導語：社保系統(tǒng)信息安全建設思路一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1信息安全總體構架

任何一項安全工作的落實,都依賴于人員、技術、流程作為支撐,結合人力社保業(yè)務的實際情況,從技術與管理上進行規(guī)劃與規(guī)范通過對安全域的劃分明確各業(yè)務系統(tǒng)所在的區(qū)域,同時在域邊界、內部部署相應的安全檢測、防護、審計等措施,建立綜合安全運維管理平臺,以支撐我局信息系統(tǒng)的安全運行形成信息系統(tǒng)安全規(guī)劃總框架。

2應對措施

2.1信息安全基礎設施及環(huán)境保障建設

一是物理環(huán)境安全物理環(huán)境安全是信息系統(tǒng)安全的前提,信息中心建有一個國家A類標準主機房通過雙路市電和冗余UPS主機電源,配備后備大功率發(fā)電機,以提高電源保障能力,同時通過雙精密空調保障恒溫恒濕的機房環(huán)境二是本地機房關鍵設備實現(xiàn)冗余熱備通過多次對小型機、核心交換機、核心路由器、防火墻等重要設備進行升級、更新,實現(xiàn)關鍵設備高可靠性、高性能熱備,通過負載均衡設備實現(xiàn)業(yè)務自動均衡分。三是多渠道、多方式保障數(shù)據(jù)真實、有效做好數(shù)據(jù)備份管理及恢復測試工作,對人社基礎數(shù)據(jù)通過虛擬帶庫每天進行增量備份,每周進行一次全備此外,還在異地建立了應用級容災系統(tǒng)中心,保證數(shù)據(jù)的完整性和業(yè)務的連續(xù)性四是采用網(wǎng)絡版防毒墻,定期修改相關密碼保護網(wǎng)絡上的端點免受惡意軟件、網(wǎng)絡病毒、基于Web的威脅、間諜軟件和混合威脅攻擊的危害,信息中心采用了多層病毒防御體系,即在每臺PC和服務器上安裝防病毒軟件,定期升級病毒庫同時定期對所有相關硬件設備及業(yè)務系統(tǒng)密碼進行修改五是通過專線加前置機接口方式實現(xiàn)業(yè)務延伸和部門聯(lián)網(wǎng)數(shù)據(jù)交換首先,政府不斷推行便民服務意識,不斷延伸業(yè)務窗口,相關業(yè)務通過專線延伸到鎮(zhèn)街勞管所,部分業(yè)務延伸至行政村(社區(qū)),實行業(yè)務內網(wǎng)與互聯(lián)網(wǎng)物理隔離,數(shù)據(jù)交換采用前置機接口方式實現(xiàn),減少手工參與,提升數(shù)據(jù)交換的質量與實時性和安全性。

2.2搭建網(wǎng)絡安全區(qū)域

明確劃分各安全區(qū)域,整體信息系統(tǒng)安全構架通過部署異構防火墻和工PS來實現(xiàn)在核心數(shù)據(jù)庫和內部業(yè)務服務、運維管理等系統(tǒng)之間設置防火墻和工PS,對外業(yè)務服務系統(tǒng)和外聯(lián)單位之間設置防火墻和工PS網(wǎng)上申報業(yè)務通過網(wǎng)閘和防火墻連接互聯(lián)網(wǎng),在有效保障網(wǎng)絡安全的前提下,滿足業(yè)務查詢與數(shù)據(jù)信息同步等需求并通過WAF應用防火墻,對社保網(wǎng)上申報業(yè)務進行安全防護,有效阻止日益盛行的WEB黑客攻擊安全區(qū)域之間策略部署按需開放,精細化控制一是在安全設備上進行ACCESSCONTROL精細化ACCESSCONTROL就是在身份認證的基礎上,依據(jù)授權對提出的資源訪問請求加以控制訪問控制是網(wǎng)絡安全防范和保護的主要策略,他可以限制對關鍵資源的訪問,防止非法用戶的侵人或因合法用戶的不慎操作所造成的破壞實現(xiàn)路由上最小化,端口上具體化、策略上清晰化,根據(jù)業(yè)務變更定期清理無效策略。

2.3通過安全審計系統(tǒng),提高數(shù)據(jù)的安全性

安全審計已經(jīng)成為信息安全保障體系建設中必不可少的關鍵組成部分,安全審計可以對主機、網(wǎng)絡、數(shù)據(jù)庫等各類信息系統(tǒng)各層面進行審計我們采用數(shù)字KVM實現(xiàn)系統(tǒng)服務器的集中管理,并開啟KVM審計功能,對操作行為進行屏幕錄像審計為了保證社保核心數(shù)據(jù)得到規(guī)范存儲、規(guī)范管理,以及有效地減少核心信息資產(chǎn)的被破壞和數(shù)據(jù)泄漏,我們采用了嵌人式的數(shù)據(jù)庫審計系統(tǒng)我們通過B/S三層構架,前臺業(yè)務統(tǒng)一通過中間件訪問生產(chǎn)庫,拒絕外部訪問數(shù)據(jù)庫;只有內部開發(fā)與維護用戶且授權的工P、連接用戶、進程名,才能訪問生產(chǎn)庫,并且不允許DRoP、DEL等刪除操作。

2.4建成應用級容災系統(tǒng),定期組織信息系統(tǒng)容災演練

系統(tǒng)容災演練是信息化應急體系建設的重要組成部分容災演練是指本地生產(chǎn)中心主機、存儲、網(wǎng)絡等系統(tǒng)在突發(fā)故障情況下,快速地啟用容災備份中心相應系統(tǒng),以證實容災應用系統(tǒng)恢復的可用性、快速性通過進行容災演練,確保冗余信息系統(tǒng)的可用性,并對演練過程中發(fā)現(xiàn)的一些問題進行分析優(yōu)化,進一步做好安全隱患排查和應急預案的完善工作。

2.5應用層面安全控制

在物理安全及網(wǎng)絡安全采取相關保障的基礎上,業(yè)務系統(tǒng)基于B/S三層構架開發(fā)設計,提高信息系統(tǒng)的安全性與可靠性一是業(yè)務經(jīng)辦人員CA認證為加強經(jīng)辦業(yè)務數(shù)據(jù)的安全,建立業(yè)務經(jīng)辦人員CA認證系統(tǒng),登錄業(yè)務系統(tǒng)要求進行CA認證,并在系統(tǒng)中實行業(yè)務人員與CA綁定,并根據(jù)業(yè)務不同分配不同權限二是社會保險基金的安全管理嚴格要求醫(yī)保定點醫(yī)療藥店對藥品出人庫數(shù)據(jù)庫信息與醫(yī)保刷卡信息數(shù)據(jù)與中心數(shù)據(jù)庫進行比對,防止藥品串換,確保醫(yī)療保險基金的安全通過社?；鸨O(jiān)管軟件,定期對各項數(shù)據(jù)進行審查三是社會保障卡安全管理設置卡密碼和刷卡消費信息自動提醒,如果卡被盜刷,持卡人可以通過電話(96150)或者網(wǎng)站進行7*24h的自助掛失,也可以到就近人社服務窗口網(wǎng)點掛失。

2.6安全管理組織及制度

一是堅持統(tǒng)籌規(guī)劃,建立安全組織和人員體系在安全組織和人員體系方面,成立了信息安全工作領導小組,建立決策、管理、執(zhí)行三級組織構架,明確各層級組織的職責分工及相應的崗位和人員配置要求針對系統(tǒng)安全相關人員開展安全知識、技能和意識培訓,根據(jù)單位工作實際情況,建立垂直和水平的溝通、協(xié)調機制如定期召集務相關單位進行座談會和討論會二是建立安全管理制度和引進信息化建設監(jiān)理機制信息系統(tǒng)環(huán)境隨著業(yè)務需求變化而不斷變化,這就需要一個可持續(xù)的信息安全制度來不斷規(guī)范指導新業(yè)務系統(tǒng)以保障其安全性從項目立項前期開始,組織專家對信息系統(tǒng)構架進行討論,然后再組織市級專家對項目的可行性進行論證,使信息系統(tǒng)建設方案更加科學化項目建設中引人監(jiān)理,監(jiān)理公司按照“四控制、三管理、一協(xié)調”的原則,對每個環(huán)節(jié)安全的實—管理創(chuàng)新施質量進行把控三是不斷完善信息安全制度,注重落實和監(jiān)督建立相應的安全管理總綱和策略要求,明確在安全規(guī)劃建設、軟件開發(fā)安全、安全風險評估、安全運維維護、敏感信息防護等方面的安全要求,并編制相應的規(guī)章制度、流程,以及相應的標準規(guī)范我們制訂了《信息系統(tǒng)容災演練應急預案》、《義烏市社會保障聯(lián)網(wǎng)業(yè)務計算機安全管理制度》、《義烏市人力資源和社會保障網(wǎng)站管理辦法》等相關制度。

2.7定期組織信息安全培訓學習

信息安全培訓學習是加強信息安全建設的重要組成部分通過培訓和學習,不斷提高干部職工的信息安全知識和意識,信息安全服務能力得到切實提高為進一步加大信息安全的培訓學習力度,提高信息系統(tǒng)安全管理和安全防范技術水平,一是安排干部職工外出學習,如參加專業(yè)的信息安全知識、安全產(chǎn)品的相關培訓等二是邀請專家到我局現(xiàn)場授課,擴大內部干部職工參與面與互動面,使培訓更有針對性三是定期在單位內部舉行信息安全知識交流學習,每月由內部技術骨干授課,牽頭交流學習實際工作中問題與難點解決方法。

作者：樓江杭工作單位：義烏市人力資源與社會保障信息管理中心