社保系统信息安全建设思路1信息安全总体构架任何一项安全工作的落实,都依赖于人员、技术、流程作为支撑,结合人力社保业务的实际情况,从技术与管理上进行规划与规范通过对安全域的划分明确各业务系统所在的区域,同时在域边界、内部部署相应的安全检测、防护、审计等措施,建立综合安全运维管理平台,以支撑我局信息系统的安全运行形成信息系统安全规划总框架。2应对措施2.1信息安全基础设施及环境保障建设一是物理环境安全物理环境安全是信息系统安全的前提,信息中心建有一个国家a类标准主机房通过双路市电和冗余ups主机电源,配备后备大功率发电机,以提高电源保障能力,同时通过双精密空调保障恒温恒湿的机房环境二是本地机房关键设备实现冗余热备通过多次对小型机、核心交换机、核心路由器、防火墙等重要设备进行升级、更新,实现关键设备高可靠性、高性能热备,通过负载均衡设备实现业务自动均衡分。三是多渠道、多方式保障数据真实、有效做好数据备份管理及恢复测试工作,对人社基础数据通过虚拟带库每天进行增量备份,每周进行一次全备此外,还在异地建立了应用级容灾系统中心,保证数据的完整性和业务的连续性四是采用网络版防毒墙,定期修改相关密码保护网络上的端点免受恶意软件、网络病毒、基于web的威胁、间谍软件和混合威胁攻击的危害,信息中心采用了多层病毒防御体系,即在每台pc和服务器上安装防病毒软件,定期升级病毒库同时定期对所有相关硬件设备及业务系统密码进行修改五是通过专线加前置机接口方式实现业务延伸和部门联网数据交换首先,政府不断推行便民服务意识,不断延伸业务窗口,相关业务通过专线延伸到镇街劳管所,部分业务延伸至行政村(社区),实行业务内网与互联网物理隔离,数据交换采用前置机接口方式实现,减少手工参与,提升数据交换的质量与实时性和安全性。2.2搭建网络安全区域第1页共4页明确划分各安全区域,整体信息系统安全构架通过部署异构防火墙和工ps来实现在核心数据库和内部业务服务、运维管理等系统之间设置防火墙和工ps,对外业务服务系统和外联单位之间设置防火墙和工ps网上申报业务通过网闸和防火墙连接互联网,在有效保障网络安全的前提下,满足业务查询与数据信息同步等需求并通过waf应用防火墙,对社保网上申报业务进行安全防护,有效阻止日益盛行的web黑客攻击安全区域之间策略部署按需开放,精细化控制一是在安全设备上进行accesscontrol精细化accesscontrol就是在身份认证的基础上,依据授权对提出的资源访问请求加以控制访问控制是网络安全防范和保护的主要策略,他可以限制对关键资源的访问,防止非法用户的侵人或因合法用户的不慎操作所造成的破坏实现路由上最小化,端口上具体化、策略上清晰化,根据业务变更定期清理无效策略。2.3通过安全审计系统,提高数据的安全性安全审计已经成为信息安全保障体系建设中必不可少的关键组成部分,安全审计可以对主机、网络、数据库等各类信息系统各层面进行审计我们采用数字kvm实现系统服务器的集中管理,并开启kvm审计功能,对操作行为进行屏幕录像审计为了保证社保核心数据得到规范存储、规范管理,以及有效地减少核心信息资产的被破坏和数据泄漏,我们采用了嵌人式的数据库审计系统我们通过b/s三层构架,前台业务统一通过中间件访问生产库,拒绝外部访问数据库;只有内部开发与维护用户且授权的工p、连接用户、进程名,才能访问生产库,并且不允许drop、del等删除操作。2.4建成应用级容灾系统,定期组织信息系统容灾演练系统容灾演练是信息化应急体系建设的重要组成部分容灾演练是指本地生产中心主机、存储、网络等系统在突发故障情况下,快速地启用容灾备份中心相应系统,以证实容灾应用系统恢复的可用性、快速性通过进行容灾演练,确保冗余信息系统的可用性,并对演练过程中发现的一些问题进行分析优化,进一步做好安全隐患排查和应急预案的完善工作。2.5应用层面安全控制第2页共4页在物理安全及网络安全采取相关保障的基础上,业务系统基于b/s三层构架开发设计,提高信息系统的安全性与可靠性一是业务经办人员ca认证为加强经办业务数据的安全,建立业务经办人员ca认证系统...
