本方案的设计对象为省级劳动保障信息系统（劳动力市场信息系统和社保信息系统）网络，涉及范围包括省劳动保障业务专网、省劳动力市场虚拟专网以及省劳动保障公众服务网，横向覆盖各个政府相关部门以及其他相关单位的边界接口（重点是业务专网的前置系统），纵向上覆盖到各个市级平台，包括区县单位的边界。

    从安全技术选择方面，本方案以保障网络安全、数据安全和管理安全为重点，实现手段以安全产品为重点，以提供给省劳动保障厅进行参考。

    方案背景

    某省劳动保障信息系统（劳动力市场信息系统和社保信息系统）网络，涉及范围包括省劳动保障业务专网、省劳动力市场虚拟专网以及省劳动保障公众服务网，横向上覆盖各个政府相关部门以及其他相关单位的边界接口（重点是业务专网的前置系统），纵向上覆盖到各个市级平台，包括区县单位的边界。系统总体逻辑框架示意图如下：

 

    针对某省劳动保障信息系统平台，需要对其信息和信息处理设施的威胁、影响和弱点及威胁发生的可能性进行分析，从而提出明确的防范措施，全面保障信息的保密性、完整性和可用性。

    安全需求

    金保工程的开展，实现了全国社保工作的逻辑互联，集中监控能力。由于网络存在横向机构和纵向部门间的数据交换，作为政务工作网将严格按照严格参考国家电子政务安全保障建设的思路和标准进行建设。

    设计思路

    本方案的基本思路是：以保护信息系统为目标，严格参考国家电子政务安全保障建设的思路和标准，以策略为核心，从多个层面进行建设，满足省劳动保障信息系统在物理层面、网络层面、系统层面、应用层面和管理层面的安全需求，建成后的保障体系将充分符合国家标准，能够为省劳动保障厅业务的开展提供有力保障。

    方案设计

    1、 某省劳动保障信息网络的公共服务区

 

    在互联网出口部署入侵防护，对来自互联网的访问数据包进行深度监测，有效杜绝黑客攻击、网络渗透、弱点攻击，特别是有效防范拒绝服务攻击，保护某省劳动保障厅的政府形象，保护合法用户的利益；

    部署流量监测系统

    在入侵保护的监测基础上，在互联网出口处部署流量监控系统，对互联网的出口数据流量（经过入侵防护系统过滤后的流量）进行监测，通过历史分析、实时分析等技术，来深入监测网络的活动，并对出现的异常进行报警；

    部署防病毒网关

    建议在防火墙与劳动就业应用服务器、主页发布服务器之间的链路上，部署防病毒网关，分别针对互联网用户的访问；劳动就业机构的远程通讯，进行病毒的分析与查杀，防止病毒进入公共服务区；

    部署漏洞扫描系统

    分别在省、市网络平台上引入漏洞扫描系统，对公共服务区内的服务器、网络设备、安全设备进行全面的监测与扫描，尝试发出各种攻击数据包，并根据系统反馈的结果判断系统是否存在着安全漏洞，同时针对监测到的安全漏洞给出加固建议，协助系统管理人员对系统漏洞进行修补；

    部署服务器核心加固系统

    在公共服务区内的主页服务器、就业应用服务器、就业数据库服务器以及邮件服务器等安装服务器核心加固系统，并根据服务器操作系统的版本来选择不同型号的核心加固系统。

    部署服务器防病毒系统

    在部署了防病毒网关以后，对于来自互联网的绝大多数病毒都可以有良好的防范，但是防病毒网关重点是针对网络型病毒，比如蠕虫病毒、恶意脚本病毒等，对于大文件携带的病毒仍然无能为力，特别是这些大文件如果在网关处进行过滤，也将严重影响通讯的效率，因此还需要在服务器本地进行病毒的查杀。

    部署防垃圾邮件系统

    该系统形态为硬件，旁路地部署在公共服务区的交换机上，在实施的时候需要重写DNS，将邮件的域名指向防垃圾邮件系统上，保障邮件只有经过检查后，方可被发送到邮件服务器内；

    部署集中的日志审计系统

    在公共服务区内部署日志审计系统，将原来分散在各个服务器、网络设备以及安全设备的日志进行集中记录，并提供给系统管理人员进行查询和检索，在系统发现安全问题后可以对访问过程进行还原，同时日志审计系统所记录的内容还可作为安全管理中心的输入，作为进一步进行分析和管理信息网络的依据。

    部署隔离网闸

    公共服务区与业务专网之间存在着较多的信息交换，包括前台通过劳动保障门户所进行的网上社保申请数据，以及劳动就业信息，均需要从公共服务区传递到业务专网，并在业务专网处理完毕以后，再次传递回公众服务区并进行发布，正如需求中描述，对此可采用隔离网闸，实现更为安全的信息交换。

    部署网络管理平台

    网络管理平台在省劳动保障信息网络建设中已经进行了考虑，系统往往属于软件形态，需要安装在公共服务区内的服务器上，对公共服务区的网络拓扑、网络设备、链路、设备配置、服务器等进行集中管理；

    部署安全管理平台

    安全管理平台也属于软件，安装在公共服务区内的服务器上，对服务器内部署的安全设备进行集中管理，对安全设备的策略进行集中监控，同时收集网络中的各个活动日志（这里主要市收集日志审计系统的记录），对记录进行深度分析，采用格式标准化、场景匹配、关联分析等技术，分析系统可能潜在的安全威胁，对突发事件进行反应。

    2、 某省业务专网系统

 

    在业务专网中划分出的生产区、决策区以及网管区边界，增加防火墙设备，主要市实现了对内部不同安全区域之间的隔离，并在区域之间执行访问控制策略，防止内部主机对关键应用服务器，以及关键网络管理设备的攻击，体现重点信息资产重点防护的思想；

    部署入侵检测系统

    应当在业务专网的核心交换机上部署入侵检测系统，系统基于硬件设计，实时抓取网络中的访问数据包，并对数据包进行深入分析，发现异常给予报警，并通过与防火墙的联动，来阻断攻击来源，限制主机的访问；

    漏洞扫描系统

    类似于公共服务区，在省、市平台的业务专网内分别部署漏洞扫描系统，对业务专网的网络设备、网络链路、安全设备以及服务器和数据库进行深度分析，并模拟黑客攻击来渗透网络，从而分析出网络内存在的安全漏洞，并根据安全漏洞提出对应的修补建议，提交给系统管理人员采取必要的措施，来弥补漏洞，消除系统存在的安全隐患，提升业务专网整体的抗攻击能力。

    终端安全管理系统

    终端是业务专网内重点需要考虑的防护内容，正如需求中描述，终端虽然从重要性的角度比较低，但是由于终端分布范围很广，并且终端的自身安全性往往会给整体系统带来威胁，因此需要采取措施来进行有效管理。

    服务器核心防护系统

    对于业务专网，提升服务器的防护能力，将大大提升应用系统的稳定性，但是由于商用的操作系统总是存在很多的安全隐患，因此必须采取一定的加固措施，来提升服务器的抗攻击能力，更好地保障上层的应用。

    终端和服务器防病毒

    终端和服务器上安装网络版的防病毒软件，将实现本地的病毒查杀，考虑到业务专网对外访问，主要是通过信息交换的方式进行，没有直接对外部的访问，因此做好本地病毒防护基本上可解决大多数的问题。

    日志审计平台

    在业务专网内部署日志审计系统，将原来分散在各个服务器、网络设备以及安全设备的日志进行集中记录，并提供给系统管理人员进行查询和检索，在系统发现安全问题后可以对访问过程进行还原，同时日志审计系统所记录的内容还可作为安全管理中心的输入，作为进一步进行分析和管理信息网络的依据。

    行为审计系统

    对于业务专网，承载了某省劳动保障信息网络的重要应用系统，大多数的业务访问均在该平台内进行，因此非常有必要深入分析各类访问活动，并进行记录，以便在发生安全事件后，能够通过对记录的分析还原出终端的访问过程，并可深入分析问题发生的根源，找到系统可能存在的安全隐患，为加固系统和事后取证提供参考。

    隔离网闸

    根据前面的分析我们了解到，业务专网内存在大量的协作单位，包括社会保险经办机构、劳动力市场监管机构以及其他相关政府单位（民政、公安、财政等），都需要进行信息交换，需求类似于公共服务区与业务专网的信息交换，因此有必要采取隔离网闸来实现安全的信息交换。

    PKI/CA认证中心

    业务专网内存在大量的应用系统，从应用系统自身安全性来看，现有的系统在认证、授权、访问数据保护方面存在很多的不足，因此需要引入CA认证中心来进行保护。

    网络管理平台

    网络管理平台在省劳动保障信息网络建设中已经进行了考虑，系统往往属于软件形态，需要安装在业务专网网管区的服务器上，对业务专网的网络拓扑、网络设备、链路、设备配置、服务器等进行集中管理；

    安全管理平台

    安全管理平台也属于软件，安装在业务专网网管区内的服务器上，对服务器内部署的安全设备进行集中管理，对安全设备的策略进行集中监控，同时收集网络中的各个活动日志（这里主要市收集日志审计系统的记录），对记录进行深度分析，采用格式标准化、场景匹配、关联分析等技术，分析系统可能潜在的安全威胁，对突发事件进行反应。

    方案效果

    本方案针对某省劳动保障信息网络在终端安全、服务器安全、网络安全、应用安全以及管理安全方面的需求，综合采用多种技术手段，在统一的安全管理平台、CA认证平台的支撑下，组成覆盖全面、纵深检测、有效保护的安全防护系统，涉及的技术包含防火墙、入侵检测、入侵防护、漏洞扫描、防病毒、流量监管、日志审计、服务器核心防护、终端安全管理、安全信息交换等多种技术措施，来满足省劳动保障厅的安全需求。