铜陵市“金保工程”信息系统安全体系架构
2010-09-15胡成峰
胡成峰
(铜陵市人力资源和社会保障局,安徽铜陵 244000)
铜陵市“金保工程”信息系统安全体系架构
胡成峰
(铜陵市人力资源和社会保障局,安徽铜陵 244000)
“金保工程”是关系民生、影响社会稳定的一项系统信息工程,其安全规划建设极为重要。文章从保护信息网络安全、保护应用服务安全和保护系统安全三个方面对信息网络的硬件、软件及其系统中的数据如何进行保护,避免不受偶然的或者恶意的原因而遭到破坏,保障系统连续、可靠、正常的运行,进行了分析,描述了铜陵市“金保工程”信息系统安全的建设规划与体系架构。
信息;系统;安全;规划
一、项目背景及现状
“金保工程”是关系民生,影响社会稳定的一项系统信息工程,其安全规划建设极为重要。作为“铜陵市电子政务整体规划”中的重要子系统,铜陵信息化建设重点工程,铜陵市人力资源和社会保障信息系统需要在原有的系统上,建立一个高起点的计算机管理信息系统,为铜陵市信息一体化建设、“数字铜陵”的建设打好坚实基础。
所谓高起点的计算机管理信息系统就是业务功能完善、标准规范统一、性能安全可靠、管理模式先进、体系结构开放可扩展;全面实现人力资源和社会保障核心业务处理和信息交换的系统化、规范化、自动化;能为政府部门提供强有力的宏观决策服务;能面向全社会,为公众提供方便、快捷、安全的社会保障服务。
这样的系统就是以网络为依托,统一的信息平台纵向互连到一县三区,并将网络延伸到街道、社居委、定点医院、定点零售药店,将网络与政府、银行、财政、税务、工商、公安、民政等部门横向互联,实现网络化办公和信息资源共享;在规范和优化业务流程的基础上,统一资源、统一标准,整合所有的人力资源和社会保障业务,实现业务管理现代化,业务流程规范化,业务办公自动化;将“以人为本,记录一生,管理一生,服务一生”,实现全市的信息共享,以最少的投入实现最大化的效益,在运行中具体体现“服务统一,相对独立”的机制,实现对劳动者进行全程化、动态化的实时跟踪和管理,体现以人为本的管理思路,对一个劳动者从出生到死亡、从就业到养老等整个生命历程进行全程化、一体化的管理。
为此,铜陵市“金保工程”结合铜陵市电子政务建设的需要,按照国家金保工程建设的总体规划,分为多个阶段进行。目前一期工程已投入使用,二期工程即将开始全面建设。
从系统总体结构上看,铜陵市“金保工程”业务信息系统覆盖铜陵人社局到县区级机构(共4个)、街道机构(共14个)和社区(共86个)以及政府相关部门(共4个)、银行(4个),参保企业(5000多户),参保人员(50多万人);通过广域网互联,利用铜陵电子政务外网线路进行互联。
通过“金保工程”的建设,一方面统一了相关信息资源,使“信息孤岛”不再独立;二方面实现了信息共享,便利了参保人员,提升了效率;三方面实现了资源开放,利于政务公开与监督。至2009年末,铜陵市有73.89万人次的职工参加养老、失业、工伤、医疗和生育保险。其中,养老保险参保人数14.94万人,失业保险参保人数14.33万人,工伤保险参保人数11.8万人,基本医疗保险参保人数24.31万人,生育保险参保人数8.51万人。2009年末被征地农民养老保障参保人数达4.74万人。①
二、需要解决的问题
铜陵市“金保工程”信息系统建设主要包含网络基础设施建设、应用系统建设和安全保障体系建设三大方面。其中,信息安全保障体系就是建立在网络平台设施的基础上为应用系统提供安全运行的保障体系。对于铜陵市“金保工程”信息安全系统的建设来说,须以全局的目光看待整个项目的需求建设情况,根据网络平台体系架构,应用系统架构和业务流程而综合得出安全系统的最终要求。
铜陵市“金保工程”信息系统安全建设需求如下:
1.根据系统的整体规划提出有针对性的安全解决方案;
2.充分考虑未来业务发展的需求,提出有计划的安全体系建设步骤;
3.根据信息系统的产品需求,综合考虑国内外主流安全产品,提出有针对性的安全产品解决方案和产品管理部署方案。
三、解决方案
铜陵市“金保工程”信息系统的安全体系建设应当从整体安全的角度出发,纵向贯穿安全管理、安全技术、服务支持三大体系,形成铜陵市“金保工程”信息系统安全保障体系。如下图所示:
该体系架构通过安全管理平台将安全技术和管理相融合,并与网络管理平台相互联动,通过统一管理界面对网络安全系统的风险进行可视化管理,同时依托安全服务业务确保该体系的持续改进。
1.安全管理体系设计
安全管理体系设计包括安全组织体系的建设和安全策略体系的建设。安全组织作为安全工作的管理和实施体系,主要负责网络安全策略、制度、规划的制订和实施,确定网络中各种安全管理岗位和相应职责,并负责选用合适的人员来完成安全管理工作,监督各种网络安全工作的开展,协调各部门在安全实施中的分工和合作,保证安全目标的实现。信息安全策略体系为信息安全提供管理指导和支持。铜陵人社局制定一套清晰的指导方针,并通过组织内信息安全策略的发布和保持来实现对信息安全的支持与承诺。信息安全策略指的是为了保护网络信息资源,消除或降低风险而制订的各种纲领、制度、规范和操作流程。网络安全策略是一个层次化的概念,上到指导方针,下到实施细则的一系列指导性文档体系。②
2.安全技术体系设计
安全技术体系包括监控体系和支撑性基础设施两个方面的内容。
安全监控平台包括网络管理平台和安全管理平台,其中网络管理平台的管理对象主要包括网络交换机、路由器以及服务器等;安全管理平台的管理对象主要是网络安全系统,如防火墙、入侵检测、终端安全管理、病毒防护系统、漏洞扫描系统等,其中网络安全审计作为安全管理平台的一个功能。安全管理平台可以收集来自于网络管理平台的设备状态等信息,然后通过统一的管理界面进行展示。
支撑性基础设施采取的技术安全措施主要有:访问控制、内容过滤、身份鉴别、授权管理、审计追踪、数据加密、入侵分析、安全加固、容灾备份等内容。
在铜陵市“金保工程”信息系统中,我们采用了如下技术:
防病毒系统:在所有工作站和服务器上分别部署防病毒软件,实施“层层设防、集中控制、以防为主、防杀结合”的策略,建立完善的网络病毒防治体系。
可信终端系统:在每一台终端上安装可信终端系统的代理程序,从而实现:操作人员身份的标识和鉴别;访问控制;信息保密;可信应用;补丁升级;审计。
数据库审计系统:评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。通过对用户网络行为的审计,确认行为的合法性,确保管理的安全,审计用户访问数据库系统的操作行为,并进行审计记录,以便事后追查取证。
主页防篡改系统:信息系统的网页代表着铜陵人社局的形象,无论如何不能够出现网页被篡改的事故,网页篡改是最高级别的安全事故,针对这个安全问题,采用网页防篡改事件触发技术,具备触发式篡改检验引擎,针对网站文件的增删改操作,一触即发,校验修改的合法性,瞬间清除被非法篡改的网页,实时恢复正确网页。事件触发技术一个最突出的特点就是确保任何时候网站文件的合法性。同时提供网站监控与恢复、发布与同步、报警、日志、备份、服务器联动、用户认证、篡改分析和审计等功能。
网络行为监控系统:通过该系统实时抓取网络中的数据进行分析审计匹配、统计,通过特定的协议算法,能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,通过集中控制台来管理、检测,从而实现入侵检测、信息还原等网络审计监控功能。③
防火墙系统:在省厅和市局专网出口和互联网出口处分别部署防火墙系统,在市局及县级局出口处部署防火墙,并执行严格的访问控制策略,实现内部网络和各广域网的逻辑隔离,杜绝未授权访问进入内网。
入侵防御系统:在系统关键边界位置部署入侵防御系统,对入侵活动和攻击性网络流量进行拦截,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报,真正做到主动防护。
VPN系统:为了满足移动人员办公的需要,防止通过广域网传输数据被非授权截取、修改,采用VPN技术构建虚拟专用网络,实现在广域网传输数据的加密,保障传输数据的安全性。
安全管理平台(SOC):通过集中安全管理中心总体配置、调控整个网络多层面、分布式的安全系统,实现对各种网络安全资源的集中监控、网络安全保护策略集中部署,简化对安全部件的管理,确保网络安全策略的统一。
数据容灾备份系统:部署了同城异地数据容灾备份中心,把所有“鸡蛋”放在相距一定距离的两个“篮子”里。数据同步复制系统包括主备两个数据中心,其中生产数据中心在劳动保障大厦,备份数据中心建立在电信IDC机房。同城异地数据备份项目是提高业务系统的整体安全性和可用性,在正常情况下,系统数据都在主数据中心运行,重要的业务数据通过光纤链路实时地传输到备份数据中心。一旦主数据中心的存储设备或其它相关的连接设备发生故障,并导致业务应用无法正常访问主数据中心的数据时,业务主机可以通过光纤链路直接访问备份数据中心的数据,从而保证了关键业务的连续运行,保证了数据的安全性。
3.服务支持体系规划
安全体系建设的根本目标是为了保障、支持信息应用业务系统的持续可靠运行。而对于以生产及业务为主的组织来讲,往往因为安全技术能力欠缺、安全信息缺乏及关注程度不够等问题,无法把握信息安全的发展。通过引进第三方专业安全厂商服务支持体系,有效提高相关人员的专业技术能力,在保证业务发展的同时,充分利用现有安全技术体系,不断提升信息安全保障水平,确保铜陵市“金保工程”业务系统的高效、可靠、稳定运行。
注:
①2009年铜陵市国民经济和社会发展统计公报,摘自:www.tjj.tl. gov.cn
②杨智慧:《中华人民共和国计算机信息系统安全法规汇编》,群众出版社,1998
③赵泽茂、朱芳:《信息安全技术》,西安电子科技大学出版社,2009
TP311.1
:A
:1672-0547(2010)05-0076-02
2010-08-23
胡成峰(1973-),男,安徽含山人,铜陵市人力资源和社会保障局信息数据中心副主任,经济师。
