信息中心
省級金保工程網絡安全解決方案
方案背景
某省勞動保障信息系統(勞動力市場信息系統和社保信息系統)網絡,涉及范圍包括省勞動保障業務專網、省勞動力市場虛擬專網以及省勞動保障公眾服務網,橫向上覆蓋各個政府相關部門以及其他相關單位的邊界接口(重點是業務專網的前置系統),縱向上覆蓋到各個市級平臺,包括區縣單位的邊界。系統總體邏輯框架示意圖如下:
針對某省勞動保障信息系統平臺,需要對其信息和信息處理設施的威脅、影響和弱點及威脅發生的可能性進行分析,從而提出明確的防范措施,全面保障信息的保密性、完整性和可用性。
安全需求
金保工程的開展,實現了全國社保工作的邏輯互聯,集中監控能力。由于網絡存在橫向機構和縱向部門間的數據交換,作為政務工作網將嚴格按照嚴格參考國家電子政務安全保障建設的思路和標準進行建設。
設計思路
本方案的基本思路是:以保護信息系統為目標,嚴格參考國家電子政務安全保障建設的思路和標準,以策略為核心,從多個層面進行建設,滿足省勞動保障信息系統在物理層面、網絡層面、系統層面、應用層面和管理層面的安全需求,建成后的保障體系將充分符合國家標準,能夠為省勞動保障廳業務的開展提供有力保障。
方案設計
1、某省勞動保障信息網絡的公共服務區
在互聯網出口部署入侵防護,對來自互聯網的訪問數據包進行深度監測,有效杜絕黑客攻擊、網絡滲透、弱點攻擊,特別是有效防范拒絕服務攻擊,保護某省勞動保障廳的政府形象,保護合法用戶的利益;
部署流量監測系統
在入侵保護的監測基礎上,在互聯網出口處部署流量監控系統,對互聯網的出口數據流量(經過入侵防護系統過濾后的流量)進行監測,通過歷史分析、實時分析等技術,來深入監測網絡的活動,并對出現的異常進行報警;
部署防病毒網關
建議在防火墻與勞動就業應用服務器、主頁發布服務器之間的鏈路上,部署防病毒網關,分別針對互聯網用戶的訪問;勞動就業機構的遠程通訊,進行病毒的分析與查殺,防止病毒進入公共服務區;
部署漏洞掃描系統
分別在省、市網絡平臺上引入漏洞掃描系統,對公共服務區內的服務器、網絡設備、安全設備進行全面的監測與掃描,嘗試發出各種攻擊數據包,并根據系統反饋的結果判斷系統是否存在著安全漏洞,同時針對監測到的安全漏洞給出加固建議,協助系統管理人員對系統漏洞進行修補;
部署服務器核心加固系統
在公共服務區內的主頁服務器、就業應用服務器、就業數據庫服務器以及郵件服務器等安裝服務器核心加固系統,并根據服務器操作系統的版本來選擇不同型號的核心加固系統。
部署服務器防病毒系統
在部署了防病毒網關以后,對于來自互聯網的絕大多數病毒都可以有良好的防范,但是防病毒網關重點是針對網絡型病毒,比如蠕蟲病毒、惡意腳本病毒等,對于大文件攜帶的病毒仍然無能為力,特別是這些大文件如果在網關處進行過濾,也將嚴重影響通訊的效率,因此還需要在服務器本地進行病毒的查殺。
部署防垃圾郵件系統
該系統形態為硬件,旁路地部署在公共服務區的交換機上,在實施的時候需要重寫DNS,將郵件的域名指向防垃圾郵件系統上,保障郵件只有經過檢查后,方可被發送到郵件服務器內;
部署集中的日志審計系統
在公共服務區內部署日志審計系統,將原來分散在各個服務器、網絡設備以及安全設備的日志進行集中記錄,并提供給系統管理人員進行查詢和檢索,在系統發現安全問題后可以對訪問過程進行還原,同時日志審計系統所記錄的內容還可作為安全管理中心的輸入,作為進一步進行分析和管理信息網絡的依據。
部署隔離網閘
公共服務區與業務專網之間存在著較多的信息交換,包括前臺通過勞動保障門戶所進行的網上社保申請數據,以及勞動就業信息,均需要從公共服務區傳遞到業務專網,并在業務專網處理完畢以后,再次傳遞回公眾服務區并進行發布,正如需求中描述,對此可采用隔離網閘,實現更為安全的信息交換。
部署網絡管理平臺
網絡管理平臺在省勞動保障信息網絡建設中已經進行了考慮,系統往往屬于軟件形態,需要安裝在公共服務區內的服務器上,對公共服務區的網絡拓撲、網絡設備、鏈路、設備配置、服務器等進行集中管理;
部署安全管理平臺
安全管理平臺也屬于軟件,安裝在公共服務區內的服務器上,對服務器內部署的安全設備進行集中管理,對安全設備的策略進行集中監控,同時收集網絡中的各個活動日志(這里主要市收集日志審計系統的記錄),對記錄進行深度分析,采用格式標準化、場景匹配、關聯分析等技術,分析系統可能潛在的安全威脅,對突發事件進行反應。
2、某省業務專網系統
在業務專網中劃分出的生產區、決策區以及網管區邊界,增加防火墻設備,主要市實現了對內部不同安全區域之間的隔離,并在區域之間執行訪問控制策略,防止內部主機對關鍵應用服務器,以及關鍵網絡管理設備的攻擊,體現重點信息資產重點防護的思想;
部署入侵檢測系統
應當在業務專網的核心交換機上部署入侵檢測系統,系統基于硬件設計,實時抓取網絡中的訪問數據包,并對數據包進行深入分析,發現異常給予報警,并通過與防火墻的聯動,來阻斷攻擊來源,限制主機的訪問;
漏洞掃描系統
類似于公共服務區,在省、市平臺的業務專網內分別部署漏洞掃描系統,對業務專網的網絡設備、網絡鏈路、安全設備以及服務器和數據庫進行深度分析,并模擬黑客攻擊來滲透網絡,從而分析出網絡內存在的安全漏洞,并根據安全漏洞提出對應的修補建議,提交給系統管理人員采取必要的措施,來彌補漏洞,消除系統存在的安全隱患,提升業務專網整體的抗攻擊能力。
終端安全管理系統
終端是業務專網內重點需要考慮的防護內容,正如需求中描述,終端雖然從重要性的角度比較低,但是由于終端分布范圍很廣,并且終端的自身安全性往往會給整體系統帶來威脅,因此需要采取措施來進行有效管理。
服務器核心防護系統
對于業務專網,提升服務器的防護能力,將大大提升應用系統的穩定性,但是由于商用的操作系統總是存在很多的安全隱患,因此必須采取一定的加固措施,來提升服務器的抗攻擊能力,更好地保障上層的應用。
終端和服務器防病毒
終端和服務器上安裝網絡版的防病毒軟件,將實現本地的病毒查殺,考慮到業務專網對外訪問,主要是通過信息交換的方式進行,沒有直接對外部的訪問,因此做好本地病毒防護基本上可解決大多數的問題。
日志審計平臺
在業務專網內部署日志審計系統,將原來分散在各個服務器、網絡設備以及安全設備的日志進行集中記錄,并提供給系統管理人員進行查詢和檢索,在系統發現安全問題后可以對訪問過程進行還原,同時日志審計系統所記錄的內容還可作為安全管理中心的輸入,作為進一步進行分析和管理信息網絡的依據。
行為審計系統
對于業務專網,承載了某省勞動保障信息網絡的重要應用系統,大多數的業務訪問均在該平臺內進行,因此非常有必要深入分析各類訪問活動,并進行記錄,以便在發生安全事件后,能夠通過對記錄的分析還原出終端的訪問過程,并可深入分析問題發生的根源,找到系統可能存在的安全隱患,為加固系統和事后取證提供參考。
隔離網閘
根據前面的分析我們了解到,業務專網內存在大量的協作單位,包括社會保險經辦機構、勞動力市場監管機構以及其他相關政府單位(民政、公安、財政等),都需要進行信息交換,需求類似于公共服務區與業務專網的信息交換,因此有必要采取隔離網閘來實現安全的信息交換。
PKI/CA認證中心
業務專網內存在大量的應用系統,從應用系統自身安全性來看,現有的系統在認證、授權、訪問數據保護方面存在很多的不足,因此需要引入CA認證中心來進行保護。
網絡管理平臺
網絡管理平臺在省勞動保障信息網絡建設中已經進行了考慮,系統往往屬于軟件形態,需要安裝在業務專網網管區的服務器上,對業務專網的網絡拓撲、網絡設備、鏈路、設備配置、服務器等進行集中管理;
安全管理平臺
安全管理平臺也屬于軟件,安裝在業務專網網管區內的服務器上,對服務器內部署的安全設備進行集中管理,對安全設備的策略進行集中監控,同時收集網絡中的各個活動日志(這里主要市收集日志審計系統的記錄),對記錄進行深度分析,采用格式標準化、場景匹配、關聯分析等技術,分析系統可能潛在的安全威脅,對突發事件進行反應。
方案效果
本方案針對某省勞動保障信息網絡在終端安全、服務器安全、網絡安全、應用安全以及管理安全方面的需求,綜合采用多種技術手段,在統一的安全管理平臺、CA認證平臺的支撐下,組成覆蓋全面、縱深檢測、有效保護的安全防護系統,涉及的技術包含防火墻、入侵檢測、入侵防護、漏洞掃描、防病毒、流量監管、日志審計、服務器核心防護、終端安全管理、安全信息交換等多種技術措施,來滿足省勞動保障廳的安全需求。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄