社保系统信息安全建设思路

1信息安全总体构架

任何一项安全工作的落实,都依赖于人员、技术、流程作为支撑,结合人力社保业务的实际情况,从技术与管理上进行规划与规范通过对安全域的划分明确各业务系统所在的区域,同时在域边界、内部部署相应的安全检测、防护、审计等措施,建立综合安全运维管理平台,以支撑我局信息系统的安全运行形成信息系统安全规划总框架。

2应对措施

2.1信息安全基础设施及环境保障建设

一是物理环境安全物理环境安全是信息系统安全的前提,信息中心建有一个国家A类标准主机房通过双路市电和冗余UPS主机电源,配备后备大功率发电机,以提高电源保障能力,同时通过双精密空调保障恒温恒湿的机房环境二是本地机房关键设备实现冗余热备通过多次对小型机、核心交换机、核心路由器、防火墙等重要设备进行升级、更新,实现关键设备高可靠性、高性能热备,通过负载均衡设备实现业务自动均衡分。三是多渠道、多方式保障数据真实、有效做好数据备份管理及恢复测试工作,对人社基础数据通过虚拟带库每天进行增量备份,每周进行一次全备此外,还在异地建立了应用级容灾系统中心,保证数据的完整性和业务的连续性四是采用网络版防毒墙,定期修改相关密码保护网络上的端点免受恶意软件、网络病毒、基于Web的威胁、间谍软件和混合威胁攻击的危害,信息中心采用了多层病毒防御体系,即在每台PC和服务器上安装防病毒软件,定期升级病毒库同时定期对所有相关硬件设备及业务系统密码进行修改五是通过专线加前置机接口方式实现业务延伸和部门联网数据交换首先,政府不断推行便民服务意识,不断延伸业务窗口,相关业务通过专线延伸到镇街劳管所,部分业务延伸至行政村(社区),实行业务内网与互联网物理隔离,数据交换采用前置机接口方式实现,减少手工参与,提升数据交换的质量与实时性和安全性。

2.2搭建网络安全区域

明确划分各安全区域,整体信息系统安全构架通过部署异构防火墙和工PS来实现在核心数据库和内部业务服务、运维管理等系统之间设置防火墙和工PS,对外业务服务系统和外联单位之间设置防火墙和工PS网上申报业务通过网闸和防火墙连接互联网,在有效保障网络安全的前提下,满足业务查询与数据信息同步等需求并通过WAF应用防火墙,对社保网上申报业务进行安全防护,有效阻止日益盛行的WEB黑客攻击安全区域之间策略部署按需开放,精细化控制一是在安全设备上进行ACCESSCONTROL精细化ACCESSCONTROL就是在身份认证的基础上,依据授权对提出的资源访问请求加以控制访问控制是网络安全防范和保护的主要策略,他可以限制对关键资源的访问,防止非法用户的侵人或因合法用户的不慎操作所造成的破坏实现路由上最小化,端口上具体化、策略上清晰化,根据业务变更定期清理无效策略。

2.3通过安全审计系统,提高数据的安全性

安全审计已经成为信息安全保障体系建设中必不可少的关键组成部分,安全审计可以对主机、网络、数据库等各类信息系统各层面进行审计我们采用数字KVM实现系统服务器的集中管理,并开启KVM审计功能,对操作行为进行屏幕录像审计为了保证社保核心数据得到规范存储、规范管理,以及有效地减少核心信息资产的被破坏和数据泄漏,我们采用了嵌人式的数据库审计系统我们通过B/S三层构架,前台业务统一通过中间件访问生产库,拒绝外部访问数据库;只有内部开发与维护用户且授权的工P、连接用户、进程名,才能访问生产库,并且不允许DRoP、DEL等删除操作。

2.4建成应用级容灾系统,定期组织信息系统容灾演练

系统容灾演练是信息化应急体系建设的重要组成部分容灾演练是指本地生产中心主机、存储、网络等系统在突发故障情况下,快速地启用容灾备份中心相应系统,以证实容灾应用系统恢复的可用性、快速性通过进行容灾演练,确保冗余信息系统的可用性,并对演练过程中发现的一些问题进行分析优化,进一步做好安全隐患排查和应急预案的完善工作。

2.5应用层面安全控制

在物理安全及网络安全采取相关保障的基础上,业务系统基于B/S三层构架开发设计,提高信息系统的安全性与可靠性一是业务经办人员CA认证为加强经办业务数据的安全,建立业务经办人员CA认证系统,登录业务系统要求进行CA认证,并在系统中实行业务人员与CA绑定,并根据业务不同分配不同权限二是社会保险基金的安全管理严格要求医保定点医疗药店对药品出人库数据库信息与医保刷卡信息数据与中心数据库进行比对,防止药品串换,确保医疗保险基金的安全通过社保基金监管软件,定期对各项数据进行审查三是社会保障卡安全管理设置卡密码和刷卡消费信息自动提醒,如果卡被盗刷,持卡人可以通过电话(96150)或者网站进行7*24h的自助挂失,也可以到就近人社服务窗口网点挂失。

2.6安全管理组织及制度

一是坚持统筹规划,建立安全组织和人员体系在安全组织和人员体系方面,成立了信息安全工作领导小组,建立决策、管理、执行三级组织构架,明确各层级组织的职责分工及相应的岗位和人员配置要求针对系统安全相关人员开展安全知识、技能和意识培训,根据单位工作实际情况,建立垂直和水平的沟通、协调机制如定期召集务相关单位进行座谈会和讨论会二是建立安全管理制度和引进信息化建设监理机制信息系统环境随着业务需求变化而不断变化,这就需要一个可持续的信息安全制度来不断规范指导新业务系统以保障其安全性从项目立项前期开始,组织专家对信息系统构架进行讨论,然后再组织市级专家对项目的可行性进行论证,使信息系统建设方案更加科学化项目建设中引人监理,监理公司按照“四控制、三管理、一协调”的原则,对每个环节安全的实—管理创新施质量进行把控三是不断完善信息安全制度,注重落实和监督建立相应的安全管理总纲和策略要求,明确在安全规划建设、软件开发安全、安全风险评估、安全运维维护、敏感信息防护等方面的安全要求,并编制相应的规章制度、流程,以及相应的标准规范我们制订了《信息系统容灾演练应急预案》、《义乌市社会保障联网业务计算机安全管理制度》、《义乌市人力资源和社会保障网站管理办法》等相关制度。

2.7定期组织信息安全培训学习

信息安全培训学习是加强信息安全建设的重要组成部分通过培训和学习,不断提高干部职工的信息安全知识和意识,信息安全服务能力得到切实提高为进一步加大信息安全的培训学习力度,提高信息系统安全管理和安全防范技术水平,一是安排干部职工外出学习,如参加专业的信息安全知识、安全产品的相关培训等二是邀请专家到我局现场授课,扩大内部干部职工参与面与互动面,使培训更有针对性三是定期在单位内部举行信息安全知识交流学习,每月由内部技术骨干授课,牵头交流学习实际工作中问题与难点解决方法。

作者：楼江杭工作单位：义乌市人力资源与社会保障信息管理中心