(信息化方案)核心二板人社系统信息化建设安全设计方案
2023-人社局信息系统安全等级保护建设方案V2-1
人社局信息系统安全等级保护建设方案V2
信息系统安全等级保护建设方案V2是人社局在保护信息安全方面制定
的一个重要方案。
这个方案具体包括以下步骤:
1.确定保护等级:根据信息系统的重要性和涉及到的数据,人社局需
要确定信息系统的保护等级。
保护等级越高,系统的安全性要求也就
越高。
2.制订安全策略:制订信息系统的安全策略是方案的重中之重。
在此
过程中,人社局需要详细考虑信息的完整性、机密性和可用性。
同时,还需要制定相应的防范措施,对不同等级的系统进行专门的安全测试。
3.实施安全措施:为了确保信息系统的安全性,人社局需要采取多种
安全措施,如加密、访问控制、漏洞修复等。
此外,还需要定期检查
和更新系统安全措施,确保保护措施数量有限适当,能够最大限度地
确保信息的安全性。
4.培训员工:培训员工也是保障信息安全的重要步骤。
人社局需要对
新进员工加强信息安全知识、技能方面的培训,同时定期对员工进行
安全演习,提高员工的安全意识。
5.监管理论:信息安全的保护工作需要不断的监管理论,以确保工作
的正确性和及时性。
在这个过程中,需要对安全策略进行评估,根据
实际情况调整安全策略,保障信息系统的安全性。
总之,人社局信息系统安全等级保护建设方案V2是保障信息安全的重
要方案,通过明确保护等级、制订安全策略、实施安全措施、培训员
工和监管理论,可以确保信息的安全和机密性。
人社局将不断加强信
息安全工作,时刻关注信息安全动态,建立健全的信息安全保障体系,为广大群众提供更加安全、可靠的服务。
信息化建设方案(2篇)
信息化建设方案一、概述随着科技的不断发展和信息技术的迅猛普及,信息化建设已经成为企事业单位提升效率和竞争力的关键手段之一。
本方案将针对某企业的信息化建设需求,提出相应的方案和措施,以帮助企业实现信息化目标。
二、企业现状分析1. 企业现有的信息化设备和系统较为滞后,运行效率较低;2. 企业的信息化管理水平不高,存在信息共享不畅、数据管理混乱等问题;3. 员工对信息化技术的掌握程度较低,信息化应用推广困难。
三、信息化建设目标1. 提高企业内部管理效率,降低运营成本;2. 实现企业资源的集约化和信息的共享化;3. 加强企业与客户和供应商的沟通和合作,提升服务质量;4. 提升员工对信息化技术的掌握和应用能力,提高工作效率。
四、信息化建设方案1. 建设信息化基础设施(1)升级和完善企业的计算机硬件设备,提高运行效率和稳定性;(2)通过建设局域网和互联网环境,实现企业各个部门之间的信息共享和互联互通;(3)引入企业级信息管理系统,实现对各项业务、数据和资源的集约化管理。
2. 优化业务流程(1)对现有业务流程进行优化和重组,消除冗余和低效环节;(2)建立标准化的工作流程和数据交互规范,提高工作效率和准确性;(3)通过信息化手段实现业务流程的电子化和自动化,减少人工操作和错误。
3. 加强信息安全保障(1)建立健全的信息安全体系,包括网络安全保障、数据安全保障和应急响应机制的建设;(2)加强对企业内部信息的访问控制和权限管理,确保敏感信息的安全性;(3)对重要数据进行备份和灾备,并定期进行测试和验证。
4. 推进信息化应用(1)加强对员工的信息化培训和学习,提高其信息化意识和能力;(2)引入信息化工具和软件,实现企业各项工作的电子化和自动化;(3)通过互联网和移动互联网等渠道,实现企业与客户和供应商之间的信息交流和合作。
5. 完善信息化监控和评估机制(1)建立信息化项目的管理机制和流程,确保项目的顺利实施;(2)通过信息化监控系统,实时监测和评估信息化建设的效果;(3)定期进行信息化建设的评估和反馈,及时调整和改进方案。
信息化安全方案设计范文
信息化安全方案设计范文一、前言随着新一代信息技术的快速发展,信息化已经渗透到了各个领域,信息安全问题也日益突出。
信息化安全方案的设计成为了保障信息系统和数据安全的重要手段。
本文将结合实际情况,设计一份信息化安全方案,以确保信息系统的安全运行。
二、风险分析在设计信息化安全方案之前,首先需要进行风险分析,确定当前信息系统面临的主要风险。
常见的信息系统风险包括网络攻击、数据泄露、系统故障等。
通过分析现有的信息系统和网络设备,确定可能存在的风险和安全隐患,为设计安全方案提供依据。
三、安全目标针对信息化系统所面临的风险,制定明确的安全目标是设计安全方案的基础。
安全目标应包括以下几个方面:1. 确保信息系统和数据的机密性,防止未经授权的人员访问敏感信息;2. 确保信息系统的完整性,防止信息被篡改、损坏或丢失;3. 确保信息系统的可用性,防止系统故障导致正常业务受阻;4. 提高信息系统的抗攻击能力,尽可能减少受到网络攻击的风险;5. 加强信息系统的监控和管理,及时发现和应对安全事件。
四、安全措施基于分析的风险和明确的安全目标,设计必要的安全措施,以保障信息系统的安全性。
常见的安全措施包括:1. 网络安全措施(1)建立网络防火墙,对外部网络进行隔离,限制非法访问;(2)建立入侵检测系统(IDS)和入侵防御系统(IPS),及时检测和应对网络攻击;(3)加密通信传输,采用SSL、VPN等安全协议,防止数据被窃取;(4)网络设备定期更新补丁,及时消除安全漏洞;(5)限制员工对互联网的访问权限,防止上网行为引发安全风险。
2. 数据安全措施(1)建立严格的身份认证与访问控制机制,确保只有授权人员可以访问敏感数据;(2)加密存储数据,避免数据泄露;(3)建立数据库备份和恢复机制,防止数据丢失;(4)制定合理的数据清除策略,确保数据被完全清除而不被恢复。
3. 系统安全措施(1)加强系统的登录权限管理,设置复杂的密码策略,定期更换密码;(2)限制员工的系统管理员权限,避免滥用权限;(3)制定系统巡检计划,定期检查系统安全状况;(4)建立应急响应预案,及时应对系统安全事件。
安全信息化建设方案
安全信息化建设方案作为当今信息化大时代,信息化建设已经成为企业生产生活的重要组成部分。
同时,企业的信息化建设过程中也存在着一些安全隐患,这些安全隐患如果不得到有效的解决,将会给企业带来不可预估的损失。
因此,企业需要对自身的安全信息化建设进行规划和实施,以保障企业信息安全和业务的持续发展。
本文将从安全信息化建设的方案策略、实施过程以及维护管理等方面进行探讨。
一、安全信息化建设的方案策略1. 安全信息化建设的现状分析在进行安全信息化建设的策略及方案制定之前,企业需要进行现状分析。
现状分析可以从信息化建设的资源配置、信息安全管理和技术手段等方面进行分析,了解企业现阶段的信息化建设水平和存在的安全问题。
只有深入了解现状,企业才能制定出切实可行的安全信息化建设方案。
2. 安全信息化建设的目标制定企业制定安全信息化建设方案的目的是为了增强企业信息安全防护能力,提高信息化建设的水平和效率。
因此,在制定安全信息化建设方案时,必须考虑到企业的实际情况,充分结合企业的战略目标、发展规划和业务需求,制定出务实可行、具有可操作性的目标。
3. 安全信息化建设的策略选择安全信息化建设的策略选择是关系到企业信息化建设水平和安全防护能力的问题。
企业可以采取如下策略:(1)制定安全信息技术标准:包括加密技术的应用、安全性检查、应急处理、有关安全的法律和规定等标准。
(2)建设安全信息系统:采用先进的技术手段和管理方法,建立安全信息化管理体系,实施全方位的信息安全保护。
(3)优化安全信息人才培训:制定安全信息化培训计划,加强安全意识和技术培训,提高安全人员的技能和工作效率。
(4)加强信息备份和恢复:根据备份和恢复的要求,制定信息备份和恢复的计划和方案,加强对信息的备份和恢复管理。
二、安全信息化建设的实施过程在制定好安全信息化建设的方案和策略后,企业需要进行实施。
通常情况下,安全信息化建设的实施过程分为三个阶段:规划阶段、实施阶段和运行阶段。
安全信息化建设方案
安全信息化建设方案随着信息技术的迅猛发展,信息化已成为现代社会的关键要素之一。
然而,随之而来的是各种数据安全问题的突出。
为了有效应对这些问题,各个组织和机构需要制定和实施安全信息化建设方案。
一、安全信息化建设的必要性随着互联网的普及和网络技术的飞速发展,数据安全面临着来自内部和外部的各类威胁。
黑客攻击、病毒入侵、数据泄露等问题时有发生。
安全信息化建设的必要性就体现在保护机构信息资产的安全,防止数据泄露和商业利益损失。
二、建立完善的安全管理制度安全信息化建设前期,需要制定和实施完善的安全管理制度。
这包括明确安全目标和策略,明确信息资产的分类和等级,制定信息安全风险评估和应急预案等。
通过建立完善的管理制度,可以有效规范人员行为,减少安全漏洞的产生。
三、加强安全意识和培训安全信息化建设不能仅仅局限于技术层面,人员的安全意识和技能同样重要。
针对不同岗位的员工,需要进行安全意识和技能培训。
这可以通过举办内部培训或邀请专业人士进行外部培训来实施。
提高员工的安全意识,可以减少内部操作失误和被社会工程学攻击的风险。
四、确保网络和系统的安全安全信息化建设的核心在于网络和系统的安全。
这就要求对网络进行安全防护和系统进行安全配置。
采用防火墙、入侵检测系统、数据加密等技术手段,对网络进行全面保护。
同时,在系统层面要进行及时的漏洞修复和软件升级,以防止黑客攻击和病毒感染。
五、数据保护和备份作为组织和机构最重要的资产之一,数据的保护和备份是安全信息化建设的重要环节。
建立定期备份数据的机制,同时采用网络存储和云备份等技术手段,以确保数据的安全性和可靠性。
在备份过程中,要注意数据的加密传输和存储,以防止数据泄露。
六、建立安全信息化审计和监控机制安全信息化建设的最后一步是建立审计和监控机制。
通过对系统日志、网络流量和用户操作的监控,可以及时发现异常行为和安全事件。
同时,定期进行安全审计和漏洞扫描,对系统进行全面检查,发现潜在的安全风险并加以修复。
信息化系统建设安全建设方案
信息化系统建设安全建设方案第一章系统安全体系设计1.1 安全体系概述1.1.1建设目标从系统结构角度看,安全系统设计覆盖范围包括:系统的物理环境、网络、操作系统和数据库系统、业务应用、数据保护、运行管理等多个层面。
⏹制定符合本项目系统安全要求的信息安全规范,并据此建立覆盖整个系统的信息中心安全保障体系,包括技术、管理、审计、服务等内容。
⏹建立符合国家和国际标准的信息安全保障体系。
⏹建设符合本项目系统要求的网络信息安全保障体系。
1.1.2建设原则1、同步建设原则在新建改建扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
2、重点保护原则根据数据信息和应用系统的重要程度和业务特点,通过划分不同安全等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
3、分区域、分阶段保护原则根据不同业务的实际情况和各系统的重要程度业务特点和不同发展水平,分类分级分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。
4、节省投资原则通过多种方案的设计比较,在确保安全的前提下,优先选择节省投资的方案。
5、避免重复建设原则规划思路要考虑到前期安全建设情况和后期3-5年的发展状况,积极充分利用已有资源和部署,减少系统中的重复建设情况。
6、可扩展原则针对所有规划方案要依照系统和网络的建设规模情况,具有可扩展性。
7、可实施性强的原则本次规划立足于可实施的目标,针对所有安全控制措施的部署,一方面要满足安全保护,同时要与实际情况相结合。
1.1.3信息安全等级保护建议等保级别定为二级,系统验收时需要提供专业软件安全测评机构出具的测评报告。
根据《中华人民共和国计算机信息系统安全保护条例》对信息系统受到黑客攻击后可能造成的潜在危害的信息安全等级分类标准,我们建议本系统建成后委托专业的信息安全等级保护测评机构对系统进行等级保护。
信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
信息化建设方案(2篇)
信息化建设方案一、背景分析随着信息技术的不断发展,信息化已经成为现代社会中的一个重要方面。
信息化的发展不仅可以提高生产力和竞争力,还可以提供更便捷的服务和更好的用户体验。
因此,加强信息化建设对于政府和企业来说是至关重要的。
二、目标设定1. 提高信息化水平:通过加强信息技术的研发和应用,提高信息化水平,实现信息化的全面发展。
2. 加强网络安全:加强网络安全建设,提高信息系统的稳定性和安全性,防止信息泄露和网络攻击。
3. 优化服务体验:通过信息化建设,提供更便捷高效的公共服务,改善用户体验。
三、关键任务与措施1. 搭建信息化基础设施:加强网络基础设施建设,建设高速、稳定的信息网络,提供信息化建设的基础支撑。
(1) 加强网络建设:扩展宽带网络覆盖范围,提高网络带宽,实现全面高速的网络接入。
(2) 建设云计算中心:搭建云计算平台,提供弹性、灵活的计算资源,提高系统的可扩展性和性能。
(3) 加强数据中心建设:建设安全可靠的数据中心,提供大数据存储和处理能力,为信息化建设提供保障。
2. 推动智慧城市建设:将信息化技术应用于城市管理和公共服务中,提升城市治理能力和服务水平。
(1) 建设智慧交通系统:利用传感器、物联网等技术,优化交通管理,提供便捷高效的交通服务。
(2) 推进智慧医疗建设:利用信息化技术,实现患者信息的互联互通,提高医疗服务质量和效率。
(3) 推动智慧教育建设:建设数字化教学平台,提供在线教育资源,促进教育公平和优质教育资源共享。
3. 加强网络安全保护:提升网络安全保护能力,保障信息系统的稳定和安全。
(1) 建设安全防护体系:建立完善的安全防护体系,包括安全硬件、安全软件和安全管理措施。
(2) 加强安全监测和预警:建立网络安全监测和预警系统,及时发现和应对网络安全威胁。
(3) 推进安全教育和培训:加强网络安全教育和培训,提高员工和用户的安全意识和保护能力。
4. 优化公共服务体验:通过信息化建设,提供更便捷高效的公共服务,改善用户体验。
安全信息化建设方案
安全信息化建设方案一、背景与目标(一)背景在当今数字化时代,企业的运营越来越依赖于信息系统和网络。
然而,网络攻击、数据泄露、系统故障等安全问题频繁发生,给企业带来了巨大的经济损失和声誉损害。
因此,加强安全信息化建设已成为企业的当务之急。
(二)目标1、建立全面的安全防护体系,保障企业信息系统和数据的安全。
2、提高安全事件的监测和响应能力,及时发现并处理安全威胁。
3、增强员工的安全意识,规范员工的安全行为。
4、满足法律法规和行业标准对企业安全的要求。
二、安全信息化建设的原则(一)整体性原则安全信息化建设应涵盖企业的各个方面,包括网络安全、数据安全、应用安全、终端安全等,形成一个有机的整体。
(二)预防性原则通过采取预防措施,如安全策略制定、安全培训、漏洞扫描等,降低安全事件发生的概率。
(三)动态性原则安全威胁不断变化,安全信息化建设也应随之不断调整和优化,保持对新威胁的有效应对能力。
(四)合规性原则建设过程应符合相关法律法规和行业标准的要求,确保企业的安全管理合法合规。
三、安全信息化建设的内容(一)安全管理制度建设1、制定完善的安全策略和规章制度,明确安全责任和流程。
2、建立安全考核机制,对员工的安全行为进行监督和评估。
(二)网络安全建设1、部署防火墙、入侵检测系统、防病毒软件等网络安全设备,对网络流量进行监控和过滤。
2、划分网络区域,实施访问控制策略,限制不同区域之间的网络访问。
3、定期进行网络漏洞扫描和安全评估,及时发现并修复网络安全漏洞。
(三)数据安全建设1、对重要数据进行分类、分级管理,采取加密、备份等措施保障数据的机密性、完整性和可用性。
2、建立数据访问权限管理制度,严格控制员工对敏感数据的访问。
3、加强数据传输过程中的安全防护,防止数据泄露。
(四)应用安全建设1、对企业内部开发的应用系统进行安全测试,确保系统无安全漏洞。
2、对第三方应用系统进行安全评估,选择安全可靠的产品。
3、定期对应用系统进行更新和维护,及时修复已知的安全漏洞。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(信息化方案)核心二板人社系统信息化建设安全设计方案五、系统安全设计245(一)系统安全建设目标 (245)(二)系统安全建设内容 (245)(三)系统安全设计原则 (246)(四)系统安全体系结构 (246)(五)设计中参考的部分国家标准 (248)(六)系统安全需求分析 (250)(七)系统安全策略 (254)(八)基础安全防护系统建设 (259)(九)CA认证中心系统建设 (265)(十)容灾备份中心系统建设 (273)(十一)安全管理体系建设 (284)五、系统安全设计在信息系统的建设过程中,计算机系统安全建设是一个必不可少的环节。
社会保险信息系统不仅是一个涉及多地区、多部门、多业务、多应用的信息系统,而且其安全性涉及到每个公民的切身利益。
社会保险系统中存有社会保险各项业务的关键数据和各单位敏感信息,影响着政府的管理决策和形象,存在着社会政治经济风险,其安全设计至关重要。
社会保险信息系统网络参照国家涉密网络的安全设计要求进行设计。
社会保险信息系统的安全设计,首先是针对系统所面临的来自网络内部和外部的各种安全风险进行分析,特别是对需要保护的各类信息及可承受的最大风险程度的分析,制定与各类信息(系统)安全需求相应的安全目标和安全策略,建立起包括“风险分析、安全需求分析、安全策略制定和实施、风险评估、事件监测和及时响应”的可适应安全模型,并作为系统配置、管理和应用的基本安全框架,以形成符合社会保险信息系统合理、完善的信息安全体系。
并在形成的安全体系结构的基础上,将信息安全机制(访问控制技术、密码技术和鉴别技术等)支撑的各种安全服务(机密性、完整性、可用性、可审计性和抗抵赖性等)功能,合理地作用在社会保险信息系统的各个安全需求分布点上,最终达到使风险值稳定、收敛且实现安全与风险的适度平衡。
(一)系统安全建设目标针对社会保险信息系统的特点,在现有安全设施的基础上,根据国家有关信息网络安全系统建设法律法规和标准规范以及系统对安全性设计的具体要求,并结合当前信息安全技术的发展水平,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,制定相应的安全策略,设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系,采用合理、先进的技术实施安全工程,加强安全管理,保证社会保险信息系统的安全性。
建设一个具有可操作性、高性能、高可用性、高安全性的安全体系是总的建设目标。
(二)系统安全建设内容1.建立完整的安全防护体系,全方位、多层次的实现社会保险信息系统的安全保障。
2.实现多级的安全访问控制功能。
对网络中的主机及服务进行基于地址的粗粒度访问控制和基于用户及文件的细粒度访问控制。
3.实现对重要信息的传输加密保护,防止信息在网络传输中被窃取和破坏。
4.建立安全检测监控系统。
通过在系统中配备实时监控及入侵检测系统,加强对重要网段和关键服务器的保护,为不断提高系统安全强度、强化安全管理提供有效的技术手段。
5.建立全方位病毒防范体系。
采用网络防病毒系统,并与单机防病毒软件相结合,构建一套完整的防病毒体系。
6.建立重要应用系统数据的备份机制,并实现关键主机系统的冗余及备份和灾难恢复。
7.建立服务于劳动保障系统的数字证书认证服务基础设施。
利用数字证书系统实现重要数据的加密传输,身份认证等。
8.建立有效的安全管理机制和组织体系,制定实用的安全管理制度,安全管理培训制度化,确保系统安全措施的执行。
(三)系统安全设计原则1.正确处理保密、安全与开放之间的关系;2.安全技术与安全管理结合;3.分析系统安全的风险,构造系统安全模型,从保护、检测、响应、恢复四个方面建立一套全方位的立体信息保障体系;4.遵循系统安全性与可用性相容原则,并具有适用性和可扩展性。
(四)系统安全体系结构l.系统安全层次与结构社会保险信息系统是以开放的层次化的网络系统作为支撑平台,为使各种信息安全技术功能合理地作用在网络系统的各个层次上,从技术和管理上保证安全策略得以完整准确地实现,安全需求得以满足,确定社会保险信息系统的安全层次划分和体系结构如下图所示:插图6-55网络系统安全层次结构图2.系统安全体系框架社会保险信息安全体系是一个三维立体结构,包括系统单元、安全特性、安全子系统三个要素。
其结构关系如图6-56所示。
全标准。
参考的国家相关标准如下:GB4943-1995信息技术设备(包括电气事务设备)的安全GB9254-88 信息技术设备的无线电干扰极限值和测量方法GB9361-88 计算机场地安全要求GB2887-2000 计算站场地通用规范GB50173-93电子计算机机房设计规范GB17859-1999 计算机信息系统安全保护等级划分准则GB/T15843.1-1999信息技术安全技术实体鉴别第1部分:概述GB/T9387.2-1995 信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(ISO7498-2-1989)GB/T17143.7-1997信息技术开放系统互连系统管理第7部分:安全告警报告功能GB/T17143.7-1997信息技术开放系统互连系统管理第8部分:安全审计跟踪功能GB/T17900-1999 网络代理服务器的安全技术要求GB/T18018-1999 路由器安全技术要求GB/T18019-1999 信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T15278-1994 信息处理数据加密物理层互操作性要求(ISO9160:1988)GB15851-1995 信息技术安全技术带消息恢复的数字签名方案(ISO/IEC9796:1991)GB15851-1995 信息技术安全技术用块密码算法作密码校验函数的数据完整性机制(ISO/IEC9797:1994)GB/T15843.2-1997 信息技术安全技术实体鉴别第2部分:采用对称加密算法的机制GB/T15843.3-1998 信息技术安全技术实体鉴别第3部分:用非对称签名技术的机制GB/T15843.4-1999 信息技术安全技术实体鉴别第4部分:采用密码校验函数的机制GB/T17902.1-1999 信息技术安全技术带附录的数字签名第1部分:概述GB/T18238.1-2000 信息技术安全技术散列函数第1部分:概述GB/T17903.1-1999 信息技术安全技术抗抵赖第1部分:概述GB/T17903.2-1999 信息技术安全技术抗抵赖第2部分:使用对称技术的机制GB/T17903.3-1999 信息技术安全技术抗抵赖第3部分:使用非对称技术的机制GB/T18237.1-2000 信息技术开放系统互连通用高层安全第1部分:概述、模型和记法GB/T18237.2-2000 信息技术开放系统互连通用高层安全第2部分:安全交换服务元素(SESE)服务定义GB/T18237.3-2000 信息技术开放系统互连通用高层安全第3部分:安全交换服务元素(SESE)协议规范GB/T14814-1993 信息处理文本和办公系统标准通用置标语言(SGML)GB/T18231-2000 信息技术低层安全(六)系统安全需求分析在社会保险信息系统中,凡是受到安全威胁的系统资源都要进行保护,受保护的资源包括物理资源、信息资源和服务资源等。
根据网络系统和受保护资源的实际情况,统筹考虑,从物理安全、网络安全、系统及应用安全、数据安全以及容灾备份系统的建设等方面分别对系统安全需求进行分析,以形成一套完整的安全策略。
1.物理安全需求分析物理安全是社会保险信息系统安全运行的前提,是安全系统的重要组成部分。
物理安全涉及环境安全、设备安全、媒体安全三个部分,它们分别针对信息系统所在环境、所用设备、所载媒体进行安全保护。
(1)环境安全需求①机房的安全等级应符合GB9361—88的A类;②机房内部要按不同的安全要求和功能划分区域,如业务系统数据处理区、数据操作录入区、网络管理区、办公应用区,社会保障IC卡制卡区)等;③根据工作需要确定用户能够进入相应的区域,不同的区域,实行不同的控制措施;④要有严格的规章制度和技术手段(如密码锁、监视器等)限制人员进入非授权区域。
(2)设备安全需求①重要设备必须设置安全防盗报警装置和监视系统,防止设备被盗、被毁;②重要设备,如服务器、核心交换机等,要有冗余热备份,并能快速在线恢复;③存放重要设备的机房发生电源故障后,要能提供1个小时以上的后备电力供应;④重要设备要存放在能防止雷击等自然灾害破坏的机房中;⑤存放重要设备的机房要具有防电磁干扰、防计算机辐射泄漏的设施。
(3)媒体安全需求①保存重要数据的介质要有异地备份;②存放重要备份数据的介质要保存在符合GBJ45—82中规定的一级耐火等级的房间,或存放在具备防火、防高温、防水、防震的容器中;③定期对备份介质进行检查,保证其可用性等;④介质库必须有专人管理,严格控制人员的进出。
2.网络安全需求分析网络安全是社会保险信息系统安全运行的基础,保证系统安全运行的关键。
网络系统的安全需求包括网络边界安全需求、入侵监测与实时监控需求、安全事件的响应和处理需求分析。
(1)网络边界安全需求①在具有不同安全级别的网络安全域边界配置安全设备和访问控制策略,严格控制不同安全域之间的访问行为;省市劳动保障部门的办公网和业务专网之间按照国家和地方政府电子政务内网的相关安全标准进行物理隔离,业务网络与Internet逻辑隔离;②防止非法的网络路由接入,阻止非法者窃听、窃取、篡改网络数据,防范通过远程访问非法接入;③能够对IP数据包进行过滤;(2)入侵监测与实时监控需求①能够定期自动地对网络安全进行扫描和风险评估,发现网络安全弱点和漏洞;②能够监测和发现入侵行为,并对网络违规行为能够实时报警和响应;③能够对系统中所有与安全有关事件进行跟踪审计;④入侵监测系统需要与防火墙联动,实现网络安全域的动态防护。
(3)网络基础设施的可用性连接中央、省、市三级业务专网广域主干的网络基础设施需要进行高可用性配置,以保证业务信息的无中断可靠传输。
3.系统及应用安全需求分析系统及应用安全需求分析包括防病毒传播需求分析、操作系统安全需求、用户权限管理需求、访问控制安全需求、业务信息系统安全需求等构成。
具体需求为:(1)防范病毒传播需求①系统必须能自动侦测并清除来自网络或其他输入设备(软驱、光驱、移动存储设备等)的病毒;②病毒特征库和扫描引擎的更新可通过网络分布部署,可通过服务器自动分发客户端工作站防毒软件,简化安装过程;③系统必须能够在工作站引导区遭受病毒破坏后帮助进行紧急恢复;④服务器防病毒系统必须能监控、查杀服务器本身的病毒,也能及时发现、处理来自网络上的病毒,及时清除邮件系统的病毒;(2)操作系统安全需求①操作系统的安全等级要达到C2级;②能够通过对主体(人、进程)识别和对客体(文件、设备)标注,划分安全级别和范畴,实现由操作系统对主、客体之间的访问关系进行控制;③能够定期自动地对操作系统安全进行扫描和风险评估,发现系统安全弱点和漏洞,并及时补救;④对于关键业务系统,应按照高可用性方案配置,系统具有冗余性和快速故障恢复能力;⑤必须能够按照制定的安全审计计划进行审计处理,包括审计日志和对违规事件的处理;(3)用户权限管理需求①能够为用户分配用户标识符UID,并保证用户的唯一性;②支持用户的分级和分组管理机制;③能够设定用户访问权限的有效日期、有效时间段;④能够提供可靠的用户身份认证手段,如密码等;⑤权限管理必须满足最小授权原则,使每个用户和进程只具有完成其任务的最小权限。