”，将我国网络安全提升到国家安全和国家战略的高度。

1.4国家与法律要求

2015年颁布实施的《国家安全法》中，明确规定“国家建设网络与信息安全保障体系，提升网络与信息安全保护能力”，“加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益”。

2015年初，中办、国办下发《关于加强社会治安防控体系建设的意见》要求“完善国家网络安全监测预警和通报处置工作机制”。

《网络安全法》第二十一条国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者XX的访问，防止网络数据泄露或者被窃取、篡改；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。

2现状与需求分析

2.1人社业务现状

业务专网是支撑全国人力资源社会保障业务系统运行，依托国家电子政务网络统一平台和公共通信网络平台，连接部、省、市网络中心（也即数据中心），延伸到区县、街道（乡镇）和社区（行政村）业务代办点，并与政府相关部门（人行、财政、公安等）和其他相关单位（医院、药店、银行、邮局等）连接，实现相关信息的交换和共享。

部级网覆盖部机关、公务员局、部属事业单位，连接省级网等。

省级网覆盖省人力资源社会保障厅、公务员管理部门、省社保机构、省就业机构等省属事业单位，连接省内市级网等。

市级网覆盖市区县人力资源和社会保障局、市区县公务员管理部门、社保经办机构、就业服务机构等市属事业单位等。

2017年8月，人社部下发了《人力资源社会保障部办公厅关于开展人力资源社会保障系统网络安全风险排查和防范应对工作的通知》（人社厅发〔2017〕40号）。

9月，人社部下发了《关于开展人力资源社会保障业务专网计算机终端安全检测抽查的通知》，并对各省业务专网部分终端进行了远程扫描检测。

2016年建立了病毒防护和主机安全防护系统的试点工作。

无论国家还是行业对网络安全防护能力都非常注重，特别针对终端的安全检查力度在逐年上升。

2.2人社系统现状

根据全民社会保障事业发展需要、全国社会保障一卡通及纵向监测监管的业务要求，结合《中共中央关于全面深化改革若干重大问题的决定》所提“部分社会保障、跨区域重大项目建设维护等作为中央和地方共同事权”的要求，将部省两级共同建设，为跨地区经办服务、跨层级监测监管提供支持的系统。

主要系统包括：

1．基础信息管理、社会保障卡管理、全民社会保障属地经办、全民社会保障异地业务、跨省医保费用即时结算、业务与资金监管、公共服务、统计监测、决策支持9个系统及其应用支撑平台。

2．部、省两级人力资源社会保障服务对象基础信息资源库及其数据交换共享平台，在部级实现与国家基础信息资源库及共建单位的信息交换。

利用国家电子政务外网建设的跨部门公共数据交换平台，人力资源社会保障部实现与人口库、法人库等国家基础信息资源库，及与民政部、卫生计生委等共建单位的信息交换。

2.3安全管理需求

2.3.1终端防病毒能力

目前防不胜防的计算机病毒给计算机终端的正常运行造成了较大的威胁。

随着病毒的大量出现，据有关机构统计，截至目前某国内安全公司已经积累了25亿的病毒样本，如果算上未经去重的病毒样本，已发现的病毒样本已经远远超过了25亿的规模，而目前大多数的计算机终端杀毒软件，受本地存储资源的限制，本地病毒特征库的规模大约在1000万~1500万左右，这个数字只占不到20+亿已发现病毒样本的1%，依靠1%的病毒库去检测网络中肆虐的病毒，这说明传统的本地病毒库的查杀方式已经无法满足对已知病毒的查杀要求。

2.3.2终端安全管理能力

目前计算机终端安全管理制定缺乏有效的技术执行措施，仅仅依靠行政手段与计算机终端使用者的自觉性很难落实相应的管理制度，主要存在的问题有：

Ø非法外联屡禁不止

在终端使用USB无线路由，或采用其他方法接入第三方网络，使计算机终端暴露在不可控的无线网络空间，不受控的智能计算机终端或其他无线设备可以任意接入办公网，造成极大的安全隐患。

ØUSB移动存储及各种外设滥用

终端上任意接入USB移动存储，给内网带来很大的恶意代码感染风险，蓝牙、红外等外设接口的滥用，也带来非法外联的风险。

Ø随意安装和运行各种软件

计算机终端使用者具有操作系统本地管理员权限，可以任意安装运行各种娱乐、盗版软件，给带来了声誉风险及版权风险。

Ø任意使用带宽资源导致网络拥塞

虽然在网络边界部署了流量控制设备，制定了带宽限制策略，但无法实现基于应用的流量限制，内网依然存在P2P软件占用带宽，影响正常办公的情况。

Ø随意更改主机信息

计算机终端使用者可随意更改主机名、IP地址、MAC地址等信息，对资产管理、网络审计等方面造成不便。

2.3.3终端运维成本高、难度大

目前行业内部网络中计算机终端数目多、分布距离远，日常计算机终端运维管理的工作压力十分巨大，计算机终端运维支持困难，问题主要表现在：

Ø统一补丁修复和软件分发问题

内部网络中存在各种不同类型的操作系统及不同版本的操作系统（WinXP、Win7、Win8、Win10等）都需要管理员进行全面的补丁管理，管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁，服务器系统尤为复杂，需要管理员将补丁与服务器应用进行兼容性测试后才能对相应的服务器进行补丁升级操作。

如果计算机终端存在的操作系统安全漏洞不能及时修复，将带来极大的安全风险，计算机终端需要统一的管理手段快速统一分发操作系统补丁。

Ø无法高效进行硬件资产管理

无法精确统计IT资产，确定每台电脑的硬件配置情况，无法跟踪硬件资产的历史使用纪录，也不能及时掌握资产变动情况。

每次资产统计都消耗大量时间。

Ø传统防病毒软件误杀带来的问题

传统防病毒软件为了提高病毒查杀率，奉行从严的查杀策略，导致单位内部应用程序或重要文档文件被误杀，因而产生了大量不必要的维护工作。

2.3.4终端审计体系欠缺

传统信息安全防御体系已经无法阻止攻击者的渗透行为，攻击者的攻击行为从技术层面攻击逐步的转向针对人的“社会工程学”攻击，换而言之作为防御者也要基于防御被攻克的假设进行防御方案的设计，其中在针对以人为入侵入口的“社会工程学”攻击中攻击者的第一接触点就是内部人员使用计算机终端，所以计算机终端安全的下一步建设也需要特别关注计算机终端及其用户的使用行为。

通过对各对象的活动进行记录审计，除了在进行日志查询、安全事件回溯、威胁分析时需要，对计算机终端的全面审计也是主动发现沦陷情况并作出主动防御处理的一个重要组成部分。

2.3.5合规性需求

《信息安全等级保护管理办法》明确提出，应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库，支持防恶意代码的统一管理；应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断，计算机终端需要满足等级保护合规性要求。

3建设目标

3.1建设原则

建设计算机终端安全管控系统要从两个主要方向下手，第一个方向是制度，第二个方向是技术。

制度方面，结合行业系统特点、等级保护合规要求以及技术能力的支持情况，避免出现空有制度却不能落地、不能量化考核的情况。

技术方面，首先，针对行业计算机终端安全工作面临的主要问题进行优化设计，以一套完善的计算机终端安全管控系统作为基础，实现对制度的落地。

其次，通过计算机终端安全管控系统这个基础平台对行业计算机终端安全相关数据进行收集汇总、分析、学习、判断和预测，从而逐步形成对计算机终端安全态势的感知能力。

人社行业计算机终端安全系统建设应按照一体化、标准化、智能化、可视化的基本原则进行。

Ø一体化：

计算机终端安全相关的技术实现应一体化统筹考虑和设计，并在计算机终端安全管控系统中统一实现，以应对不同层面的安全需求，满足合规要求，而满足这些安全需求的同时，又不会割裂这些系统之间的关系，使得他们能在统一的安全环境里执行一致的安全策略，并互相协同，发挥最大的安全防护效率。

系统应该包含防病毒、安全管控、安全审计、安全运维等能力。

Ø标准化：

标准化是计算机终端安全管控系统和计算机终端安全态势感知系统的一项关键建设原则，计算机终端安全问题要通盘考虑统一部署，包括纵向的部/省/市/县、横向的办公网、业务专网要在管控制度、管控能力、信息接口等问题上形成统一标准，在负载的多系统环境下做到计算机终端安全数据可以统一格式，数据可以上报和分享。

Ø智能化：

计算机终端安全管控系统应该更为智能，不只依靠已知样本进行识别，更应该具备将本地行为数据与云端威胁情报结合进行主动监测能力，针对于威胁计算机终端进行全面的安全评估，结合计算机终端背景数据，对于计算机终端的安全漏洞、威胁的攻击步骤进行分析评估，发现整个攻击链与计算机终端沦陷的根本原因，最终针对不同类型的计算机终端威胁提供相应的自动响应手段，结合计算机终端、业务、系统等因素提供补救手段，提升安全基线，防止同类型攻击再次发生。

可视化：

在安全能力建设中，技术只是工具，系统和技术所提供的能力和数据，最终是为了让我们安全管理人员对安全态势可以做出正确判断和战略决策。

可视化设计的目的正是要完成对数据的提炼、合理化展示，在系统建设中可视化不仅要主要数据展示的清晰美观，更要主要数据的合理性与准确性。

3.2总体目标

计算机终端安全系统的建设要能够落实计算机终端病毒与恶意代码防范措施、能够落实计算机终端安全管理技术措施、能够落实操作系统安全加固措施、能够落实计算机终端审计管理措施、能够落实等级保护合规措施，围绕这五点开展建设工作，计算机终端安全系统的总体设计如下：

Ø对落实计算机终端病毒与恶意代码防范措施

Ø对落实计算机终端安全管理技术措施

Ø对落实操作系统安全加固措施

Ø对落实计算机终端审计管理措施

Ø对落实等级保护合规措施

3.3终端安全能力架构

3.3.1终端安全问题“看得见”

建设人社行业内部终端安全资产信息库，实现对病毒情况、漏洞情况、终端行为、硬件状态、软件安装情况等可以反映出终端安全状态的信息进行采集。

3.3.2终端安全威胁“防的住”

通过终端安全管控系统的漏洞修复、病毒木马查杀、黑白名单、外设管理等特性，实现在终端安全能力建设中的技术防护手段，从防黑加固、病毒查杀、软件和上网行为控制等多个层次，构建立体防护网，确保终端安全。

3.3.3集中管理“搞得定”

提供统一修复漏洞、统一杀毒、统一升级等多种管理功能，通过建立终端安全统一管控系统直接对网内所有终端进行统一管控，通过远程技术支持功能，降低复杂环境中终端维护的压力和运维成本。

3.3.4终端可视化“查的清”

通过完成对终端数据的提炼、合理化展示，在系统建设中可视化不仅要主要数据展示的清晰美观，更要主要数据的合理性与准确性。

4建设方案

4.1总体设计

系统部署架构（二级）

360天擎终端安全管理系统针对行业组织结构特点提供了全网分级管理控制的功能。

根据实际情况将全网分成省/地市/区县等多控制中心结构，这种分级功能，首先，确保管理界面、管理界面的清晰，策略即统一又灵活；其次，分级多控制中心部署将系统压力分担到多点，减小了故障域，从多个方面提高系统整体稳定性。

部署架构说明：

省级部署一级控制中心，承担省级业务专网终端安全的管理及试点省份数据统计。

市级部署二级控制中心，承担市局、区县业务专网终端安全的管理及市级数据统计。

分级管控功能提供：

1、对大型/复杂/跨广域网环境的支持；

2、对分级部署管理需求的支持；

3、全网计算机终端统一私有云病毒查杀，安全威胁全网预警处置。

在多级多控制中心结构中，上级控制中心功能定义：

1、负责对下级控制中心管控，总体策略制定和分发；

2、数据收集汇总展示；

3、不直接对计算机终端做管控和数据展示。

在多级多控制中心结构中，下级控制中心功能定义：

（注：

此处提到的下级可以理解为最贴近计算机终端的层级，即最边缘的控制中心）

1、下级控制中心负责管控计算机终端；

2、对下辖计算机终端做策略管控、数据展示。

4.2详细设计

4.2.1终端资产管理

通过控制中心采集终端资产、漏洞、病毒、补丁等信息，形成安全资产信息库，轻松构建专业的企业终端资产监控与审计平台。

4.2.2终端病毒防护

人社业务内网属于隔离网络环境，无法连通互联网，为了解决病毒查杀效率，减轻终端查杀调用本地大型病毒库消耗过多资源的问题，需要在内网部署私有云平台解决方案，把内网终端云查路径指向私有云平台，直接调用私有云病毒特征库执行查杀，其运算速度和数据量都远远超过传统杀软的本地查杀引擎，实现全网协同作战、集体防御的效果。

私有云引擎提供给“私有云”级别的防护查杀能力，提供文件MD5的黑白属性查询，极大的提升业务专网下病毒查杀效果。

4.2.3终端安全管控

采用策略化的外设管理模式，管理员统一定义出针对不同类别外设的多个策略，一个策略可以包括多种类型设备的控制，使管理策略更有针对性，并支持分配到不同的分组上面，可通过天擎终端安全管理系统对PC终端外设进行强有力的全面管控，杜绝数据外泄和感染病毒的风险。

4.2.4终端集中管理

通过部署一体化安全客户端的方式，解决平台防护统一、安全能力统一、业务数据统一的安全管理问题。

建立终端业务评估：

通过统收集终端安全日志、终端合规信息等数据，同时配合终端安全管理要求，定期对于各终端使用业务情况进行评估和展现，对于发现的问题情况进行及时的调整。

4.3配置选型

序号

需求与建议

产品组合包

配置内容

备注

人社部专版，主要关注防病毒和补丁管理

增强包

杀毒（1年）+补丁（3年）+维保服务（1年）