【正文】 對用戶進(jìn)行強(qiáng)制訪問控制檢查，即根據(jù)該用戶在多級安全模型中所具有的安全屬性（等級和范疇）、本次訪問操作所涉及的對象（如文件）在多級安全模型中的安全屬性（等級和范疇）來確定這次訪問是否被允許； ⑤ 系統(tǒng)必須能夠防止用戶經(jīng)過被允許路徑以外的其他訪問路徑，隱蔽地實(shí)現(xiàn)某些越權(quán)的非 法訪問； ⑥ 系統(tǒng)必須能夠?qū)⒚恳淮卧L問記錄在日志文件中，并提供分析和審計(jì)功能。由于涉及基金問題，在數(shù)據(jù)傳輸方面必須確保信息的保密性、準(zhǔn)確性，在具體查詢操作時(shí)還必須核實(shí)操作者的有效身份和操作權(quán)限。 ① 數(shù)據(jù)傳輸?shù)臋C(jī)密性要求，需要對勞動保障業(yè)務(wù)專網(wǎng)傳輸 的敏感性業(yè)務(wù)數(shù)據(jù)（業(yè)務(wù)經(jīng)辦數(shù)據(jù)交換信息，異地領(lǐng)取養(yǎng)老金人員有關(guān)信息，在職社會保險(xiǎn)關(guān)系轉(zhuǎn)移人員有關(guān)信息，異地就醫(yī)信息等）機(jī)密性進(jìn)行保護(hù)，支持 WWW、 FTP、 SMTP、 Tel 等 TCP/IP 的標(biāo)準(zhǔn)服務(wù)以及社會保險(xiǎn)網(wǎng)絡(luò)特有的通訊業(yè)務(wù)； ② 根據(jù)傳輸完整性要求，保護(hù)網(wǎng)絡(luò)傳輸 IP 數(shù)據(jù)包的不可篡改性。 1．物理安全策略 物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。 社會保險(xiǎn)信息系統(tǒng)各安全域中的安全需求和安全級別不同，網(wǎng)絡(luò)層的安全主要是在各安全域間建立有效的安全控制措施，使網(wǎng)間的訪問具有可控性 。 網(wǎng)絡(luò)基礎(chǔ)設(shè)施部分已在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中考慮。其安全性 策略包括 用戶和服務(wù)器間的雙向身份認(rèn)證 、 信息和服務(wù)資源的訪問控制 和訪問資源的加密 ， 并通過 審計(jì)和記錄機(jī)制，確保 服務(wù)請求和資源訪問的 防抵賴。社會保險(xiǎn)信息系統(tǒng)運(yùn)行環(huán)境復(fù)雜，網(wǎng)上用戶數(shù)多，同 Inter 有連接等因素，可能會受到來自于多方面的病毒威脅，在辦公網(wǎng)和業(yè)務(wù)專網(wǎng)上建立多層次的病毒防衛(wèi)體系，包括桌面客戶端、服務(wù)器、郵件系統(tǒng)、 Inter 網(wǎng)關(guān)上實(shí)施防病毒系統(tǒng)的部署，配置病毒掃描引擎和病毒特征庫數(shù)據(jù)的自動更新方式，實(shí)現(xiàn)對網(wǎng)絡(luò)病毒的預(yù)防、偵測、消毒和預(yù)警，以防止病毒對系 統(tǒng)和關(guān)鍵文檔數(shù)據(jù)的破壞。利用容災(zāi)恢復(fù)軟件和設(shè)備通過網(wǎng)絡(luò)實(shí)現(xiàn)異地系統(tǒng)和 數(shù)據(jù)的備份及部分服務(wù)的冗余 。同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）、審計(jì)和實(shí)時(shí)報(bào)警功能。內(nèi)部網(wǎng)、 DMZ區(qū)通過反向地址轉(zhuǎn)換對 Inter 提供服務(wù)。 ⑥ 具有實(shí)時(shí)在線的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控功能，實(shí)時(shí)監(jiān)控 網(wǎng)絡(luò)數(shù)據(jù)包的狀態(tài)，網(wǎng)絡(luò)上流量的動態(tài)變化，并對非法的數(shù)據(jù)包進(jìn)行阻斷。入侵監(jiān)測報(bào)警日志的功能時(shí)通過對所有對網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警和響應(yīng)，作為受到網(wǎng)絡(luò)攻擊的主要證據(jù)。 （ 2）軟件的部署應(yīng)有一定的靈活性，采用分布式的體系結(jié)構(gòu)，監(jiān)測節(jié)點(diǎn)和管理控制站可分立配置； （ 3）監(jiān)測系統(tǒng)的部署對原有網(wǎng)絡(luò)和系統(tǒng)環(huán)境為完全透明方式，對網(wǎng) 絡(luò)數(shù)據(jù)包的監(jiān)控，應(yīng)采用包拷貝方式，對網(wǎng)絡(luò)數(shù)據(jù)包的傳輸不能造成延遲；監(jiān)測節(jié)點(diǎn)和管理控制站的通信應(yīng)采用另外通道，不占用監(jiān)測網(wǎng)絡(luò)的通信帶寬； （ 4）提供完整的應(yīng)用協(xié)議內(nèi)容恢復(fù)功能。 使用數(shù)據(jù)庫存儲攻擊和入侵信息以便隨時(shí)檢索， 自動維護(hù)和 并提供詳細(xì)的攻擊與入侵資料，包括發(fā)生時(shí)間、發(fā)起主機(jī)與受害主機(jī)地址、攻擊類型、以及針對此類型攻擊的詳細(xì)解釋與解決辦法。 具體配置為：在網(wǎng)絡(luò)中的服務(wù)器中安裝文件及應(yīng)用服務(wù)器防病毒組件，在郵件服務(wù)器上安裝群件系統(tǒng)防病毒組件，在代理服務(wù)器上安裝 Inter 網(wǎng)關(guān)防病毒組件，在網(wǎng)絡(luò)中的所有桌面客戶機(jī)上安裝桌面防病毒組件，安裝掃描引擎和病毒特征庫更新服務(wù)器，負(fù)責(zé)全網(wǎng)防病毒系統(tǒng)的掃描引擎和病毒特征庫的及時(shí)升級更新，安裝防病毒管理控制中心，負(fù)責(zé)對防病毒系統(tǒng)進(jìn)行統(tǒng)一管理。支持基于 PKI 的應(yīng)用審計(jì)，能在有策略配置的指導(dǎo)下實(shí)時(shí)或定時(shí)采集各信息系統(tǒng)產(chǎn)生的數(shù)據(jù)，并進(jìn)行有效的轉(zhuǎn)換和整合，以滿足系統(tǒng)安全管理員的安全數(shù)據(jù)挖掘需求。 （ 4）日志快速查詢。作為安全應(yīng)用支撐平臺重要組成部分的證書服務(wù)系統(tǒng)是建設(shè)重點(diǎn)。具體的建設(shè)內(nèi)容為： （ 1）二級證書認(rèn)證中心（ CA） 二級 證書認(rèn)證中心（ CA） 負(fù)責(zé)給所屬用戶發(fā)放和管理支持各種應(yīng)用的數(shù)字證書，提供證書的查詢驗(yàn)證，并負(fù)責(zé) 將上級 CA的信用通過向大量最終用戶發(fā)證縱向擴(kuò)散。 ⑤ 證書管理服務(wù) ：提供證書認(rèn)證策略及操作策略的管理；對自身證書進(jìn)行安全管理；對內(nèi)部管理員數(shù)字證書、操作員數(shù)字證書進(jìn)行統(tǒng)一管理；支持個(gè)別處理和批處理方式發(fā)放數(shù)字證書。 證書查詢驗(yàn)證服務(wù)系統(tǒng)的功能與接口要求是： ① 目錄管理與證書查詢服務(wù) 根據(jù)系統(tǒng)網(wǎng)絡(luò)設(shè)置需求，采用集中式與分布式兩種方式構(gòu)建目錄管理服務(wù)，提供以下安全服務(wù)功能：證書和證書撤消列表的發(fā)布、下載、更新、恢復(fù)；基于 LDAP 技術(shù)的目錄訪問控制服務(wù)；目錄查詢，即用戶或應(yīng)用系統(tǒng)利用數(shù)字證書中標(biāo)識的 CRL 地址，利用LDAP 目錄服務(wù)技術(shù)下載 CRL，檢驗(yàn)證書有效性。用戶包括 證書認(rèn)證中心 、 下級 KMC、 特定用戶群或設(shè)備。 ⑩ 支持密鑰 5 年保存期。 ② 統(tǒng)一的安全接口 ：利用安全中間件技術(shù)對底層的加密算法進(jìn)行對象化抽象，為應(yīng)用提供相對穩(wěn)定的統(tǒng)一安全服務(wù)接口。資源管理者通過授權(quán)管理服務(wù)系統(tǒng)為資源使用者分配資源訪問權(quán)限，并加以簽名。 d）角色管理：包括角色的制定、編輯、更新。 ② 資料維護(hù) 該類交易包括對系統(tǒng)的基本資料的增、刪、改等操作。敏感類資料維護(hù)交易，如：對參 保職工身份證的修改、對參保職工工作日期的修改，對參保職工繳費(fèi)工資的修改等，這類操作的結(jié)果將直接對社?；鸬恼魇栈騻€(gè)人待遇的享受造成影響。 2．系統(tǒng)建設(shè)目標(biāo)及建設(shè)內(nèi)容 在系統(tǒng)建設(shè)過程中，不僅考慮數(shù)據(jù)中心端的容錯(cuò)，還應(yīng)該考慮對重要關(guān)鍵業(yè)務(wù)的系統(tǒng)進(jìn)行異地容災(zāi)備份和對重要數(shù)據(jù)的定時(shí)和實(shí)時(shí)的備份。要確保整個(gè)系統(tǒng)能夠正常運(yùn)行，必須保證系統(tǒng)所涉及的每個(gè)層面、每個(gè)環(huán)節(jié)都正常工作。 （ 4）容錯(cuò)、容災(zāi)系統(tǒng)的高可擴(kuò)展性 隨著 勞動和社會保障部門電子政務(wù)系統(tǒng)建設(shè) 的逐步加快 ，信息業(yè)務(wù)的不斷擴(kuò)展，容錯(cuò)、容災(zāi)系統(tǒng)的建設(shè)必須考慮今后的業(yè)務(wù)發(fā)展，必須具有高可擴(kuò)展性。 異地容災(zāi)是在本地發(fā)生大災(zāi)難時(shí)由異地設(shè)備提供業(yè)務(wù)容災(zāi)恢復(fù)。 同時(shí)，數(shù)據(jù)復(fù)制按復(fù)制間隔時(shí)間的長短可以分為如下幾個(gè)模式： ① 定期復(fù)制 定期復(fù)制通常是以間隔多少小時(shí)為單位進(jìn)行數(shù)據(jù)復(fù)制。 缺點(diǎn)：對數(shù)據(jù)中心的業(yè)務(wù)應(yīng)用性能影響較大；受網(wǎng)絡(luò)帶寬的影響，容易產(chǎn)生寫數(shù)據(jù)的延遲；在完成一個(gè)寫的操作，需要跨越多個(gè)主機(jī)節(jié)點(diǎn)，影響 I/O 操作的性能。 缺點(diǎn)：基于主機(jī)的復(fù)制要使用系統(tǒng) CPU 的資源。 ② 溫備份：有災(zāi)備運(yùn)行系統(tǒng)安裝場地、后備運(yùn)行主機(jī)和通訊設(shè)備，后備運(yùn)行系統(tǒng)已安裝配置成與生產(chǎn)系統(tǒng)相同或相似的系統(tǒng)和網(wǎng)絡(luò)運(yùn)行環(huán)境，安裝了應(yīng)用系統(tǒng)業(yè)務(wù)定期備份數(shù)據(jù)。 缺點(diǎn)：設(shè)備投資大，通信費(fèi)用高，通信環(huán)境要求高，平時(shí)運(yùn)行管理較復(fù)雜。 ③ 熱備份：災(zāi)備運(yùn)行系統(tǒng)處于聯(lián)機(jī)狀態(tài)，生產(chǎn)系統(tǒng)通過高速通信線路將數(shù)據(jù)實(shí)時(shí)傳送到災(zāi)備系統(tǒng)，保持災(zāi)備系統(tǒng)與生產(chǎn)系統(tǒng)數(shù)據(jù)的同步。 ① 冷備份：災(zāi)備運(yùn)行系統(tǒng)未安裝或未配置成與生產(chǎn)系統(tǒng)相同或相似的運(yùn)行環(huán)境 ， 應(yīng)用系統(tǒng)數(shù)據(jù)沒有及時(shí)裝入備份系統(tǒng)。 缺點(diǎn)：做為一個(gè)容災(zāi)方案還不全面；管理和維護(hù)比較復(fù)雜；只支持異步或定期復(fù)制；備份服務(wù)器和生產(chǎn)服務(wù)器有差異。 優(yōu)點(diǎn)：這種復(fù)制方式性能最優(yōu)；對數(shù)據(jù)中心業(yè)務(wù)應(yīng)用的性能影響比較??；在災(zāi)備中心數(shù)據(jù)可以立即可用。中端異地容災(zāi)與高端 異地容災(zāi)大部分相同，所不同的是對重要業(yè)務(wù)采用中端容災(zāi)硬件和軟件，有數(shù)據(jù)丟失，業(yè)務(wù)短暫間斷，投資成本較低。 4．災(zāi) 難恢復(fù)基本模式分析 （ 1）本地容錯(cuò) 本地故障、錯(cuò)誤可以分為幾種類型：網(wǎng)絡(luò)設(shè)備宕機(jī)、服務(wù)器宕機(jī)、數(shù)據(jù)庫宕機(jī)、存儲設(shè)備宕機(jī)、線路中斷、操作系統(tǒng)故障、應(yīng)用系統(tǒng)故障、硬件設(shè)備故障、磁盤故障。為此，市級 數(shù)據(jù)中心需要一個(gè)智能的容錯(cuò)、容災(zāi)系統(tǒng)。 （ 3）提供數(shù)據(jù)中心和容災(zāi)中心本地?cái)?shù)據(jù)備份。 （十） 容災(zāi)備份中心系統(tǒng)建設(shè) 1．概述 隨著社會保險(xiǎn)信息化建設(shè)的逐步發(fā)展，業(yè)務(wù)系統(tǒng)的數(shù)據(jù)處理量和數(shù)據(jù)存儲量越來越大。同時(shí)，將系統(tǒng)操作權(quán)限與個(gè)人數(shù)字證書關(guān)聯(lián)在一起，不同的數(shù)字證書有不同的操作權(quán)限。 分布式授權(quán)服務(wù)系統(tǒng)的功能與接口要求是： a）簽名授權(quán)：根據(jù)用戶的資源授權(quán)信息等數(shù)據(jù)制定訪問授權(quán)列表， 并完成用戶對列表的簽名。 集中式授權(quán)系統(tǒng)的功能要求是： a）用戶管理：提供管理用戶信息功能，包括用戶注冊、注銷、修改等。 密碼服務(wù)系統(tǒng) 的性能要求是： RSA 算法密鑰長度 1024－2048bits， ECC算法密鑰長度 192bits?？蛻舳说拿艽a服務(wù)由實(shí)體鑒別密碼器提供，服務(wù)器端由加密服務(wù)器提供。 ⑥ 密鑰撤消：通過 審核注冊機(jī)構(gòu) 證書認(rèn)證中心 ，訪問密鑰管理中心實(shí)施密鑰撤消。在勞動和社會保障部布署一個(gè)根密鑰管理中心。 證書查詢驗(yàn)證服務(wù)體系基于分布式計(jì)算技術(shù)，采用“分布 式服務(wù)”的模式，對應(yīng)勞動和社會保障部、省級的證書認(rèn)證中心，根據(jù)行政管理和地域不同分布式部署證書查詢驗(yàn)證服務(wù)系統(tǒng)。 ② 證書申請服務(wù) ：用戶通過網(wǎng)絡(luò)登錄到注冊系統(tǒng)在線申請證書，或到指定的注冊機(jī)構(gòu)離線申請證書。 我 市勞動保障證書服務(wù)系統(tǒng)，原則上不建設(shè)自己的 CA 中心，直接使用勞動和社會保障部 CA 中心來生產(chǎn)證書，只需要建立 RA 中心及分布式的證書查詢驗(yàn)證服務(wù) 系統(tǒng)（ LDAP服務(wù)器和 OCSP 服務(wù)器）即可。安全審計(jì)模塊具有自保護(hù)功能，防止用戶對審計(jì)文件和系統(tǒng)的非法修改，保證審計(jì)系統(tǒng)和安全日志文件的完整性。 （ 2）具有完整的網(wǎng)絡(luò)日志功能，詳細(xì)記錄每個(gè)用戶的網(wǎng)絡(luò)訪問行為。 通過對網(wǎng)絡(luò)中的病毒掃描集中控制，建立各種定時(shí)任務(wù)，統(tǒng)一集中觸發(fā)，然后由各被管理機(jī)器運(yùn)行，同時(shí)可對日志文件的各種格式進(jìn)行控制。具體包括網(wǎng)絡(luò)模擬攻擊、漏洞檢測、報(bào)告服務(wù)進(jìn)程，以及評測風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施等功能。 （ 5）能夠檢測有害的內(nèi)容，例如：反動信息、暴力信息等?？刂浦行暮透魈綔y引擎間的信息交換通過加密方式進(jìn)行。 ⑩ 具備與 IDS 設(shè)備聯(lián)動能力。 ② 對 HTTP 協(xié)議可以進(jìn)行命令級控制及 URL、關(guān)鍵字過濾，并過濾 Java Applet、 ActiveX 等小程序。 ② 路由模式：防火墻本身構(gòu)成 3 個(gè)網(wǎng)絡(luò)間的路由器， 3 個(gè)接口分別具有不同的 IP 地址。 1．防火墻 在市業(yè)務(wù)專網(wǎng)的各網(wǎng)絡(luò)節(jié)點(diǎn)的出入口處和局域網(wǎng)內(nèi)部不同安全域之間布置防火墻設(shè)備。對于前者的備份恢復(fù)，由于應(yīng)用系統(tǒng)穩(wěn)定性較高，可采用一次性的全備份，以防止當(dāng)系統(tǒng)遭到任何程 度的破壞，都可以方便快速地將原來的系統(tǒng)恢復(fù)出來。對于 內(nèi)部 應(yīng)用，如 辦公 及其他關(guān)鍵性業(yè)務(wù)系統(tǒng)的安全 ， 對身份認(rèn)證和訪問控制有更高的要求 ， 訪問控制的控制粒度更細(xì) ，在應(yīng)用程序和數(shù)據(jù)庫系統(tǒng)中都應(yīng)有嚴(yán)格的訪問控制機(jī)制 。利用系統(tǒng)漏洞掃描軟件對關(guān)鍵業(yè)務(wù)服務(wù)器系統(tǒng)（如社會保險(xiǎn)管理系統(tǒng)及決策支持系統(tǒng)）、公共的 WWW 服務(wù)器、郵件服務(wù)器、代理服務(wù)器、網(wǎng)管系統(tǒng)服務(wù)器等進(jìn)行定期的安全掃描分析，及時(shí)提供網(wǎng)絡(luò)系統(tǒng)安全狀況評估分析報(bào)告，并根據(jù)分析結(jié)果合理制定 或調(diào)整系統(tǒng)安全策略，以保證這些設(shè)備的安全隱患降至最低 。子網(wǎng)的劃分按照業(yè)務(wù)系統(tǒng)類別、部門級別、用戶權(quán)限等因素來進(jìn)行，并以最大子網(wǎng)安全隔離來設(shè)置子網(wǎng)間的訪問控制；可結(jié)合基于交換機(jī)端口的 VLAN技術(shù)和基于節(jié)點(diǎn) MAC地址的 VLAN 技術(shù)，實(shí)現(xiàn)局域網(wǎng)安全控制和隔離； ③ 處于基本安全層的勞動保障系統(tǒng)內(nèi)部資源區(qū)、對相關(guān)單位資源區(qū)、和非安全層的公共信息服務(wù)應(yīng)用區(qū)，作為內(nèi)網(wǎng)和外網(wǎng)進(jìn)行資源共享、數(shù)據(jù)交換和信息服務(wù)的安全隔離帶，在網(wǎng)絡(luò)的互連邊界上利用專用網(wǎng)絡(luò)安全設(shè)備（如防火墻）建立安全防護(hù)，或在邊界路由設(shè)備上進(jìn)行訪問控制 ACL 等安全策略的配置，以有效地控制外界用戶和局域網(wǎng)的信息交換； 關(guān)于 ACL 的配置，在對外邊界路由器上設(shè)置粗略的訪問控制過濾規(guī)則，形成內(nèi)部網(wǎng)絡(luò)的第一道防護(hù)線，在內(nèi)部網(wǎng)上使用過濾規(guī)則，形成系統(tǒng) 之間的訪問控制和邏輯隔離。 2．網(wǎng)絡(luò)安全策略 （ 1）網(wǎng)絡(luò)邊界安全策略 社會保險(xiǎn)網(wǎng)絡(luò)層安全的設(shè)計(jì)和建設(shè)采用硬件保護(hù)與軟件保護(hù)、靜態(tài)防護(hù)與動態(tài)防護(hù)相結(jié)合，由外向內(nèi)多級防護(hù)的總體策略。 備份中心要有足夠帶寬確保與主中心的數(shù)據(jù)同步，有足夠的處理能力來接管主中心的業(yè)務(wù)， 要確?？焖倏煽颗c主中心的應(yīng)用切換。對于臨時(shí)構(gòu)造統(tǒng)計(jì)報(bào)表并下發(fā)，以及原始數(shù)據(jù)抽樣方式，指令為臨時(shí)下達(dá)，操作時(shí)則要核實(shí)下達(dá)指令者的有效身份和操作權(quán)限，且不可抵賴；其余安全需求同固定周期固定報(bào)表方式。對于政策法規(guī)和繳費(fèi)比例等公開性信息，無須在應(yīng)用層做安全控制。 ② 防止非法的網(wǎng)絡(luò)路由接入，阻止非法者竊聽、竊取、篡改網(wǎng)絡(luò)數(shù)據(jù)，防范通過遠(yuǎn)程訪問非法接入； ③ 能夠?qū)?IP 數(shù)據(jù)包進(jìn)行過濾； （ 2）入侵監(jiān)測與實(shí)時(shí)監(jiān)控需求 ① 能夠定期自動地對網(wǎng)絡(luò)安全進(jìn)行掃描和風(fēng)險(xiǎn)評估，發(fā)現(xiàn)網(wǎng)絡(luò)安全弱點(diǎn)和漏洞； ② 能夠監(jiān)測和發(fā)現(xiàn)入侵行為，并對網(wǎng)絡(luò)違規(guī)行為能夠?qū)崟r(shí)報(bào)警和響應(yīng)； ③ 能夠?qū)ο到y(tǒng)中所有與安全有關(guān)事件進(jìn)行跟蹤審計(jì)； ④ 入侵監(jiān)測系統(tǒng)需要與防火墻聯(lián)動，實(shí)現(xiàn)網(wǎng)絡(luò)安全域的動態(tài)防護(hù)。 1．物理安全需求分析 物理安全是社會保 險(xiǎn)信息系統(tǒng)安全運(yùn)行的前提，是安全系統(tǒng)的重要組成部分。 （四）系統(tǒng)安全體系結(jié)構(gòu) l．系統(tǒng)安全層次與結(jié)構(gòu) 社會保險(xiǎn)信息系統(tǒng)是以開放的層次化的網(wǎng)絡(luò)系統(tǒng)作為支撐平臺，為使各種信息安全技術(shù)功能合理地作用在網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次上，從技術(shù)和管理上保證安全策略得以完整準(zhǔn)確地實(shí)現(xiàn)，安全需求得以滿足，確