【導讀】利用信息技術，整合和優(yōu)化業(yè)。務全過程的管理。通過住房公積金信息網(wǎng)絡對住房公。公積金資金風險，保障資金安全運行。制定和調(diào)整各項政策提供支持。更大范圍的數(shù)據(jù)交換和更高層次的宏觀決策提供支持。位的信息查詢和政策咨詢服務。在新建系統(tǒng)和系統(tǒng)升級時執(zhí)行全省統(tǒng)一標準,按事權、財權分級管理的原則，由省、市兩級分別負擔建設所需資金。與財政、工商、稅務、銀行、房產(chǎn)、向交換可在市級或省級完成。將各級住房公積金管理業(yè)務統(tǒng)一納入住。按照經(jīng)濟實用、成熟先進、持續(xù)穩(wěn)定的要求，確。在同等條件下，優(yōu)先購買。使用國產(chǎn)信息產(chǎn)品。接的建設；負責對各市州信息系統(tǒng)建設進行統(tǒng)一組織和指導，并建立有效的系統(tǒng)維護機制。運作及核算管理，建立所轄范圍內(nèi)不依靠銀行的獨立數(shù)據(jù)中心，管信息系統(tǒng)，建立省級數(shù)據(jù)中心，并通過與各地商業(yè)銀行聯(lián)網(wǎng)，與銀行聯(lián)合辦理公積金聯(lián)。名銀聯(lián)卡，集身份證、賬號、公積金憑證為一體，依靠銀行平臺，可自動傳輸貸款數(shù)據(jù)，支持多種還款方式。

　　

【正文】 安全 物理安全是保護計算機網(wǎng)絡設備、設施以及其他媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 （ 1）物理安全的內(nèi)容 主要包括三個方面： ① 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護； ② 設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等； 湖北省住房公積金綜合信息系統(tǒng)建設總體方案 33 ③ 媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。 （ 2）物理安全措施 為保證住房公積 金綜合信息系統(tǒng)的物理安全，在網(wǎng)絡系統(tǒng)安全建設中可主要通過幾個方面來實現(xiàn)： ① 機房環(huán)境和場地安全要求 住房公積金綜合信息系統(tǒng)計算機機房的建設須符合國家安全 保 密 等 部門 要 求 以及 《 電子 計 算 機機 房 設 計規(guī) 范 》（ GB5017493）、《計算機場地安全要求》（ GB936188）等國家的相關安全標準，機房場地與設施的安全管理滿足機房場地選擇、防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災報警及消防措施等安全技術要求，保證設備的物理安全；機房的安全等級應符合 GB936188 的 A 類； ② 在主機房設備布局上，按 應用系統(tǒng)的不同安全控制級別和不同功能進行區(qū)域劃分。特別是運行有 渉 密性質(zhì)的核心業(yè)務系統(tǒng)設備，社會保障 IC 卡密鑰設備等須布置在獨立的屏蔽機房環(huán)境中，以進行涉密信息傳輸和處理； ③ 對劃分的區(qū)域?qū)嵭蟹謪^(qū)控制，根據(jù)工作需要確定能否進入相應的區(qū)域；采取門禁等安全措施，嚴格控制進入各分區(qū)人員； ④ 在機房內(nèi)設置安全防盜報警裝置和監(jiān)視系統(tǒng)來實現(xiàn)防盜、防毀，保障設備的安全； ⑤ 為防止因電網(wǎng)電壓波動、干擾、斷電等對系統(tǒng)的影響，根據(jù)實際情況在機房內(nèi)配備斷電后持續(xù)供電的 UPS； ⑥ 按照相關設計規(guī)范和技術要求，在機房設計和建設 中做好靜電防護設施、防雷裝置和接地保護系統(tǒng)； 湖北省住房公積金綜合信息系統(tǒng)建設總體方案 34 ⑦ 凡是 渉 密網(wǎng)絡須符合國家安全保密等部門的有關要求，布線采用光纖和屏蔽雙絞線；接入端須放置干擾器，以減少或干擾擴散出去的空間信號，防止計算機輻射信息的泄漏； ⑧ 對于重要的數(shù)據(jù)要進行備份，備份數(shù)據(jù)的存放位置應符合 GBJ4582 中規(guī)定的一級耐火等級，符合防火、防高溫、防水、防震等要求；定期對備份數(shù)據(jù)進行檢查，保證其可用性等； ⑨ 制定嚴格的機房和設備管理制度，以及信息拷貝、介質(zhì)保存出入庫與銷毀的管理制度。 （三）網(wǎng)絡環(huán)境安全 （ 1）訪問控制技術 訪問是主體對客體 實施行為的能力；訪問控制是以某種方式限制或授予這種能力。訪問控制以 Reference Monitor 的形式工作，或者說是類似網(wǎng)關、接口和邊界的形式。 根據(jù)應用系統(tǒng)目的和安全需求，網(wǎng)絡系統(tǒng)劃分為五個層次上的不同安全區(qū)域。具體是：核心層（業(yè)務網(wǎng)、社?？荑€區(qū)），安全層（本級交換網(wǎng)資源區(qū)、交換網(wǎng)內(nèi)網(wǎng)等），可信任層（非本級交換網(wǎng)資源區(qū)等），非安全層（網(wǎng)站和郵件等公共訪問區(qū)），危險層（公共 Inter 網(wǎng)，相關單位部門網(wǎng)絡）。各層安全性逐層遞減。 住房公積金綜合信息系統(tǒng)各安全域中的安全需求和安全級別不同，網(wǎng)絡層的安 全主要是在各安全域間建立有效的安全控制措施，使網(wǎng)間的訪問具有可控性。 ① 處于核心層的網(wǎng)絡應與其他網(wǎng)絡物理隔離。核心層網(wǎng)絡湖北省住房公積金綜合信息系統(tǒng)建設總體方案 35 和其他網(wǎng)絡的信息交換，須采用“軟交換”方式實現(xiàn)，具體：盤交換、隔離網(wǎng)閘。 ② 處于安全層的網(wǎng)絡，安全主要來自局域網(wǎng)內(nèi)部，在局域網(wǎng)中可通過劃分虛擬子網(wǎng)對各安全域間、用戶和安全域間實施安全隔離，提供子網(wǎng)間的訪問控制能力。子網(wǎng)的劃分按照業(yè)務系統(tǒng)類別、部門級別、用戶權限等因素來進行，并以最大子網(wǎng)安全隔離來設置子網(wǎng)間的訪問控制；可結(jié)合基于交換機端口的 VLAN 技術和基于節(jié)點 MAC 地址 (也叫網(wǎng)卡地址， 網(wǎng)卡在網(wǎng)絡上的唯一地址 )的 VLAN 技術，實現(xiàn)局域網(wǎng)安全控制和隔離； ③ 在安全層、可信安全層、非安全層的邊界，網(wǎng)絡的互連可利用專用網(wǎng)絡安全設備（如防火墻）建立安全防護，或在邊界路由設備上進行訪問控制 ACL 等安全策略的配置，以有效地控制非法的信息交換。 ④ 在危險層對系統(tǒng)網(wǎng)絡的訪問邊界，通過設置 VPN 網(wǎng)關的方法，提供安全的加密訪問隧道。 （ 2）鑒別與認證 鑒別和認證（ Iamp。A）是通過對網(wǎng)絡系統(tǒng)中的主客體進行鑒別，并且給這些主客體賦予恰當?shù)臉酥?、標簽、證書等。鑒別與認證包含兩個概念。鑒別是主體提供其所聲稱身份的證明； 認證是對身份的有效性、合法性和正確性進行驗證。 網(wǎng)絡基礎設施的訪問應采取相應的身份認證措施，保證對基礎設施的訪問是由合法用戶進行的。 網(wǎng)絡基礎設施的認證功能必須啟用，或者采用第三方的認證措施進行。 湖北省住房公積金綜合信息系統(tǒng)建設總體方案 36 （ 3）可用性 對于數(shù)據(jù)中心局域網(wǎng)、省市縱向交換網(wǎng)的網(wǎng)絡基礎如局域網(wǎng)主干交換機、廣域網(wǎng)路由器、廣域網(wǎng)線路、網(wǎng)絡邊界安全設備（如防火墻）等考慮采用冗余設計，以保證業(yè)務信息的可靠傳輸。網(wǎng)絡基礎設施部分已在網(wǎng)絡系統(tǒng)設計中考慮。 （四）系統(tǒng)及應用安全 （ 1）訪問控制技術 住房公積金綜合信息系統(tǒng)的主機選擇安全可靠的操作系統(tǒng)，絕大部分主機運行 Windows 操作系統(tǒng)，一些關鍵性業(yè)務系統(tǒng)主機運行 UNIX 系統(tǒng)。 （ 2）鑒別與認證 可采用 CA 認證系統(tǒng)。 對于全省的住房公積金 CA 認證系統(tǒng)，統(tǒng)一設在省建設信息中心，全省統(tǒng)一 CA 證書發(fā)放和認證。 （ 3）內(nèi)容安全 內(nèi)容安全方面的典型技術主要包括： ? 加密 —— 保證信息的保密性、完整性和抗抵賴等，是一個非常傳統(tǒng)又非常有效的技術。 ? 內(nèi)容過濾 —— 對于需要關心的一些主題進行內(nèi)容檢查和過濾，可能用關鍵字技術，也可能使用基于知識庫語義識別過濾系統(tǒng)。 ? 防病毒 —— 計算機病毒一般都隱藏在程序和文檔中。目前典型的防病毒 技術就是對信息中的病毒特征代碼進行識別和查湖北省住房公積金綜合信息系統(tǒng)建設總體方案 37 殺。 ? VPN 加密信道 —— 虛擬專用網(wǎng) VPN 通過不可信的公用網(wǎng)絡來建立自己的安全信道。 本系統(tǒng)涉及到兩個主要部分： ? 數(shù)據(jù)安全：數(shù)據(jù)安全包括數(shù)據(jù)的保密性、完整性以及不可抵賴性，要保證數(shù)據(jù)安全，可采用 VPN 網(wǎng)關及加密技術 ? 防病毒和敏感內(nèi)容過濾：住房公積金綜合信息系統(tǒng)運行環(huán)境復雜，網(wǎng)上用戶數(shù)多，同 Inter 有連接等因素，可能會受到來自于多方面的病毒威脅，在辦公網(wǎng)和業(yè)務專網(wǎng)上建立多層次的病毒防衛(wèi)體系，包括桌面客戶端、服務器、郵件系統(tǒng)、 Inter網(wǎng)關上實施防病毒系統(tǒng)的 部署，配置病毒掃描引擎和病毒特征庫數(shù)據(jù)的自動更新方式，實現(xiàn)對網(wǎng)絡病毒的預防、偵測、消毒和預警，以防止病毒對系統(tǒng)和關鍵文檔數(shù)據(jù)的破壞。為了更好的進行病毒的防御，應采取在網(wǎng)絡邊界部署防病毒網(wǎng)關 +網(wǎng)絡版殺毒軟件的方式。 （ 4）可用性 安全可靠的網(wǎng)絡數(shù)據(jù)備份系統(tǒng)不僅在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起保護作用，也在入侵者非法授權訪問或?qū)W(wǎng)絡攻擊及破壞數(shù)據(jù)完整性時起到保護作用，同時也是系統(tǒng)災難恢復的前提。因而在網(wǎng)絡系統(tǒng)中建立安全可靠的網(wǎng)絡數(shù)據(jù)備份系統(tǒng)是保證網(wǎng)絡系統(tǒng)數(shù)據(jù)安全和網(wǎng)絡可靠運行的必要手段。 網(wǎng)絡系統(tǒng)的數(shù)據(jù)備份涉及 兩種類型的備份內(nèi)容：網(wǎng)絡系統(tǒng)中關鍵應用系統(tǒng)及運行的操作系統(tǒng)的備份；網(wǎng)絡系統(tǒng)中數(shù)據(jù)的備份。對于前者的備份恢復，由于應用系統(tǒng)穩(wěn)定性較高，可采用一湖北省住房公積金綜合信息系統(tǒng)建設總體方案 38 次性的全備份，以防止當系統(tǒng)遭到任何程度的破壞，都可以方便快速地將原來的系統(tǒng)恢復出來。對于后者的備份，由于數(shù)據(jù)的不穩(wěn)定性，可分別采用定期全備份、差分備份、按需備份和增量備份的策略，來保證數(shù)據(jù)的安全。在數(shù)據(jù)中心網(wǎng)絡系統(tǒng)中配置數(shù)據(jù)備份系統(tǒng)，以實現(xiàn)本地關鍵系統(tǒng)和重要數(shù)據(jù)的備份。