金保工程二期信息安全保障体系设计
金保工程信息系统安全维保服务项目参数及清单
安全整改服务
根据等级保护测评结果,协助采购人对系统进行安全加固和整改,完成各项安全整改工作。
套
安全运维服务及设备提供
)服务期内,投标人需为采购人提供名具备认证资质(证书首次注册时间需五年及以上)的安全工程师进行安全运维服务,对采购人安全设备进行日常巡检、配置优化和配置调整服务,每月出具《滁州市人社局安全运维报告》。服务期内,投标人不得私自更换服务人员,如人员离职,新的服务人员资质经验不得低于招标要求并需经过采购人面试同意才能上岗,否则将在项目履约保证金中进行相应扣罚。
套
安全加固
对现有网络设备、安全设备、操作系统按照三级等级保护的建设要求进行安全加固,加固前需制定详细的加固实施方案,并与采购人及软件开发公司进行核对,确定加固实施方案后再进行加固操作。工作完成后出具安全加固报告。
套
应急响应服务
在采购人网络或业务系统出现不能及时判断解决的紧急问题时,提供技术支持服务,及时协助用户分析、排查、定位、解决各种异常问题,年服务期。
()★具备传统资产的批量导入、扫描,具备单台设备添加多个协议等功能;具备云资产管理功能,具备在线导入云主机,包括阿里云、腾讯云、华为云等,具备监控云主机的、网络使用状态等功能,具备云主机启动、关机、重启等控制功能,提供功能界面截图;
()具备密码管理功能,具备根据设备、系统帐号、时间、频率、改密方式生成详细的改密计划,到期自动执行改密;支持随机生成不同密码、手动指定密码、根据密码规则生成等;改密结果可以支持邮件、密码信封、、、加密文件等形式外发或下载;
巡检服务
每周一次远程巡检服务、每半年一次现场巡检服务。中标方需要有巡检记录和排查记录,并提交记录做为验收及付款凭据之一。
()资质要求:产品需具有计算机信息系统安全专用产品销售许可证。
福建省省级金保工程建设方案
和医疗保险管理信息系统, 已实现医疗保险所有参保人员个人帐户收支情况计算机网络化管理和 网
上直接结算;几年来, 全省各级财政先后投资60 万 , 50 由福建省各级劳动力市场经办机构组建8 个 6 以各市 、 县为 中心的劳动力市场信息网络框架 , 组建 了劳动力市场数据库和计算机局域网, 有约 1O 0 万个人求职信息 ,企业 用工信息约 1 万条。 0
在此基础上建立全省网络互联信息共享安全可靠统一的劳动和社会保障信息系统以实现业务经办的全程信息化在全省范围内铺开养老工伤生育失业医疗保险和劳动力市场的建设实现省内跨地市跨省的社会保险关系转移异地就医异地职业介绍和异地离退休人员业务经办和管理服务的信息交换与共享建成省级劳动保障数据中心及统一的覆盖各项劳动保障业务的资源交换和决策数据库支持省级劳动和社会保险各项业务经办支持各种内外信息交换异地业务经办公共服务和基金监管支持全省的宏观决策
区数据层服务器、 省直业务生产区数据层服务器、 省直业务 生产区应用层服务器、企业养老保险生产区应用层服务器、
建设。以省级数据 中心为中心节点 , 建立连接省内 9 个设区
福建省省级金保I程建设 目标
福建省省级金保工程建设 目标是在统 规划、统一组织、统一标准、统一方案的前提下, 照 按 国家金保工程建设总体要求,从 20 年开始,利用三年左右的时间,在 电子政务统一网络平台上 , 06 搭建省一市两级劳动保障系统网络 ,与全国广域主干网相衔接;在此基础 上建立全省网络互联、信
级局域网络 系统; 建设全省统一的通信 网络 平台 , 建立联接 各地市劳动保障部 门的省级广域网络系统 , 并上联至劳动保
南京金保工程二期网络安全运行体系建设
南京市2014年启动市人社“南京金保工程二期”立项工作,2018年5月正式上线运行,在网络安全运行体系建设方面严格按照网络安全等级保护三级要求,从机房环境、应用软件、数据库、硬件平台和数据传输共享等方面落实网络安全岗位责任,着力构建安全、稳定和高效的网络安全运行体系。
1引言根据《网络安全法》及信息系统网络安全等级保护三级要求,“南京金保工程二期”从人员管理、机房安全管理、数据备份管理、终端设备管理和用系统操作安全管理等方面构建一整套适合南京人社信息化工作的实际网络安全运行体系。
2网络安全运行体系建设思路2.1健全网络安全运行组织体系信息安全管理委员会对南京金保工程二期网络安全运行方面的重大安全问题做出决策,并支持和推动网络安全运行各项工作实施。
信息技术部是网络安全运行工作主要执行和实施者,负责网络安全运行体系的平台建设,以及相关政策、规范和标准的制定,直接向信息安全管理委员会报告网络安全运行工作情况。
2.2建立人社业务连续性管理体系南京金保工程二期网络安全体系是保障人社业务,特别是社会保险各项待遇征收、支付业务持续运营的重要基础。
建立与战略目标相适应的网络安全业务连续性管理体系,确保重要人社业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
针对不同场景制定专项应急预案,明确在不同场景下的应急流程和措施。
2.3明确划分网络安全运行管理域根据人社应用系统结构特点和业务管理需要,将安全区域划分为数据层、应用层、隔离层和接入层(含虚拟化区)。
未来,当新型业务或运维管理有增加层次的需求时,可以在当前4层结构中进行层次扩展。
数据中心分为4个业务域:运行支撑域、业务系统域、运维管理域和开发测试域。
3网络安全运行体系建设措施3.1加强领导,健全组织架构。
成立以市局主要领导为组长、网络和信息化工作分管局长为副组长、局相关处室(单位)为成员的网络安全工作领导小组。
严格按照中共中央办公厅印发的《党委(党组)网络安全工作责任制实施细则》规定,明确分工,责任到人。
金保二期集成方案简述
页眉第一章数据中心数据处理和存储系统设计1.1.服务器系统设计1.1.1.服务器部署架构1.1.2.服务器设计生产中心的物理位置位于我市云计算中心。
从功能上来讲可分为生产区、交换区和公共服务区三部分,其中生产区是整个系统最重要的部分,分别包含有核心业务部分、决策支持部分、应用平台支撑部分、运维与管理部分和测试部分。
从网络上来讲,生产区和交换区是建设在业务专网上,公共服务区是建设在互联网上。
(一)生产区1. 核心业务部分核心业务部分运行了我市人力社保部门最核心的业务,包含有基础信息管理系统、社会保障卡管理系统、社会保险管理系统、就业促进管理系统、人力资源管理系统、劳动关系管理系统、电子档案管理系统、财务管理系统、业务稽核考核系统等。
以上业务系统除去财务管理系统是统一采用用友财务系统需要单独设立数据库外,另外电子档案系统由于存储的是非结构化数据,所以也需要和关系型数据进行分离,单独设立一个电子档案数据库,剩下的其它业务系统统一称之为核心业务系统。
2. 决策支持部分整个系统将考虑利用现有的4台HP SuperDome小型机集群来做为系统的决策支持数据库服务器,2台HP BL685服务器做为应用服务器,2台BL685服务器做为报表展示服务器。
3. 应用平台支撑部分在我市金保工程二期建设中需要建设多个业务应用支撑平台,包含有业务协同平台、异地业务支撑平台、数据交换平台、决策支撑平台、应用系统技术支撑平台、门户集成平台、管理服务对象身份认证系统、通用工具软件、标准管理系统。
从服务器上也需要配置服务器以满足相关业务支撑的需求,考虑到上面要求的服务器数量较多,所以将考虑采用服务器虚拟化来实现。
4. 运维与管理部分运维与管理区的功能是实现对数据中心网络、计算机、系统平台和数据等资源的管理,为人力资源和劳动保障应用系统可靠运行提供保障。
本区域中将利用服务器虚拟化分配若干台虚拟服务器来实现系统管理功能,同时也将通过服务器虚拟化技术来实现其相关功能,最大程度的保证业务系统的连续性和最大程度利用了设备资源,同时又能够实现服务器的统一管理。
信息系统工程中安全建设问题
浅谈信息系统工程中的安全建设问题摘要:本文对吴江金保工程建设中的信息安全需求进行分析,对涉及问题进行了简要梳理。
力求展现对金保网络安全工程系统的整体设计思路,来对提高吴江人力资源和社会保障系统内部的信息安全和共享能力提供帮助,进而满足社会公众对人力资源和社会保障事务的服务要求。
关键词:金保工程;信息系统;安全建设中图分类号:tp309 文献标识码:a文章编号:1007-9599 (2013) 05-0000-02金保工程是利用先进的信息技术,以中央、省、市三级网络为依托,涵盖县、乡等基层机构,支持人力资源和社会保障业务经办、公共服务、基金监管和宏观决策等核心应用,覆盖全国的统一的人力资源和社会保障电子政务工程。
作为一个大型信息系统工程,同时也是吴江区政府实事工程之一的“社会保障卡”工程的重要组成部分,金保工程的安全建设尤为重要。
1系统安全建设的目标吴江金保工程信息安全项目建设的目标是以安全分区的理念,对整个网络结构进行区域划分,同时融合多种不同的安全技术,不同的安全产品,共同组建一个多层次、全方位的完整的安全防护体系,以提供对人社信息系统差别化的安全保障。
其主要内容为:(1)根据业务需要及安全等级要求,对整个网络划分多个不同区域,采用多层次、多级别的安全访问控制,对重要信息的传输实行加密保护,以防止信息在网络传输中的泄密或破坏。
(2)采用在网络内部署入侵检测、安全准入等监测系统,加强对重要网段和关键服务器的保护,以提高系统的抗入侵能力;在各服务器、虚拟机底层部署防病毒系统,启用自动监测系统漏洞、自动升级系统补丁功能,构建一套完整、有效、实时、立体、安全的网络防护体系。
(3)采用异地远程备份及虚拟磁带库技术完善核心数据的备份机制,对关键应用如医保刷卡系统建立应用级的冗余及备份,实现应用级的双活能力。
(4)引入第三方数字证书,利用具备法律效力的数字证书及数字签名技术来实现重要数据的加密传输、重要操作的有效记录、登录者的身份认证等。
加快金保工程信息系统建设,促进社会保障发展
加快金保工程信息系统建设,促进社会保障发展摘要:社会保障是国家建设的重要组成部分,而金保工程信息系统的建设对于社会保障发展具有重要意义。
本文首先介绍了社会保障的背景和概念,然后分析了金保工程信息系统建设的现状,指出了其存在的问题和挑战。
接着,论述了金保工程信息系统建设的关键技术,包括数据安全、信息交互等方面。
最后,提出了金保工程信息系统建设的策略与方法,包括加强政府引导、加大投入力度等。
通过加快金保工程信息系统建设,可以促进社会保障的发展,提高服务效率和质量,实现社会保障的可持续发展。
关键词:社会保障;金保工程;信息系统引言:在当前社会保障体系日益完善的背景下,加快金保工程信息系统建设成为了推动社会保障发展的重要举措。
金保工程信息系统是指利用先进的信息技术手段,对社会保障相关数据进行全面、准确、高效的管理和处理,并实现数据共享、业务协同的系统。
通过建设金保工程信息系统,可以实现社会保障信息的全面整合和共享,提高社会保障管理的科学性和精细化水平,进一步提升社会保障发展的效率和服务水平。
加快金保工程信息系统建设,将为促进社会保障发展提供强有力的支撑和保障。
1. 加快金保工程信息系统建设概述1.1 社会保障发展的重要性金保工程信息系统是指通过信息技术手段对社会保障管理进行全面、准确、高效的信息化管理。
随着社会保障事业的不断发展和改革,金保工程信息系统建设的重要性日益凸显。
通过加快金保工程信息系统建设,可以实现社会保障信息的全面集中管理和共享,提高社保业务办理的效率和质量,提升社会保障管理水平,促进社会保障事业的可持续发展。
1.2 金保工程信息系统的作用和意义金保工程信息系统的建设对于促进社会保障发展具有重要的作用和意义。
首先,金保工程信息系统可以提高社会保障服务的效率和质量,实现全程电子化操作,减少人为错误和延误。
其次,该系统可以提供全面的保险数据和金融信息,为政府决策提供科学依据,推动社会保障政策的优化和调整。
金保工程一期网络和安全建设成果及二期建设思路
0引言
20 0 3年,金保工程一期建设项 目( 电子政务社会保障信息系统社会保险信息 系统分工程 )通过国家整体立项 ,现 已进入信息 安全等级保护整改和测评验 收阶段 。伴随着金保 丁程一期应用系统建设 的需要,金保T 程一期网络和安全建设 取得了较 为显著
的成效 ; 随着人 力资源和社会保 障大部制的形成 、管理服务对象的扩展、跨地 区业 务的开展以及 政府职能的转变,也对人力 伴
险经 办 机 构 和 就 业 服 务 机 构 ,近 半 数 的地 区已将 网络 延 伸 到 了全 部 街 道 和 社 区 。部 省 视 频 会 议 系 统 开 通 到 全 部 省份 ,省 市 视 频
会议 系统开通 到 7.% 的地市,l 75 3个省实现了部省市三级视频 会议 系统联通。
。
作者简介: 吕丽娟 ( 9 2 ) 1 6 一 ,女,处长 , 究员,硕士,主要 研究方向: 研 计算机 网络和安全。
2 1 1 0 0.0
面实施阶段 ;第二,“ 大部制”等改革 ,要求统 筹公务员管理 、 军转安置、人才开发、就业 服务、劳动关系协调与管理等,将
面临着许多新任务。第三, 随着我国人口和劳动力流动日益频繁
关部门的连接 ,对部 、省、市主干网进 行扩容 和调整 ,消除三
都没有提供足够的支持手段和完善的支撑环境 , 对于就业 服务 、 人事人才管理等工作的信 息化需求更难以满足。
21数据中心建设 .
金保工程一期规 划了部 、 、 省 市三级数 据中心的分布策略, 主要支撑 城镇社会保 险、劳 动就业 应用 。随着人 力资源和社 会保 障系统的机 构改革 ,服 务人群 向农 村 的扩展 ,劳动就业
对 网络建设 提 出了更高 要求 ,迫切需要 提高其安 全性 、可靠 性 和带宽 ,为实 时业务 提供支 持 ; 二 ,目前 的各级 人 力资 第 源社 会保 障 网络主要连 接 到就 业服 务机构 、社 保 经办 机构 , 尚未延 伸到各 级人事人 才经 办机 构,难 以满 足人 力资源神会 保障各项 业务 协作共享 、统筹 推进 的需要。第三,现 有的人
山东省人力资源和社会保障厅关于加快推进全省机关事业单位人事管理信息化建设的意见
山东省人力资源和社会保障厅关于加快推进全省机关事业单位人事管理信息化建设的意见文章属性•【制定机关】山东省人力资源和社会保障厅•【公布日期】2014.01.08•【字号】•【施行日期】2014.01.08•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】人力资源综合规定正文山东省人力资源和社会保障厅关于加快推进全省机关事业单位人事管理信息化建设的意见各市人力资源社会保障局:为加快推进全省机关事业单位人事管理信息化建设,根据《人力资源和社会保障信息化建设“十二五”规划》(人社部发〔2011〕99号)及中央和省委、省政府有关部署精神,结合我省实际,现提出以下意见。
一、指导思想、基本原则和总体目标(一)指导思想。
深入贯彻党的十八大、十八届三中全会精神,全面推进全省机关事业单位人事管理信息化建设,加快整合现有资源,进一步改进管理方式,规范管理程序,提高办事效率,提升人事管理科学化、规范化、信息化水平,提高机关事业单位干部人才队伍素质,更好地服务经济社会发展。
(二)基本原则。
推进全省机关事业单位人事管理信息化建设应遵循以下基本原则:--统一指导,分级负责。
省人力资源社会保障厅负责统一指导、统筹协调推进全省机关事业单位人事管理信息化建设,各设区市人力资源社会保障局负责组织实施本级及所辖县(市、区)机关事业单位人事管理信息化建设。
--标准规范,因地制宜。
开发应用统一的业务管理软件,规范工作流程,强化分工负责和协调配合。
在统一规范的前提下,各级人力资源社会保障部门结合本地实际需求,改造完善信息系统。
--资源共享,保障安全。
加强与组织、机构编制、财政等部门联合,共同参与、协同推进,实现数据共享,提高数据利用效率。
加大投入,严格管理,确保系统运行和数据信息安全。
(三)总体目标。
在现有人事管理信息化建设的基础上,统筹规划、分步实施,2014年年底前建成全省机关事业单位人事综合管理信息平台,全面安装使用统一的信息系统管理软件,建立完善全省机关事业单位人员基础信息库,基本实现人事管理业务的网上审批和办理。
人力资源和社会保障部关于印发人力资源和社会保障信息化建设“十二五”规划的通知(人社部发[2011]99号)
——人力资源和社会保障业务专网主干网络覆盖到全部省级和地市,城域网覆盖到各类人力资源和社会保障管理服务机构,县级网络接入平台联网率达到95%,街道、社区、乡镇、定点医疗机构和零售药店联网率达到90%以上。
——完成部本级和60%省级容灾中心的建设工作,安全等级三级以上的应用系统普遍使用数字证书,业务人员使用数字证书的比例达到70%以上。
——全国跨地区信息交换与结算平台全面启用,异地转移系统地市入网率达到100%,异地退管系统地市入网率达到100%,异地就医系统地市入网率达到80%。
——劳动就业、养老、医疗、工伤、失业、生育等联网监测业务交换库数据入库率超过90%,社会保险基金财务交换库数据入库率达到80%。
专栏2 “十二五”人力资源社会保障信息化建设主要指标
人力资源和社会保障部关于印发人力资源和社会保障信息化建设“十二五”规划的通知(人社部发[2011]99号)
稿件来源:人力资源和社会保障部
发布日期:2012-07-17
各省、自治区、直辖市人力资源社会保障厅(局),福建省公务员局,新疆生产建设兵团人事局、劳动保障局:
《人力资源和社会保障信息化建设“十二五”规划》已经部务会审议通过,现予印发,请遵照执行。
(三)发展目标
以全面提高人力资源和社会保障行政能力和服务社会的水平为目标,紧密围绕人力资源和社会保障事业的重点工作和发展方向,构建统一、高效、安全的信息系统应用支撑平台,实现各项业务领域之间、各地区之间的信息共享、业务协同和有效衔接,形成统一规范的信息化公共服务体系和科学有效的决策支持体系,实现社会保障一卡通。
“十二五”时期信息化工作具有许多有利条件:党中央、国务院高度重视,为人力资源和社会保障信息化事业发展提供了坚强保障;各级人力资源社会保障部门对大力推进信息化建设形成普遍共识,信息化统一建设的理念深入人心,为信息化建设创造了良好氛围;“十一五”期间取得的建设成果和经验,为信息化建设向纵深发展奠定了坚实基础;信息技术飞速发展,以光纤宽带和新一代移动通讯等为重点的下一代国家信息基础设施已纳入战略部署,下一代互联网(IPv6)、物联网、云计算等信息技术愈发成熟,相关产业正在形成,为信息化建设营造了良好技术环境。
金保工程信息系统安全维保服务项目参数及清单
()具备密码管理功能,具备根据设备、系统帐号、时间、频率、改密方式生成详细的改密计划,到期自动执行改密;支持随机生成不同密码、手动指定密码、根据密码规则生成等;改密结果可以支持邮件、密码信封、、、加密文件等形式外发或下载;
套
技术咨询服务
为采购人提供技术咨询服务,包括但不限于网络、安全、操作系统、数据库、服务器虚拟化、云安全、大数据等全面技术咨询服务,投标人需具备相关资质认证的人员。
套
特征库升级服务
每合同年度:提供一台启明星辰入侵防护系统年入侵特征库和年病毒特征库升级服务;
一台启明星辰的防护特征库年升级服务;
一台山石网科设备的病毒特征库、特征库、库和应用特征库年升级服务;
金保工程信息系统安全维保服务项目参数及清单
为保障滁州市人社局业务系统和网络的安全,本次项目服务内容主要包括渗透测试、安全加固、安全运维、应急响应、安全设备版本及特征库升级、技术咨询、等保测评及整改等服务内容。详细需求内容如下所示:
序号
服务项目
服务合同服务期内,由专业技术人员对平台支撑的网上申报、居民医保、智慧眼、全民参保等对互联网提供服务的业务系统进行一次渗透测试,主要用于发现系统可能存在的口令明文传输、暴力破解、认证绕过、注入、溢出、、目录泄露、敏感文件下载等安全问题。针对渗透测试发现的问题形成《系统渗透测试报告》,并配合开发方进行漏洞修复,漏洞修复后还需要针对主要业务重新进行渗透测试,并出具《系统漏洞修复后验证报告》。
()可实现基于用户(用户组)、目标设备(设备组、应用程序)、系统帐号、协议类型、登录规则来灵活设置访问控制策略,支持命令黑白名单;对于高危指令,未经相关人员复核审批,命令无法执行;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3. 电子认证体系设计 4. 测算说明
5
2.1 建设目标
1套体系、2个重点、3个全面、4项机制 1套综合安全防护体系:包括技术和管理两方面,外 防和内控兼顾,以纵深防御、分等级分区域保护为 核心的综合安全防护体系。 2个重点:应用安全和数据安全两方面重点问题。 3个全面:部省市人力资源社会保障2级以上信息系 统全面通过等级保护测评,防火墙、入侵检测和防 护系统、网络监控和审计系统等边界防护系统全面 部署到网络互联边界,数据访问控制和审计功能全 面配置到核心业务区域的重要系统。 4项工作管理机制:信息安全风险评估和测评机制、 信息安全检查机制、信息安全通报和应急处理协调 机制、信息安全综合管理和监督机制。
17
2.7 省市安全防护策略
计算环境安全防护策略
序 安全防护 号 机制 部署策略 保护对象和范围 1.公众服务网和业务专网 中的重要服务器。 2.特别是公共服务域的 WEB网站服务器。 公众服务网和业务专网中 新增服务器上运行的操作 系统、数据库、中间件和 WEB服务软件等通用应用 软件平台。 公众服务网和业务专网中 Windows平台服务器。 公众服务网和业务专网重 要应用系统数据库服务器。 公众服务网和业务专网中 的服务器。 公众服务网和业务专网中的重要服务器、 主机安全 1 门户网站和公共服务系统关键服务器上部 加固系统 署主机安全加固系统。 服务器系 根据安全评估和漏洞扫描结果,以及安全 2 统安全加 加固规范对公众服务网和业务专网的服务 固服务 器实施手工加固服务 服务器补 3 丁管理系 统 数据库监 4 测和加固 安全组件 公众服务网和业务专网的网络安全管理域 各部署1套服务器补丁管理系统,对网络中 的服务器进行补丁审核和自动更新。 公众服务网和业务专网重要应用系统的数 据库系统(如ORACLE)增加专用安全组 件 公众服务网和业务专网的网络安全管理域 双因素认 5 各部署1套双因素认证系统,按服务器系统 证系统 管理员和运行维护人员数量配备令牌。 18
11
2.4 安全现状和需求分析
核心和重要资产分析
信息系统资产名称 社会保险业务监测信息——监测分析信息类 信息资产分类 数据库和数据文件 源生信息系统和途径 原始产生 传输、处理和存储的信息系 纵向应用支撑平台、社会保险业务监测系统 统 /相应服务器 信息资产的生命期 定期 信息量规模 十亿条以上 信息敏感性 高 机密性 高 安全属性 完整性 中 可用性 高 √ 信息传递保护 生命周期保 √ 信息传递保护 护需求 √ 信息销毁 要求
12
2.4 安全现状和需求分析
脆弱性和风险分析
网络层、系统层、应用层等 管理方面 新技术发展的风险分析
信息系统威胁分析
威胁源 威胁描述 威胁分类 威害程度
13
2.5 基础安全防护总体架构
14
2.6 安全域总体结构
人力资源社会保障网络、安全域和安全子域关系表
网络 安全子域 安全域 综合业务域 公共服务域 核心业务域 资源交换域 网络和 终端接 安全管 等保3级 等保2级 入子域 服务器子域 服务器子域 理子域
15
2.6 安全域总体结构
安全域划分
16
2.7 省市安全防护策略
总体安全防护控制要求
依据安全域结构划分,结合网络系统和安全建设现状。 采用“一个中心、三重防护”和“纵深防御体系”的设计思路, 从计算环境、区域边界、网络通信和统一安全监控管理等几方面 设计。 重点以等级保护3级为防护要求基线,部分防护环节根据威胁和 脆弱程度会适当高于或低于等级保护3级基本要求提出。
21
冗余结 构
冗余结 构
冗余/非 1.防火墙系统 冗余结 2.入侵防御系统 构 3.网络综合审计系统
2.7 省市安全防护策略
区域边界安全防护策略(续表)
序 号 边界类型 主要威胁 数据交换 方式要求 可用性 要求 冗余结 构 主要防护措施 1.网络安全隔离与信息交 换产品 2.网络综合审计系统 1.入侵检测系统 2.数据库审计系统 3.运维安全审计控制系统 (堡垒机) 4.基于交换机VLAN ACL 控制 1.终端安全管理系统 2.基于交换机VLAN ACL 控制 边界3 1.越权访问 4 (网间隔离 2.基于通用网络协议 实时 边界) 的攻击 1. 越权访问 边界4 5 (应用服务 2. 蠕虫、病毒和黑 边界) 客等攻击和入侵
金保工程二期 信息安全保障体系设计
人力资源和社会保障部信息中心 信息安全管理处 许华光 2013.8
大 纲 1. 信息安全保障体系框架
体系框架结构图 金保二期安全保障建设内容
2. 基础安全防护系统设计 3. 电子认证体系设计 4. 信息安全管理工作
1.2 金保二期安全保障建设内容
信息系统定级分析
业务信息安全特性:信息量规模、信息来源、业务信息安全属性(保密性/完 整性/可用性)、最大影响程度。 系统服务安全特性:系统分布结构、访问系统用户范围、系统服务对象规模 、系统服务的实时性、最大影响程度。
等保基本要求差距分析 信息安全风险分析
金保一期安全建设主要问题 核心和重要资产分析 信息系统脆弱性和威胁分析
2.7 省市安全防护策略
计算环境安全防护策略(续表)
序号 安全防护机制 6 漏洞扫描和评 估系统 网站系统代码 审计和渗透测 试服务 部署策略 保护对象和范围 公众服务网和业务专网中 的服务器。 公众服务网公共服务域网 站系统 公众服务网公共服务域网 站 公众服务网和业务专网中 的服务器和终端计算机。 公众服务网终端计算机 利用已配备的1套漏洞扫描和评 估系统,增加漏洞扫描许可数。 对公众服务网公共服务域的网站 7 系统进行一次代码安全审计,定期 实施外围渗透性测试。 利用公众服务网已配备的1套主 主页防篡改系 8 页防篡改系统,增加被保护网站 统 服务器许可数。 利用公众服务网和业务专网已配 备的2套防病毒系统,增加病毒 9 防病毒系统 防护节点许可数并升级病毒防护 引擎和功能。 终端安全管理 10 部署1套终端安全管理系统。 系统
实时
冗余结 构
1.越权访问 边界5 2.非法外联 6 (终端接入 3.非法内联 实时 边界) 4.蠕虫、病毒和间谍 软件等攻击和入侵 7 内边界 1.越权访问
非冗余 结构
冗余/非 实时/非实 1.基于交换机VLAN ACL 冗余结 时 控制 构
22
2.7 省市安全防护策略
网络通信安全防护策略
序号 安全防护机制 部署策略 业务专网重要应用系统服务器安装 配置证书应用安全中间件和密码设 备。互联网和与相关单位互联配备 认证网关、数字签名服务器。此防 护机制在电子认证系统和应用安全 平台中设计。 保护对象和范围 业务专网重要应用系 统,互联网公共服务 系统和邮件系统,与 相关单位互联应用系 统。
19
2.7 省市安全防护策略
区域边界安全防护策略
20
2.7 省市安全防护策略
区域边界安全防护策略
序 号 边界类型 主要威胁 数据 交换 方式 要求 可用性 要求 主要防护措施 1.防火墙系统 2.抗拒绝服务系统 3.入侵防御系统 4.入侵检测系统 5.网络综合审计系统 6.网络数据包日志系统 7.WEB应用安全防护系统 1.防火墙系统(与边界11防火墙双重异构)
10
2.4 安全现状和需求分析
主要问题
信息安全建设规划不足,资金投入不到位。 信息安全保障体系建设不全面,多数等级保护基本要求项不符合,甚至 部分等级保护信息安全控制点完全不符合。 新技术、新业务的推广应用,信息安全形势日趋严峻,以及金保工程二 期建设涉及诸多系统的整合集中、新建和改扩建,网络系统朝着“广、 大、深、远”的方向发展,都将带来新的信息安全风险。 安全防护技术机制配备不均衡,安全域结构欠合理,数据安全和应用安 全方面比较薄弱,安全监控和预警能力严重不足,同时网路安全和物理 安全方面也存在很多问题。 信息安全等级保护工作刚刚起步,尚有很多地方未完成系统的定级工作 ,有些地方也只是刚刚开展等级保护安全整改,多数未开展风险评估和 等级保护测评工作。 信息安全管理制度仍然不健全,日常安全运维流程不完善,管理相对粗 放,风险处置方面存在隐患,安全责任没有完全层层落实,重技术轻管 理。
1
电子认证应用 安全支撑
2
SSL VPN
基础安全防护系统(含信息安全管理和服务体系) 电子认证和应用安全支撑系统 信息安全管理体系和信息安全服务体系 物理安全设施 ——机房环境设计 灾难备份系统 ——网络系统设计
4
大 纲 1. 信息安全保障体系框架 2. 基础安全防护系统设计
建设目标 主要建设内容 基本建设策略 安全现状和需求分析 基础安全防护总体架构 安全域总体结构 省市安全防护策略 信息安全管理体系 信息安全服务体系 产品选型策略
1.越权访问 2.蠕虫、病毒和黑客等攻 边界1-1 击和入侵 1 (互联网接 3.流量型、资源耗尽型和 实时 入外边界) 应用层DDoS攻击 4.针对Web系统的SQL注 入、XSS跨站脚本等攻击 边界1-2 2 (互联网接 1.越权访问 实时 入内边界) 边界2 1.越权访问 实时/ 3 (其它网络 2.蠕虫、病毒和黑客等攻 非实 互联边界) 击和入侵 时
等级保护工作开展情况
梳理重要信息系统 定级备案完成率 整改完成率 测评完成率
金保一期信息安全建设情况
基础安全防护 安全管理规范
9
2.4 安全现状和需求分析
信息安全政策要求
基本法规政策文件:《国务院关于大力推进信息化发展和切实保障信息安全 的若干意见》(国发[2012]23号)…… 等级保护文件:《关于加强国家电子政务工程建设项目信息安全风险评估工 作的通知》(发改高技[2008]2071号)…… 网络信任体系文件:《关于印发〈电子政务电子认证服务管理办法〉的通知 》(国密局发[2009]7号) 其他安全管理工作文件