【正文】 民政和外網“xx社區(qū)服務”門戶系統(tǒng)之間的安全策略，其要求在網絡聯通的條件下，實現安全的信息交流。安全隔離的安全強度要求高于邏輯隔離，但不等同于物理隔離，具體實現措施是：178。 在鏈路層，設置VPN，在“xx社區(qū)服務”門戶系統(tǒng)與外網門戶之間建立虛擬專線；178。 在傳輸層，建立防火墻的安全訪問控制策略，只開通80端口，限制可以穿過防火墻通信的設備IP地址和只允許HTTPS協(xié)議支持；178。 在數據層，使用經過國家密碼主管部門認證的加密算法和加密設備，建立SSL加密傳輸通道。178。 在應用層，應用系統(tǒng)之間通過消息交換機制建立安全鏈路，確保所有數據交換都是由社區(qū)數據聚合平臺一端主動發(fā)起。邏輯隔離層的可信信息傳輸邏輯隔離是針對“xx社區(qū)服務”門戶系統(tǒng)和各社區(qū)內網之間的安全策略，其隔離機制是：178。 在傳輸層，建立防火墻的安全訪問控制策略，只開通80端口，限制可以穿過防火墻通信的設備IP地址和只允許HTTPS協(xié)議支持；178。 在數據層，使用經過國家密碼主管部門認證的加密算法和加密設備，建立SSL加密傳輸通道。178。 在應用層，應用系統(tǒng)之間通過消息交換機制建立安全鏈路。信息安全域“xx社區(qū)服務”門戶系統(tǒng)上的信息分發(fā)系統(tǒng)要負責眾多保密信息，所以信息安全問題尤其重要。例如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等，都將對“xx社區(qū)服務”門戶系統(tǒng)的正常運行構成嚴重威脅。為保證信息安全，有必要對“xx社區(qū)服務”門戶系統(tǒng)的信息和網絡系統(tǒng)進行專門的安全設計，劃分不同信息安全域。信息安全域的劃分可以有多種規(guī)則：178。 基于業(yè)務應用系統(tǒng)，可以分為：服務業(yè)務、監(jiān)督監(jiān)察、決策支持、系統(tǒng)管理；178。 基于信息資源服務有償或無償，可以分為：有償服務域、無償共享域；以上各種劃分的核心就是同一信息安全域內信息安全等級相同，不同安全等級的信息安全域采取不同的安全策略。安全等級劃分安全等級劃分原則是指：具體業(yè)務需求決定其業(yè)務信息的安全等級。本項目以業(yè)務信息為標準，劃分安全等級如下：178。 安全等級一：不會為用戶或服務提供方帶來任何損失，并且其服務內容與具體用戶無關。如政府公告、新聞等等；178。 安全等級二：不會為用戶或服務提供方帶來任何損失，但是其服務內容與具體用戶有關。如監(jiān)督、投訴、舉報等等；178。 安全等級三：涉及到個人隱私等關鍵數據的業(yè)務。保護網絡與基礎設施網絡和主機設備加固主機加固：主要是指將主機部署在防火墻的DMZ端，依靠DMZ配置提供了實施附加安全措施的自然層。“xx社區(qū)服務”門戶系統(tǒng)上下列設備采取主機加固：社區(qū)平臺的WEB/應用服務器硬件加固：主要是指提高設備硬件構架的穩(wěn)定性，如配置雙電源、服務器選用專有服務器技術的架構?！皒x社區(qū)服務”門戶系統(tǒng)上所有服務器均要采用服務器專有技術構架的設備并配置雙電源。網絡設備需要配置雙電源。軟件加固：主要是指對設備的操作系統(tǒng)進行內核升級或安裝補丁?！皒x社區(qū)服務”門戶系統(tǒng)上所有主機需要采用軟件加固。容錯容錯在本項目中主要體現在關鍵主機的備份(ha)與集群、重要數據的備份等措施上：“xx社區(qū)服務”門戶系統(tǒng)WEB/應用服務器：承載大量用戶的海量訪問，采用高性能服務器。目錄服務器：用戶身份管理基礎架構，處理的是身份認證類的小量數據。服務器內存儲的數據將定期作增量備份，備份數據存儲在數據庫服務器中。數據庫服務器：作為外網門戶網站的數據存儲服務器，其負責著網站信息的提供，用戶信息的存儲的存儲與備份，建議采用集群技術，提供高可靠性、可擴充性。容災（建議）建立的目的：建立容災系統(tǒng)的目的在于當“xx社區(qū)服務”門戶系統(tǒng)由于火災、地震、嚴重電源故障等原因失去運轉能力后，能快速得到恢復。保護的范圍：由于建立容災系統(tǒng)的投資較大、實施要求高，所以我們只對整個“xx社區(qū)服務”門戶系統(tǒng)中最重要最核心的系統(tǒng)進行容災備份。重點基礎信息資源的數據等，需要進行數據容災備份，以保障“xx社區(qū)服務”門戶系統(tǒng)在系統(tǒng)損毀后很短的時間內恢復運行。容災的方法：建立容災備份中心，將“xx社區(qū)服務”門戶系統(tǒng)數據庫服務器存儲的數據遠程容災備份在容災備份中心。為做到數據容災備份，容災備份中心與“xx社區(qū)服務”門戶系統(tǒng)機房之間建立高速光纖通道，實現數據可以同時存入“xx社區(qū)服務”門戶系統(tǒng)數據庫服務器和容災備份中心的數據庫服務器。按照統(tǒng)一性原則，容災備份中心需要與“xx社區(qū)服務”門戶系統(tǒng)一樣的數據庫服務器和數據存儲設備。 網絡入侵檢測系統(tǒng)設計功能設計網絡入侵檢測系統(tǒng)主要提供功能：178。 根據規(guī)則判別是否有攻擊行為；178。 檢測到攻擊行為時，向管理臺發(fā)送警報；178。 與防火墻進行聯動處理部署設計入侵檢測是一種主動檢測系統(tǒng)是否受到攻擊的網絡安全技術，是防火墻的有效補充。在不影響網絡性能的情況下在業(yè)務平臺核心交換機，在外網門戶核心交換機設置入侵檢測系統(tǒng)。本方案中的IDS（入侵監(jiān)測系統(tǒng)）采取端口鏡像的方式監(jiān)測數據聚合服務器和xx市社區(qū)建設信息化服務器。防火墻系統(tǒng)設計功能設計根據安全保障體系的要求，部署的防火墻主要為了屏蔽網絡通信安全層的訪問攻擊風險，設備應具有如下設計特點：178。 基于OS內核的會話檢測技術，在OS內核實現對應用層訪問控制。它相對于包過濾和應用代理防火墻來講,不但更加成功地實現了對應用層的細粒度控制，同時，更有效保證了防火墻的性能。178。 對不同對象的具體的組成資源，如文件、防火區(qū)域、節(jié)點對象、協(xié)議類型、應用行為、應用類型、管理端口協(xié)議等， 直接進行控制，極大的提高了安全性，并保證了配置的方便性。178。 防火墻的管理采用集中的層次管理結構，實現“防火墻防火區(qū)對象資源”的安全策略定義結構。配置簡單、配置安全性高；管理簡單、維護方便；更好的保證了性能。178。 支持眾多網絡通信協(xié)議和應用協(xié)議，如VLAN、IPX、RIP、IPSEC、PPTP、AppleTalk、BOOTP等，使防火墻適用網絡的范圍更加廣泛。 各防火墻功能如下:千兆防火墻：178。 內網數據的整合由市級聚合服務器完成。民政內網、外網、市級社區(qū)建設信息化平臺三者由千兆防火墻相互隔離，內網不允許訪問外網，防火墻只允許內網的市級聚合服務器向市級社區(qū)建設信息化平臺推送數據，以充分保證內網與外網的隔離以及內網本身的安全性；千兆防火墻同時還保障xx市級社區(qū)建設信息化平臺免受來自Internet的安全威脅。百兆防火墻：178。 民政內網通過百兆防火墻與xx市政府網隔離，防火墻用作地址轉換和信息過濾；防火墻DMZ區(qū)連接社區(qū)事務管理服務器，利用防火墻的信息過濾功能保證其安全。認證網關功能構成1．提供有效的注冊方式，解決各類用戶的身份真實性問題，建立無虛假信息的用戶資料庫；2．支持多種身份認證方式，滿足不同身份憑證的認證需求。3．對各類身份憑證進行在線實時驗證，杜絕非法訪問和超權限訪問；4．對所提供的認證服務進行有效的管理，防止非授權使用；5．對用戶信息、用戶訪問信息、審批服務安全等級等內容進行有效的管理、維護、統(tǒng)計、分析等。同時，提供用戶管理入口，用戶對于自己的憑證可以有效的管理，如掛起，生效，撤銷，限制時期等等；認證流程各功能模塊的描述如下：a) 注冊服務模塊：以WEB方式為用戶提供注冊服務，實現不同安全等級的身份注冊、憑證頒發(fā)、用戶資料管理及銷毀等功能；b) 認證服務模塊：是提供在線身份認證服務功能的接口，包括對用戶憑證的可靠性驗證，返回身份憑證狀態(tài)等等。c) 認證網關數據庫：由認證網關所管理、維護的數據資料，包括用戶信息、憑證信息、業(yè)務服務安全等級等等。d) 管理模塊：以WEB方式提供的網關自身的管理功能，包括用戶資料審核、用戶信息管理、服務安全等級管理、統(tǒng)計分析等等功能。e) LDAP服務器：以目錄服務的方式為“xx社區(qū)服務”門戶系統(tǒng)的各個應用系統(tǒng)提供用戶資料共享的服務。認證機制用戶名/口令憑證的認證機制是：采用哈希值（摘要）進行比對的方式。即，用戶進行系統(tǒng)登錄時，上傳用戶名以及口令的哈希值到網關；網關接收到的用戶名／哈希值后，從數據庫中提取相應用戶的口令，并運算得到哈希值后，進行兩個哈希值的比對，完全符合后，用戶方可登錄。數字證書憑證的認證機制是：采用基于公鑰密碼的證書驗證方式。即，用戶進行系統(tǒng)登錄時，通過握手協(xié)議，互相進行證書驗證及簽名驗證；網關驗證通過后，從用戶證書中提取關鍵信息，與從本地用戶數據庫中的相應內容進行比對，完全符合后，用戶方可登錄。這種認證方式實現了高標準的身份可靠驗證，杜絕了口令網上傳輸所帶來的各種潛在風險，同時通過簽名也保留了用戶登錄的證據。服務接口認證網關服務接口主要包括以下內容：178。 獲取某一審批服務所需要的身份憑證類型；178。 上傳身份憑證的審請驗證信息；178。 驗證身份憑證的有效性；178。 獲取某一具體身份憑證所能辦理的審批服務項；獲取用戶的詳細資料信息；密碼服務系統(tǒng)“xx社區(qū)服務”門戶系統(tǒng)上業(yè)務涉及到的相關信息中包括公眾隱私、商業(yè)秘密和政府機構、社會團體的敏感信息。為確保上述信息在“xx社區(qū)服務”門戶系統(tǒng)和各委辦局業(yè)務系統(tǒng)之間交換信息的完整性、機密性和不可否認性，需要建立密碼服務系統(tǒng)。功能設計密碼服務系統(tǒng)主要解決“xx社區(qū)服務”門戶系統(tǒng)在提供審批服務和進行數據交換時，為保證數據安全、業(yè)務安全而需要的密碼服務，主要包括：n 數據加解密：提供對數據的加密和解密運算功能； n 數字簽名：提供對數據的簽名和簽名驗證運算功能；n 數據摘要：提供對數據進行摘要運算功能，并具有驗證數據完整性功能；本項目中可信信息傳輸采用安全中間件技術，傳輸封裝過程通過密碼服務接口模塊調用密碼處理，對數據進行數據加解密、數字簽名、數據摘要。其中加解密用到的所有密碼算法必須經國家密碼主管部門認可，而且必須是在經國家密碼主管部門批準的密碼設備上運行。 密碼接口調用示意圖密碼服務軟件接口：密碼服務軟件接口對應用系統(tǒng)提供JAVA和C/C++/C等接口。部署設計在“xx社區(qū)服務”門戶系統(tǒng)中，密碼服務器可以考慮不作為單獨的實體，每種密碼服務都以軟件接口的形式向上層應用提供統(tǒng)一的服務接口。漏洞掃描系統(tǒng)設計功能設計：n 定期對系統(tǒng)安全進行漏洞掃描，偵測網絡上的各類設備及其操作系統(tǒng)的安全漏洞n 掃描結果可以生成三種不同類型的報告，供領導、技術主管、技術員等不同級別的人審閱n 隨著“xx社區(qū)服務”門戶系統(tǒng)應用的擴展，靈活的定義偵測類型，方便的豐富擴展列表部署設計：部署在外網門戶網站與“xx社區(qū)服務”門戶系統(tǒng)網絡邊界上，可以兼顧網絡邊界設備和內部網絡設備的漏洞掃描。本項目保護內部網絡主要包括對內部網絡上的連接的主機的入侵檢測，主要分工作站入侵檢測、服務器入侵檢測和病毒防護工作站入侵檢測：n 對工作站的操作系統(tǒng)進行自動實時監(jiān)測，以發(fā)現可能的入侵和越權使用行為。n 重要文件的監(jiān)測功能:監(jiān)測用戶自定義的數據文件和應用程序，監(jiān)測操作系統(tǒng)的重要配置文件。n 對注冊表的操作的監(jiān)測：分析操作系統(tǒng)的注冊表操作，檢查一些關鍵鍵值是否被增加、修改等，發(fā)現可能的木馬植入等信息。n 網絡通信監(jiān)測：分析對網絡服務的連接，檢查是否有已知的攻擊請求。n 對系統(tǒng)事件的監(jiān)測: 通過監(jiān)視系統(tǒng)日志來實現監(jiān)測操作系統(tǒng)的事件。服務器入侵檢測:n 對運行務器進行自動實時監(jiān)測，以發(fā)現可能的入侵和越權使用行為。n 重要文件的監(jiān)測功能：在系統(tǒng)上的任何文件，均可以進行監(jiān)測，監(jiān)測行為包括：文件大小改變，內容篡改，刪除。n 系統(tǒng)內進程行為的監(jiān)測控制功能，防止某些已知的惡意進程的運行。n 網絡端口掃描監(jiān)測：網絡監(jiān)測模塊主動捆綁預定義的端口，并一直監(jiān)聽在一些空閑的端口上，監(jiān)控非法連接 。病毒防護病毒防護分析：病毒防治系統(tǒng)對各類病毒的進行檢測與殺滅，使系統(tǒng)免于病毒的破壞。在網關、服務器、工作站配置病毒防治系統(tǒng)，提供：n 實時病毒掃描和手動病毒掃描功能；n 自動報警及病毒事件處理功能；n 掃描多種壓縮文件功能；n 支持病毒特征庫更新功能；網關病毒防護在防火墻上植入防病毒源代碼，起到從網絡根源屏蔽病毒攻擊的作用。但現在只有少數國外防火墻產品支持網關病毒防護，所以本項目不采用網關病毒防護。主機病毒防護主機病毒防護主要包括服務器病毒防護和工作站病毒防護兩部分?！皒x社區(qū)服務”門戶系統(tǒng)的主機病毒防護應滿足如下設計要求：n 病毒掃描方式靈活，可掃描ZIP、LZH、ARJ、RAR等幾十種壓縮文件；n 病毒事件處理靈活有效，且發(fā)現病毒要實時報警，通知系統(tǒng)管理人員；n 安裝管理方便，升級方式靈活，與網絡管理系統(tǒng)有良好的兼容性；n 自動更新病毒定義文件，病毒定義數據庫要有完善更新的機制。