政务系统安全设计方案.docx
《政务系统安全设计方案.docx》由会员分享,可在线阅读,更多相关《政务系统安全设计方案.docx(9页珍藏版)》请在冰豆网上搜索。
政务系统安全设计方案
11系统安全设计
11.1安全体系建设目标
在合理成本基础上,实现工伤保险信息系统和“互联网+政务”相关对接业务安全和运行安全,即确保信息系统各类设备的正常运行,业务流程安全,确保数据信息的安全存储与传输,为信息系统各类业务提供安全保证。
为了便于理解和落实,将安全目标分解,可以得到以下子目标:
监控并整合系统中各种安全产品的安全事件,实现安全管理;
安全保障贯穿于生命周期的全程,要定期对系统风险进行评测,保证整个系统生命周期全过程的安全性,实现动态安全;
业务信息的保密性、完整性和可用性得到保护。
11.2安全体系设计原则
11.2.1整体性原则
基于全网划分核心网络边界,控制联入核心网络的接入点
逻辑上隔离业务协作网、内部业务专网和公共服务网
逻辑上隔离核心网络与非核心网络
在边界和核心设置多级安全策略
11.2.2层次性原则
多层次拦截以降低安全风险。
11.2.3实用性原则
根据当前需要设计安全方案
充分满足当前的需要
尽量降低成本
及时的安全报警机制
11.2.4可适应性和扩展性
在所有存在各种各样不安全因素的网络和应用环境中,建立一个一定时期内相对安全稳定的网络系统
整个系统的安全策略部署是可以随着系统的变化、发展而变化、发展的,同时具有长期的有效性
不同时期网络安全策略可能不同,安全服务体系必须能够随着安全策略的变化而灵活改变
11.2.5可管理性原则
网络核心设备的集中可控性
网络物理结构变化的可管理性
各种安全设备(防火墙、IDS、抗拒绝服务产品、安全审计等)的可管理性
内部员工维护工作的可管理性
在遵循以上安全原则的前提下,将xxxxx劳动保障信息系统按区域安全特点进行有针对性的网络安全建设。
11.3安全体系建设参考标准
国标号
标准名称
对应国际标准
GB/T9387.2-1995
信息处理系统开放系统互连基本参考模型第2部分:
安全体系结构
ISO7498-2:
1989
TCP/IP安全体系结构
RFC1825
通用数据安全体系
CDSA
信息技术开放系统互连开放系统安全框架
ISO10181:
1996
GB/T18237-2000
信息技术开放系统互连通用高层安全
ISO/IEC11586:
1996
GB/T18231-2000
信息技术低层安全
ISO/IEC13594
GB/T9361-1988
计算机场地安全要求
GB/T2887-2000
计算机场地通用规范
GB50174-1993
电子计算机房设计规范
GB/T17900-1999
网络代理服务器的安全技术要求
GB/T18018-1999
路由器安全技术要求
GB/T18019-1999
信息技术包过滤防火墙安全技术要求
GB/T18020-1999
信息技术应用级防火墙安全技术要求
GA243-2000
计算机病毒防治产品评级准则
GB/T17963-2000
信息技术开放系统互连网络层安全协议
ISO/IEC11577:
1995
GB/T17143.7-1997
信息技术开放系统互连系统管理安全报警报告功能
ISO/IEC10164-7:
1992
GB/T17143.8-1997
信息技术开放系统互连系统管理安全审计跟踪功能
ISO/IEC10164-8:
1993
GB17859-1999
计算机信息系统安全保护等级划分准则
信息安全管理标准
ISO/IEC19677
GB/T18336-2001
信息技术安全技术信息技术安全性评估准则
ISO/IEC15408:
1999
11.4整体安全设计模型
11.4.1安全保障体系结构模型
在仔细研究了多种信息网络安全体系结构后,我们认为从单一的角度得出整个信息系统完整的安全保障体系模型是非常困难的。
因此,在参考国际标准ISO17799和中华人民共和国国家标准-计算机信息系统安全保护等级划分准则(GB17859-1999),借鉴ISO7498-2中所描述的开放系统互联安全的体系结构,提出了适合信息系统的安全保障体系结构模型,如图所示:
图表1安全保障体系结构模型图
该模型分别从安全服务、协议层次和系统单元三个层面对社会保障信息系统的安全保障体系的建设进行了全面的分析。
从上图中可以看到,所有三个层面都包含了安全管理的内容,这正体现了技术手段为辅、严格高效的管理为主的现代管理思想。
安全服务层次从各种单元安全解决方案所必需的一些基本安全服务的角度出发,来考察社会保障信息系统安全保障体系的建设。
这些基本安全服务包括身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖、审计跟踪和可用性服务。
其中前五种安全服务取自于国际标准化组织制订的安全体系结构模型[ISO7498-2],在[ISO7498-2]基础上增加了审计跟踪服务和可用性服务。
协议层次从TCP/IP协议的分层模型出发,分别从TCP/IP协议的物理层、链路层、网络层、传输层和应用层来考察社会保障信息系统安全保障体系的建设。
系统单元层次从信息网络系统所处的环境及其自身的各个组成单元出发,分别从物理环境安全、网络平台安全、系统平台安全和应用系统安全等四个方面来考察社会保障信息系统安全保障体系的建设。
安全管理涉及到所有协议层次、所有单元的安全服务和安全机制的管理。
安全管理主要涉及两方面的内容:
各种安全管理技术和安全管理制度等。
11.4.2安全保障体系框架模型
将安全保障体系结构模型中实现安全服务的所有的安全保障措施和行动按人、技术和操作三个要素划分为三个层面。
人、技术和操作是信息系统安全保障体系中的三个重要组成部分:
人利用各种技术来对网络和信息系统进行操作,从而达到保护网络和信息系统安全性的目的。
网络信息系统的安全保障毫无疑问需要以信息安全保障技术为基础来解决,而同时信息安全又强烈地依赖于人及人的操作。
因此,我们在设计信息系统安全保障体系时,强调信息安全保障需要人、技术和操作三要素的均衡;强调信息安全是过程,安全管理必然不可缺少;强调安全管理涉及人与环境,安全技术以及安全操作的各个方面,良好的安全管理机制和措施是各种要素取得均衡的关键;强调安全标准化将确保各种安全技术和措施能够协同工作和实现整体效能。
因此,系统安全保障体系是在统一的安全原则指导下,从安全防护体系、安全管理保障体系、应急响应支援体系三方面进行建设,形成集防护、检测、响应于一体的安全保障体系,从而实现物理安全、网络系统安全、应用安全、安全管理,以满足社会保障信息系统最根本的安全需求。
安全保障体系框架如图:
11.4.3安全保障体系动态防护模型
包括制定风险分析和评估(RiskAnalysis)、实施前的预防措施(Prevention)、实施中的保护措施(Protection)、检测措施(Detection)、以及事后的响应(Response)、应急恢复(Recovery)等。
这四个阶段形成了一个周期,也就是人们熟知的R-PDRR模型。
其中,风险分析产生安全政策,安全政策决定预防、防护、检测和响应、恢复措施。
应急响应在这个模型中,不仅仅是预防和检测措施的必要补充,而且对可以发现安全政策的漏洞,重新进行风险评估、修订安全政策、加强或调整预防、检测和响应措施。
其动态防护模型如图表所示。
通过这种动态的循环防护过程,可以逐渐降低信息系统面临的安全风险,提高整个系统的安全防护能力、隐患发现能力和应急反应能力,确保社会保障信息系统能够提供高效、安全的服务。
11.4.4安全保障体系模型特点
信息系统安全保障体系框架具有如下特点:
体现了安全管理是纲、安全技术是基础、安全的人和操作是保障的思想;
强调信息安全保障需要人、技术和操作三要素的均衡;
强调安全的过程性和动态性以及防护、检测和反映(PDR)模型的应用;
强调深度防御和分层防护的原则。
11.5整体安全解决方案设计
11.5.1基础设施安全
基础设施的安全包含了机房安全、系统平台安全、网络安全三大部分。
这三大部分与应用安全一起构成信息系统的安全体系。
11.5.2应用系统的安全
11.5.2.1IP安全策略
IP安全策略是一个基于通讯分析的策略,主要依据是将通讯内容与设定好的规则进行对比分析,如果与预期分析的结果不能够吻合,那么它就认为当前的访问是非法了而拒绝访问,它弥补了TCP/IP协议的“随意通讯”的不足,可以实现更安全的TCP/IP控制策略。
定制IP安全策略主要是针对于端口攻击而采取的一种安全策略,端口作为计算与网络联接的第一道屏障,不同的端口因为服务的性质不同而有所不同。
11.5.2.2身份认证
根据本系统的信息安全需求,系统采用基于集中统一的身份认证机制,这与电子政务安全体系基础安全机制是一致的。
通过与身份认证系统,可以实现安全的社保信息系统。
可以采用:
通过基于数字证书的认证方法来确认用户身份;
提供基于数字证书的授权控制来实现对信息资源和应用的访问控制;
通过对消息摘要和数字签名的验证来提供完整性保护;
采用数字签名来提供不可否认,防抵赖。
11.5.2.3权限控制模式
11.5.2.3.1矩阵式访问权限控制模式
通过矩阵式访问权限控制模式,根据数据的所有者和所属业务区域两个属性,将数据的访问控制权限按块状划分。
每个操作者根据不同的操作权限访问不同区域内的数据。
例如:
市本级劳动力市场管理岗位的操作人员,只能访问市本级管理相关数据。
11.5.2.3.2多级授权管理模式
通过多级授权管理模式,对系统操作权限的授权进行管理。
多级授权管理模式,采用了授权权限管理和业务授权管理两条线进行多级管理的授权权限管理模式。
在授权权限管理的这条线上,市中心系统管理员给市本级和各区县系统管理员授权,授权给市本级和各区县系统管理员在本机构范围内进行业务权限的分配。
市本级和各区县系统管理员给本机构内的业务管理员授权,授权业务管理员对其业务范围内的操作岗位授权。
在业务授权管理的这条线上,各业务管理员根据本机构内的系统管理员所授业务范围的权限,对本业务范围内的具体业务岗位授操作权限。
11.5.2.4访问日志记录确保交易的不可抵赖性
建立应用系统访问日志记录,对所有应用系统的操作过程轨迹进行记录,以便为以后对操作痕迹进行追踪,为应用系统操作漏洞分析提供原始证据。
访问日志记录,包括了操作轨迹的记录、应用系统错误日志记录、访问日志数据存储和分析等。
以访问日志的形式,确保应用系交易的不可抵赖性。
11.5.3数据层信息安全
数据信息安全主要包括以下几个方面:
1、信息存储的安全防护。
信息存储的安全防护办法有:
数据的备份与恢复、安全数据库和安全操作系统等。
2、信息使用的安全防护。
信息使用的安全防护办法有:
计算机病毒防治、数据操作的安全和数据传输过程的安全:
加密、签名。
3、数据加密不是信息系统所有安全域之间、端系统之间及端系统强制必须的,信息系统采用加密技术实现计费、用户身份和鉴权口令、用户资源等关键信息的加密传输或加密存储。
安全审计
安全审计系统负责对各类系统的全部活动的过程轨迹进行记录,以便为事后的安全审计追踪、系统安全漏洞分析提供原始证据。
安全审计系统的功能主要包括安全审计事件自动响应、安全审计数据生成、安全审计数据存储、安全审计分析等。
11.5.4安全管理制度,内控安全制度
信息系统的建设和运用离不开各级机构具体实施操作的人,因此,单一的信息安全机制、技术和服务及其简单组合,不能保证信息系统的安全、有序和有效地运行,一个完整可控的安全体系必须依靠相应的管理制度、管理手段和技术手段相结合。
人是计算机信息系统最终的使用者,在整个信息安全管理中,人员安全管理是致关重要的,管理制度将为人员管理服务。
安全管理制度包括了:
安全制度的建立、安全组织的建立、人员安全培训、人员安全审查等多个方面。
11.5.4.1安全管理建设原则
安全管理原则。
安全管理原则有:
多人原则、任期有限原则、职责分离原则。
任期有限原则。
对计算机系统管理员,采取任期制,并且任期有限。
每任管理员其任期过后,都应该对其进行适当的调整。
职责分离原则。
对系统的不同部分,应该由不同的管理员来管理,职责分离。
避免个别人员的权力过大,防止不当的事情发生
11.5.4.2安全组织及其职能
安全组织的建立包含了:
建立安全组织机构,完善管理制度,建立有效的工作机制,做到事有人管,职责分工明确。
对内部人员进行有组织的业务培训、安全教育、规范行为、制定章程等。
安全组织的职能和任务是:
管好系统有关人员。
包括其思想品德、职业道德和业务素质等。
安全管理组织的目标是管好计算机资产即计算机信息系统资源和信息资源安全。
这是一个崭新的公共安全工作领域,须使安全工作组织机制不能隶属于计算机运行或应用部门,而由安全负责人负责安全组织的具体工作,直接对单位主要领导及公安主管部门负责。
这也是建立安全组织的基本要求。
11.5.4.3人员安全审查
人员安全审查从几方面考虑:
从人员的安全意识、法律意识、安全技能等方面进行审查
11.5.4.4人员安全考核
安全部门定期组织对信息系统所有的工作人员业务及品质两方面进行考核。
对指导思想、业务水平、工作表现、遵守安全规程等方面进行考核。
对于考核中发现有违反安全法规行为的人员或发现不适于接触信息系统的人员要及时调离岗位,不应让其在接触系统。
制定各岗位的考核制度,定期对不同岗位的人员进行考核,从政治思想、保密观念、业务技术的考核等方面。
应定期对系统所有工作人员从思想业务水平、工作表现等方面进行考核,对不适于接触信息系统的人员要适时调离。
11.5.4.5人员安全培训
在系统中,人是最关键的因素。
同对人员的安全培训,提高人员的责任心和道德品质,从另一方面加强系统的整体安全性。
11.5.4.6安全保密协议
对于人员,除对人员进行安全审查、安全培训、安全考核外,与进入信息系统工作的工作人员签订安全保密协议,从法律上承诺其对系统应尽的安全保密义务,保证在岗工作期间和离岗后一定时期内,均不得违反保密合同,泄露系统秘密。
升级会员 