導(dǎo)語：社保系統(tǒng)信息安全建設(shè)思路一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1信息安全總體構(gòu)架

任何一項安全工作的落實,都依賴于人員、技術(shù)、流程作為支撐,結(jié)合人力社保業(yè)務(wù)的實際情況,從技術(shù)與管理上進行規(guī)劃與規(guī)范通過對安全域的劃分明確各業(yè)務(wù)系統(tǒng)所在的區(qū)域,同時在域邊界、內(nèi)部部署相應(yīng)的安全檢測、防護、審計等措施,建立綜合安全運維管理平臺,以支撐我局信息系統(tǒng)的安全運行形成信息系統(tǒng)安全規(guī)劃總框架。

2應(yīng)對措施

2.1信息安全基礎(chǔ)設(shè)施及環(huán)境保障建設(shè)

一是物理環(huán)境安全物理環(huán)境安全是信息系統(tǒng)安全的前提,信息中心建有一個國家A類標(biāo)準(zhǔn)主機房通過雙路市電和冗余UPS主機電源,配備后備大功率發(fā)電機,以提高電源保障能力,同時通過雙精密空調(diào)保障恒溫恒濕的機房環(huán)境二是本地機房關(guān)鍵設(shè)備實現(xiàn)冗余熱備通過多次對小型機、核心交換機、核心路由器、防火墻等重要設(shè)備進行升級、更新,實現(xiàn)關(guān)鍵設(shè)備高可靠性、高性能熱備,通過負載均衡設(shè)備實現(xiàn)業(yè)務(wù)自動均衡分。三是多渠道、多方式保障數(shù)據(jù)真實、有效做好數(shù)據(jù)備份管理及恢復(fù)測試工作,對人社基礎(chǔ)數(shù)據(jù)通過虛擬帶庫每天進行增量備份,每周進行一次全備此外,還在異地建立了應(yīng)用級容災(zāi)系統(tǒng)中心,保證數(shù)據(jù)的完整性和業(yè)務(wù)的連續(xù)性四是采用網(wǎng)絡(luò)版防毒墻,定期修改相關(guān)密碼保護網(wǎng)絡(luò)上的端點免受惡意軟件、網(wǎng)絡(luò)病毒、基于Web的威脅、間諜軟件和混合威脅攻擊的危害,信息中心采用了多層病毒防御體系,即在每臺PC和服務(wù)器上安裝防病毒軟件,定期升級病毒庫同時定期對所有相關(guān)硬件設(shè)備及業(yè)務(wù)系統(tǒng)密碼進行修改五是通過專線加前置機接口方式實現(xiàn)業(yè)務(wù)延伸和部門聯(lián)網(wǎng)數(shù)據(jù)交換首先,政府不斷推行便民服務(wù)意識,不斷延伸業(yè)務(wù)窗口,相關(guān)業(yè)務(wù)通過專線延伸到鎮(zhèn)街勞管所,部分業(yè)務(wù)延伸至行政村(社區(qū)),實行業(yè)務(wù)內(nèi)網(wǎng)與互聯(lián)網(wǎng)物理隔離,數(shù)據(jù)交換采用前置機接口方式實現(xiàn),減少手工參與,提升數(shù)據(jù)交換的質(zhì)量與實時性和安全性。

2.2搭建網(wǎng)絡(luò)安全區(qū)域

明確劃分各安全區(qū)域,整體信息系統(tǒng)安全構(gòu)架通過部署異構(gòu)防火墻和工PS來實現(xiàn)在核心數(shù)據(jù)庫和內(nèi)部業(yè)務(wù)服務(wù)、運維管理等系統(tǒng)之間設(shè)置防火墻和工PS,對外業(yè)務(wù)服務(wù)系統(tǒng)和外聯(lián)單位之間設(shè)置防火墻和工PS網(wǎng)上申報業(yè)務(wù)通過網(wǎng)閘和防火墻連接互聯(lián)網(wǎng),在有效保障網(wǎng)絡(luò)安全的前提下,滿足業(yè)務(wù)查詢與數(shù)據(jù)信息同步等需求并通過WAF應(yīng)用防火墻,對社保網(wǎng)上申報業(yè)務(wù)進行安全防護,有效阻止日益盛行的WEB黑客攻擊安全區(qū)域之間策略部署按需開放,精細化控制一是在安全設(shè)備上進行ACCESSCONTROL精細化ACCESSCONTROL就是在身份認證的基礎(chǔ)上,依據(jù)授權(quán)對提出的資源訪問請求加以控制訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略,他可以限制對關(guān)鍵資源的訪問,防止非法用戶的侵人或因合法用戶的不慎操作所造成的破壞實現(xiàn)路由上最小化,端口上具體化、策略上清晰化,根據(jù)業(yè)務(wù)變更定期清理無效策略。

2.3通過安全審計系統(tǒng),提高數(shù)據(jù)的安全性

安全審計已經(jīng)成為信息安全保障體系建設(shè)中必不可少的關(guān)鍵組成部分,安全審計可以對主機、網(wǎng)絡(luò)、數(shù)據(jù)庫等各類信息系統(tǒng)各層面進行審計我們采用數(shù)字KVM實現(xiàn)系統(tǒng)服務(wù)器的集中管理,并開啟KVM審計功能,對操作行為進行屏幕錄像審計為了保證社保核心數(shù)據(jù)得到規(guī)范存儲、規(guī)范管理,以及有效地減少核心信息資產(chǎn)的被破壞和數(shù)據(jù)泄漏,我們采用了嵌人式的數(shù)據(jù)庫審計系統(tǒng)我們通過B/S三層構(gòu)架,前臺業(yè)務(wù)統(tǒng)一通過中間件訪問生產(chǎn)庫,拒絕外部訪問數(shù)據(jù)庫;只有內(nèi)部開發(fā)與維護用戶且授權(quán)的工P、連接用戶、進程名,才能訪問生產(chǎn)庫,并且不允許DRoP、DEL等刪除操作。

2.4建成應(yīng)用級容災(zāi)系統(tǒng),定期組織信息系統(tǒng)容災(zāi)演練

系統(tǒng)容災(zāi)演練是信息化應(yīng)急體系建設(shè)的重要組成部分容災(zāi)演練是指本地生產(chǎn)中心主機、存儲、網(wǎng)絡(luò)等系統(tǒng)在突發(fā)故障情況下,快速地啟用容災(zāi)備份中心相應(yīng)系統(tǒng),以證實容災(zāi)應(yīng)用系統(tǒng)恢復(fù)的可用性、快速性通過進行容災(zāi)演練,確保冗余信息系統(tǒng)的可用性,并對演練過程中發(fā)現(xiàn)的一些問題進行分析優(yōu)化,進一步做好安全隱患排查和應(yīng)急預(yù)案的完善工作。

2.5應(yīng)用層面安全控制

在物理安全及網(wǎng)絡(luò)安全采取相關(guān)保障的基礎(chǔ)上,業(yè)務(wù)系統(tǒng)基于B/S三層構(gòu)架開發(fā)設(shè)計,提高信息系統(tǒng)的安全性與可靠性一是業(yè)務(wù)經(jīng)辦人員CA認證為加強經(jīng)辦業(yè)務(wù)數(shù)據(jù)的安全,建立業(yè)務(wù)經(jīng)辦人員CA認證系統(tǒng),登錄業(yè)務(wù)系統(tǒng)要求進行CA認證,并在系統(tǒng)中實行業(yè)務(wù)人員與CA綁定,并根據(jù)業(yè)務(wù)不同分配不同權(quán)限二是社會保險基金的安全管理嚴(yán)格要求醫(yī)保定點醫(yī)療藥店對藥品出人庫數(shù)據(jù)庫信息與醫(yī)保刷卡信息數(shù)據(jù)與中心數(shù)據(jù)庫進行比對,防止藥品串換,確保醫(yī)療保險基金的安全通過社保基金監(jiān)管軟件,定期對各項數(shù)據(jù)進行審查三是社會保障卡安全管理設(shè)置卡密碼和刷卡消費信息自動提醒,如果卡被盜刷,持卡人可以通過電話(96150)或者網(wǎng)站進行7*24h的自助掛失,也可以到就近人社服務(wù)窗口網(wǎng)點掛失。

2.6安全管理組織及制度

一是堅持統(tǒng)籌規(guī)劃,建立安全組織和人員體系在安全組織和人員體系方面,成立了信息安全工作領(lǐng)導(dǎo)小組,建立決策、管理、執(zhí)行三級組織構(gòu)架,明確各層級組織的職責(zé)分工及相應(yīng)的崗位和人員配置要求針對系統(tǒng)安全相關(guān)人員開展安全知識、技能和意識培訓(xùn),根據(jù)單位工作實際情況,建立垂直和水平的溝通、協(xié)調(diào)機制如定期召集務(wù)相關(guān)單位進行座談會和討論會二是建立安全管理制度和引進信息化建設(shè)監(jiān)理機制信息系統(tǒng)環(huán)境隨著業(yè)務(wù)需求變化而不斷變化,這就需要一個可持續(xù)的信息安全制度來不斷規(guī)范指導(dǎo)新業(yè)務(wù)系統(tǒng)以保障其安全性從項目立項前期開始,組織專家對信息系統(tǒng)構(gòu)架進行討論,然后再組織市級專家對項目的可行性進行論證,使信息系統(tǒng)建設(shè)方案更加科學(xué)化項目建設(shè)中引人監(jiān)理,監(jiān)理公司按照“四控制、三管理、一協(xié)調(diào)”的原則,對每個環(huán)節(jié)安全的實—管理創(chuàng)新施質(zhì)量進行把控三是不斷完善信息安全制度,注重落實和監(jiān)督建立相應(yīng)的安全管理總綱和策略要求,明確在安全規(guī)劃建設(shè)、軟件開發(fā)安全、安全風(fēng)險評估、安全運維維護、敏感信息防護等方面的安全要求,并編制相應(yīng)的規(guī)章制度、流程,以及相應(yīng)的標(biāo)準(zhǔn)規(guī)范我們制訂了《信息系統(tǒng)容災(zāi)演練應(yīng)急預(yù)案》、《義烏市社會保障聯(lián)網(wǎng)業(yè)務(wù)計算機安全管理制度》、《義烏市人力資源和社會保障網(wǎng)站管理辦法》等相關(guān)制度。

2.7定期組織信息安全培訓(xùn)學(xué)習(xí)

信息安全培訓(xùn)學(xué)習(xí)是加強信息安全建設(shè)的重要組成部分通過培訓(xùn)和學(xué)習(xí),不斷提高干部職工的信息安全知識和意識,信息安全服務(wù)能力得到切實提高為進一步加大信息安全的培訓(xùn)學(xué)習(xí)力度,提高信息系統(tǒng)安全管理和安全防范技術(shù)水平,一是安排干部職工外出學(xué)習(xí),如參加專業(yè)的信息安全知識、安全產(chǎn)品的相關(guān)培訓(xùn)等二是邀請專家到我局現(xiàn)場授課,擴大內(nèi)部干部職工參與面與互動面,使培訓(xùn)更有針對性三是定期在單位內(nèi)部舉行信息安全知識交流學(xué)習(xí),每月由內(nèi)部技術(shù)骨干授課,牽頭交流學(xué)習(xí)實際工作中問題與難點解決方法。

作者：樓江杭工作單位：義烏市人力資源與社會保障信息管理中心