【導讀】社會保險信息系統(tǒng)不僅是一個涉及多地區(qū)、多部門、多。社會保險系統(tǒng)中存有社會保險各項業(yè)務(wù)的關(guān)鍵數(shù)據(jù)和各單位敏。險，其安全設(shè)計至關(guān)重要。社會保險信息系統(tǒng)網(wǎng)絡(luò)參照國家涉密網(wǎng)。絡(luò)的安全設(shè)計要求進行設(shè)計。框架，以形成符合社會保險信息系統(tǒng)合理、完善的信息安全體系。且實現(xiàn)安全與風險的適度平衡。工程，加強安全管理，保證社會保險信息系統(tǒng)的安全性。2．實現(xiàn)多級的安全訪問控制功能?；诘刂返拇至６仍L問控制和基于用戶及文件的細粒度訪問控制。通過在系統(tǒng)中配備實時監(jiān)控及入侵。安全強度、強化安全管理提供有效的技術(shù)手段。采用網(wǎng)絡(luò)防病毒系統(tǒng)，并與單機。7．建立服務(wù)于勞動保障系統(tǒng)的數(shù)字證書認證服務(wù)基礎(chǔ)設(shè)施。制度，安全管理培訓制度化，確保系統(tǒng)安全措施的執(zhí)行。1．正確處理保密、安全與開放之間的關(guān)系；響應(yīng)、恢復四個方面建立一套全方位的立體信息保障體系；安全特性、安全子系統(tǒng)三個要素。應(yīng)、安全檢測與監(jiān)控、安全備份與恢復等安全機制。的國際安全標準。

　　

【正文】 c）提供客戶端簽名授權(quán)和 服務(wù)器端資源訪問授權(quán)驗證 的應(yīng)用接口，包括 C /C++ /C 及 Java 等接口。 4． CA認證系統(tǒng)的應(yīng)用系統(tǒng)部署 （ 1）社會保險信息系統(tǒng)交易分類 ① 系統(tǒng)登錄 該類交易主要包括操作員的身份認證及權(quán)限分配。 ② 資料維護 該類交易包括對系統(tǒng)的基本資料的增、刪、改等操作。 ③ 系統(tǒng)命令 該類交易通過觸發(fā)或執(zhí)行社會保險應(yīng)用系統(tǒng)中某些固有的命令來實現(xiàn)某些功能。 ④ 數(shù)據(jù)交換 該類交易通過發(fā)送或接收等方式來與其他系統(tǒng)進行數(shù)據(jù)交換。 （ 2） CA 在各類交易應(yīng)用的應(yīng)用 ① 系統(tǒng)登錄類交易的 CA 安全應(yīng)用 a）個人數(shù)字證書的應(yīng)用 由數(shù)字證書認證中心為每位系統(tǒng)操作人員頒發(fā)數(shù)字 證書，用于操作員身份識別。同時，將系統(tǒng)操作權(quán)限與個人數(shù)字證書關(guān)聯(lián)在一起，不同的數(shù)字證書有不同的操作權(quán)限。 b）服務(wù)器端對客戶端的身份認證 用戶在登錄應(yīng)用服務(wù)器時，將客戶端證書、隨機數(shù)、隨機數(shù)簽名同時發(fā)送到服務(wù)器端，由服務(wù)器端驗證客戶端證書。 c）客戶端對服務(wù)器端的身份認證 客戶端通過認證后，服務(wù)器端將服務(wù)器證書、隨機數(shù)、隨機數(shù)簽名發(fā)送到客戶端，由客戶端驗證服務(wù)器端證書。 ② 資料維護類交易的 CA 安全應(yīng)用 根據(jù)操作對象的不同，該類交易可分為敏感類資料維護交易和非敏感類資料維護交易。敏感類資料維護交易，如：對參 保職工身份證的修改、對參保職工工作日期的修改，對參保職工繳費工資的修改等，這類操作的結(jié)果將直接對社?；鸬恼魇栈騻€人待遇的享受造成影響。非敏感類資料維護交易，如：參保職工民族的維護、參保單位聯(lián)系電話的維護等，這類操作的結(jié)果對社保基金的征收及參保職工的待遇都不會造成影響。 ③ 數(shù)字簽名的應(yīng)用 對于敏感類資料維護交易，系統(tǒng)往往需要記錄下進行交易操作的經(jīng)辦人員，這種情況下，我們通過使用數(shù)字簽名，就可以實現(xiàn)操作的不可抵賴性。 社會保險信息系統(tǒng)作為一個大型的應(yīng)用系統(tǒng)，其范圍往往覆蓋了一個城市的所以區(qū)縣，這種情況下，如 果數(shù)據(jù)是通過政務(wù)外網(wǎng)傳送的話，為了防止在數(shù)據(jù)傳輸過程中對敏感數(shù)據(jù)的篡改，也需要對數(shù)據(jù)進行數(shù)字簽名。 （十） 容災備份中心系統(tǒng)建設(shè) 1．概述 隨著社會保險信息化建設(shè)的逐步發(fā)展，業(yè)務(wù)系統(tǒng)的數(shù)據(jù)處理量和數(shù)據(jù)存儲量越來越大。社會保險關(guān)鍵業(yè)務(wù)系統(tǒng)（ 本地業(yè)務(wù)經(jīng)辦如基本養(yǎng)老保險、補充養(yǎng)老保險、基本醫(yī)療保險、補充醫(yī)療保險等 ，異地業(yè)務(wù)經(jīng)辦如 異地領(lǐng)取養(yǎng)老金，在職社會關(guān)系轉(zhuǎn)移，異地就醫(yī)等）運行的持續(xù)性、穩(wěn)定性，業(yè)務(wù)數(shù)據(jù)的完整性、正確性、有效性，會直接關(guān)系到業(yè)務(wù)的生產(chǎn)、管理與決策活動。這就要求對網(wǎng)絡(luò)、通信線路、服務(wù)器主機、存儲等關(guān) 鍵硬件設(shè)備以及各種操作系統(tǒng)、數(shù)據(jù)庫，應(yīng)用服務(wù)器等軟硬件的故障恢復和容災備份進行全面的、整體的考慮和部署。 如果沒有全面的考慮容錯、容災設(shè)計，那么在任何一個環(huán)節(jié)上發(fā)生故障和災難，都會導致業(yè)務(wù)無法正常進行，造成重要數(shù)據(jù)的丟失、破壞，相關(guān)的業(yè)務(wù)系統(tǒng)也會受到影響，給國家?guī)頁p失，給廣大用戶帶來不便，嚴重時更帶來重大的社會影響和政治影響。 2．系統(tǒng)建設(shè)目標及建設(shè)內(nèi)容 在系統(tǒng)建設(shè)過程中，不僅考慮數(shù)據(jù)中心端的容錯，還應(yīng)該考慮對重要關(guān)鍵業(yè)務(wù)的系統(tǒng)進行異地容災備份和對重要數(shù)據(jù)的定時和實時的備份。這樣不但保證了關(guān)鍵業(yè)務(wù)數(shù)據(jù)的不 丟失性和高安全性而且還避免了當數(shù)據(jù)中心發(fā)生意外災難時業(yè)務(wù)中斷時間過長，將損失降到最低點。 系統(tǒng)的容錯、容災建設(shè) 目標 是滿足 市級 數(shù)據(jù)中心經(jīng)辦業(yè)務(wù)系統(tǒng)等的容錯和容災建設(shè)需求，容災中心系統(tǒng)建設(shè)的內(nèi)容包括有： （ 1）面向數(shù)據(jù)中心提供全面的網(wǎng)絡(luò)通訊設(shè)備、通訊線路、存儲網(wǎng)絡(luò)設(shè)備的全面容錯和異地容災。 （ 2）面向數(shù)據(jù)中心提供部分關(guān)鍵業(yè)務(wù)系統(tǒng)的容錯和異地容災。 （ 3）提供數(shù)據(jù)中心和容災中心本地數(shù)據(jù)備份。 結(jié)合系統(tǒng)建設(shè)的范圍和內(nèi)容，容災中心系統(tǒng)的建設(shè)包括社會保險本地和異地經(jīng)辦業(yè)務(wù)系統(tǒng)和證書服務(wù)系統(tǒng)的容災備份。 3．系統(tǒng)建設(shè)原則 和要求 對關(guān)鍵的網(wǎng)絡(luò)系統(tǒng)、應(yīng)用業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的故障保護和容災備份是為了保證整個業(yè)務(wù)系統(tǒng)運行的高可用性和安全性，消除系統(tǒng)使用者和操作者的后顧之憂，不同的應(yīng)用環(huán)境要求不同的解決方案來適應(yīng)。在系統(tǒng)設(shè)計時，應(yīng)該滿足以下原則： （ 1）容錯、容災系統(tǒng)的全面性 需保證的業(yè)務(wù)系統(tǒng)涉及多個層面的資源：網(wǎng)絡(luò)層資源、應(yīng)用層資源、數(shù)據(jù)庫層資源。要確保整個系統(tǒng)能夠正常運行，必須保證系統(tǒng)所涉及的每個層面、每個環(huán)節(jié)都正常工作。這就要求我們對需要保證持續(xù)性的關(guān)鍵業(yè)務(wù)系統(tǒng)的所有環(huán)節(jié)實現(xiàn)全面的容錯、容災，避免任意環(huán)節(jié)的故障造成整個業(yè)務(wù)系統(tǒng)的崩 潰。 （ 2）容錯、容災系統(tǒng)的智能性 在系統(tǒng)發(fā)生故障時通常是正在使用的用戶發(fā)現(xiàn)系統(tǒng)異常，通知系統(tǒng)管理員，系統(tǒng)管理員才會跑到每臺設(shè)備上通過手工將問題排除，重新將系統(tǒng)在線。在系統(tǒng)容錯、容災技術(shù)的實現(xiàn)過程中，如果不能將系統(tǒng)的故障和問題自動恢復，那么這始終會是整個容錯、容災系統(tǒng)的一個薄弱環(huán)節(jié)，難以實現(xiàn)高效的、不間斷的服務(wù)。為此，市級 數(shù)據(jù)中心需要一個智能的容錯、容災系統(tǒng)。 （ 3）容錯、容災系統(tǒng)的平臺兼容性 目前，在整個系統(tǒng)中存在著多種 IT 廠商的產(chǎn)品。在設(shè)計容錯、容災系統(tǒng)的時候不能受到某個具體 IT 廠商的產(chǎn)品和技術(shù)限制。所 選產(chǎn)品要有良好的兼容特性，將目前現(xiàn)有和原有的資源充分整合利用，建立跨平臺、開放性的容錯、容災系統(tǒng)。 （ 4）容錯、容災系統(tǒng)的高可擴展性 隨著 勞動和社會保障部門電子政務(wù)系統(tǒng)建設(shè) 的逐步加快 ，信息業(yè)務(wù)的不斷擴展，容錯、容災系統(tǒng)的建設(shè)必須考慮今后的業(yè)務(wù)發(fā)展，必須具有高可擴展性。 （ 5）容錯、容災系統(tǒng)的重點針對性 容錯、容災系統(tǒng)根據(jù)業(yè)務(wù)模塊的不同也需要有一定側(cè)重性，有的業(yè)務(wù)模塊只要求對業(yè)務(wù)數(shù)據(jù)進行備份即可，有的模塊只要求對網(wǎng)絡(luò)進行容錯，有的模塊要求當災難發(fā)生時業(yè)務(wù)系統(tǒng)恢復的時間要很快，等等。因此容錯、容災系統(tǒng)建設(shè)必須滿 足用戶不同的、不斷擴展的容錯、容災需求。 容災備份中心的建設(shè)須滿足以下要求： 備份中心與數(shù)據(jù)中心在地理位置上保持較遠的距離，使得當數(shù)據(jù)中心遭受災害破壞時，不會影響到備份中心； 須保證備份中心與數(shù)據(jù)中心的數(shù)據(jù)同步； 備份中心的所有應(yīng)用系統(tǒng)必須經(jīng)過嚴格的測試，確保業(yè)務(wù)系統(tǒng)能夠正常運行； 備份中心與數(shù)據(jù)中心間網(wǎng)絡(luò)帶寬應(yīng)能保證兩地間數(shù)據(jù)的可靠同步； 備份中心計算機系統(tǒng)有足夠的處理能力來接管數(shù)據(jù)中心的業(yè)務(wù)；同時應(yīng)具有不低于數(shù)據(jù)中心的安全防護能力； 數(shù)據(jù)中心和備份中心的應(yīng)用切換快速可靠，并可進行自動和手動切換。 4．災 難恢復基本模式分析 （ 1）本地容錯 本地故障、錯誤可以分為幾種類型：網(wǎng)絡(luò)設(shè)備宕機、服務(wù)器宕機、數(shù)據(jù)庫宕機、存儲設(shè)備宕機、線路中斷、操作系統(tǒng)故障、應(yīng)用系統(tǒng)故障、硬件設(shè)備故障、磁盤故障。本地容錯是由本地冗余和備份的設(shè)備和軟件組成，本地設(shè)備和軟件發(fā)生故障時，本地冗余和備份的設(shè)備和軟件可以幫助恢復業(yè)務(wù)。 （ 2）異地容災 大 災難 可 分 為 幾個類型：自然災難（地震 、臺風、 洪水 等 ）、 突發(fā) 事件（ 社保業(yè)務(wù)系統(tǒng)中斷、 通訊中斷 、 計算機病毒、計算機 /網(wǎng)絡(luò)犯罪、 火災影響、供水中斷、化學品泄漏、爆炸事件、恐怖活動、戰(zhàn)爭 ） 。大災難使得本地的 網(wǎng)絡(luò)、服務(wù)器、存儲設(shè)備宕機，技術(shù)支持人員不能及時到現(xiàn)場恢復，業(yè)務(wù)系統(tǒng)中斷，從而造成重大損失和災難。 異地容災是在本地發(fā)生大災難時由異地設(shè)備提供業(yè)務(wù)容災恢復。高端異地容災是由本地運行中心和異地備份中心所組成，異地備份中心具有本地運行中心的相同業(yè)務(wù)系統(tǒng)，兩個中心的數(shù)據(jù)是同步的。在無大災難時，本地運行中心正常運行。在有大災難時，關(guān)鍵業(yè)務(wù)的客戶端的請求自動被送往異地備份中心的服務(wù)器，而異地備份中心的數(shù)據(jù)庫提供已同步的數(shù)據(jù)響應(yīng)客戶端的請求，從而保證數(shù)據(jù)的完整性和一致性，保證業(yè)務(wù) 7 24 不間斷運行。中端異地容災與高端 異地容災大部分相同，所不同的是對重要業(yè)務(wù)采用中端容災硬件和軟件，有數(shù)據(jù)丟失，業(yè)務(wù)短暫間斷，投資成本較低。低端異地容災可以對一般業(yè)務(wù)采用遠端磁帶庫和磁盤進行定期備份，業(yè)務(wù)恢復時間長，數(shù)據(jù)丟失多，投資成本最低。 5．災難恢復數(shù)據(jù)分析 從數(shù)據(jù)用途角度分析一般可將需要備份的數(shù)據(jù)分為系統(tǒng)數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)、應(yīng)用數(shù)據(jù)、臨時數(shù)據(jù)；根據(jù)數(shù)據(jù)存貯與管理方式又可分為數(shù)據(jù)庫數(shù)據(jù)、非數(shù)據(jù)庫數(shù)據(jù)、孤立數(shù)據(jù)、遺失數(shù)據(jù)。 從數(shù)據(jù)備份角度講，上述各種不同的數(shù)據(jù)類型需采取不同的備份策略，如采取相應(yīng)的數(shù)據(jù)備份技術(shù)及不同的備份周期，重點保護應(yīng)用數(shù)據(jù) 等。 同時，數(shù)據(jù)復制按復制間隔時間的長短可以分為如下幾個模式： ① 定期復制 定期復制通常是以間隔多少小時為單位進行數(shù)據(jù)復制。 優(yōu)點：數(shù)據(jù)在災備中心可以立即可用。 缺點：在災備中心的數(shù)據(jù)實時性不強；數(shù)據(jù)有不連續(xù)的可能。 ② 異步復制 異步復制通常是以間隔多少分鐘為單位進行數(shù)據(jù)復制。 優(yōu)點：這種復制方式性能最優(yōu)；對數(shù)據(jù)中心業(yè)務(wù)應(yīng)用的性能影響比較小；在災備中心數(shù)據(jù)可以立即可用。 缺點：災備中心的備份節(jié)點比數(shù)據(jù)中心的主節(jié)點的數(shù)據(jù)會稍有延遲；有潛在的數(shù)據(jù)被破壞的可能。 ③ 同步復制 同步復制通常是以間隔多少秒為單位 進行數(shù)據(jù)復制。 優(yōu)點：可以確保最大的數(shù)據(jù)同步（ RPO）；在災備中心數(shù)據(jù)可以立即可用。 缺點：對數(shù)據(jù)中心的業(yè)務(wù)應(yīng)用性能影響較大；受網(wǎng)絡(luò)帶寬的影響，容易產(chǎn)生寫數(shù)據(jù)的延遲；在完成一個寫的操作，需要跨越多個主機節(jié)點，影響 I/O 操作的性能。 為了實現(xiàn)上述數(shù)據(jù)備份的策略，在系統(tǒng)建設(shè)時采用如下幾種技術(shù)來實現(xiàn)： ① 基于硬件的數(shù)據(jù)復制 優(yōu)點：不消耗應(yīng)用系統(tǒng) CPU 資源。 缺點：存儲平臺沒有選擇的余地，比較固定；同步模式下復制的性能不高；異步模式下數(shù)據(jù)的完整性很難確保；定期復制導致數(shù)據(jù)實時性不高，需要的存儲容量更多。 ② 數(shù)據(jù) 庫復制 優(yōu)點：可用于脫機（ OFFHOST） 處理。 缺點：做為一個容災方案還不全面；管理和維護比較復雜；只支持異步或定期復制；備份服務(wù)器和生產(chǎn)服務(wù)器有差異。做為一個全面的容災方案，不建議使用這種方式。 ③ 基于主機復制 優(yōu)點：不依賴與存儲設(shè)備；具有最好的可擴展性；在同步復制模式下，復制效率高、可利用存在的網(wǎng)絡(luò)，充分利用資源。在異步模式下，可以確保數(shù)據(jù)的完整性、可以長距離實時復制數(shù)據(jù)。 缺點：基于主機的復制要使用系統(tǒng) CPU 的資源。 6．災難恢復模式分析 容災按級別可分為數(shù)據(jù)容災和應(yīng)用容災兩部分： （ 1）數(shù)據(jù)容 災： 在異地建立一個數(shù)據(jù)拷貝，這個拷貝在本地生產(chǎn) 系統(tǒng)的 “數(shù)據(jù)系統(tǒng) ”出現(xiàn)不可恢復的 “物理故障 ”時，提供可用的數(shù)據(jù)。 （ 2）應(yīng)用容災： 在異地提供一個完整的應(yīng)用和數(shù)據(jù)系統(tǒng)拷貝（不 一定要求同當量），這個拷貝在本地生產(chǎn)系統(tǒng)出現(xiàn)不可恢復的“物理故障”時，提供即時可用的生產(chǎn)系統(tǒng)。 容災系統(tǒng)按投資成本與恢復所需時間的不同包括如下模式： Tier 0 沒有異地數(shù)據(jù) Tier 1 PTAM 卡車運送訪問方式 Pickup Truck Access Method Tier 2 PTAM 卡車運送訪問方式 + 熱備份中心 PTAM + Hot Site Tier 3 電子鏈接 Electronic Vaulting Tier 4 – 批量 /在線數(shù)據(jù)庫鏡像與日志 Active Secondary Site Tier 5 – 兩中心兩階段確認 TwoSite TwoPhase Commit Tier 6 0 數(shù)據(jù)丟失遠程磁盤鏡像與自動切換 Zero Data Loss 根據(jù)容災恢復時間和數(shù)據(jù)恢復程度等不同容災恢復要求，將這 6種容災備份模式劃分為三個等級。 ① 冷備份：災備運行系統(tǒng)未安裝或未配置成與生產(chǎn)系統(tǒng)相同或相似的運行環(huán)境 ， 應(yīng)用系統(tǒng)數(shù)據(jù)沒有及時裝入備份系統(tǒng)。一旦發(fā)生災難，需安裝配置所需的運行環(huán)境，用數(shù)據(jù)備份介質(zhì)（磁帶或光盤）恢復應(yīng)用數(shù)據(jù)，手工逐筆或自動批量追補孤立數(shù)據(jù)，將用戶通過通訊線路切換到備份系統(tǒng)，恢復業(yè)務(wù)運行。 優(yōu)點：設(shè)備投資較少，節(jié)省通信費用，通信環(huán)境要求不高。 缺點：恢復時間較長，一般要數(shù)天至一周，數(shù)據(jù)完整性與一致性較差。 ② 溫備份：有災備運行系統(tǒng)安裝場地、后備運行主機和通訊設(shè)備，后備運行系統(tǒng)已安裝配置成與生產(chǎn)系統(tǒng)相同或相似的系統(tǒng)和網(wǎng)絡(luò)運行環(huán)境，安裝了應(yīng)用系統(tǒng)業(yè)務(wù)定期備份數(shù)據(jù)。一旦發(fā)生災難，直接使用定期備份數(shù)據(jù)，手 工逐筆或自動批量追補孤立數(shù)據(jù)或?qū)⒂脩敉ㄟ^通訊線路切換到備份系統(tǒng)，恢復業(yè)務(wù)運行。 優(yōu)點：設(shè)備投資較少，通信環(huán)境要求不高。 缺點：恢復時間長，一般要十幾小時至數(shù)天，數(shù)據(jù)完整性與一致性較差。 ③ 熱備份：災備運行系統(tǒng)處于聯(lián)機狀態(tài)，生產(chǎn)系統(tǒng)通過高速通信線路將數(shù)據(jù)實時傳送到災備系統(tǒng)，保持災備系統(tǒng)與生產(chǎn)系統(tǒng)數(shù)據(jù)的同步。也可定時在災備系統(tǒng)上恢復生產(chǎn)系統(tǒng)的數(shù)據(jù)。一旦發(fā)生災難，不用追補或只需追補很少的孤立數(shù)據(jù)，備份系統(tǒng)可快速接替生產(chǎn)系統(tǒng)運行，恢復業(yè)務(wù)。 優(yōu)點：恢復時間短，一般幾十分鐘到數(shù)小時，數(shù)據(jù)完整性與一致性最好，數(shù)據(jù)丟失 可能性最小。 缺點：設(shè)備投資大，通信費用高，通信環(huán)境要求高，平時運行管理較復雜。 7． 市級 容災備份中心建設(shè)模式分析 對于市數(shù)據(jù)中心數(shù)據(jù)備份和容災系統(tǒng)的建設(shè)，應(yīng)結(jié)合自身業(yè)務(wù)系統(tǒng)的穩(wěn)定性、有效性和 不間斷 需求，以及網(wǎng)絡(luò)系統(tǒng)的實際情況進行考慮。由于 市 級數(shù)據(jù)中心（包含 市本級 經(jīng)辦業(yè)務(wù)系統(tǒng)）數(shù)據(jù)