人社信息系统等保2.0建设思路

李哲 厉远通

（南京市江宁区人力资源和社会保障信息化管理服务中心 江苏省南京市 211100）

根据人力资源和社会保障信息系统的发展需要，并结合国家网络安全法等相关法律法规的要求，采用先进的信息安全防护理念和技术，规划涉及切实可行的建设方案，为人社信息系统的等级化安全体系建设提供思路。

1 设计原则

在规划、建设、使用、维护人力资源和社会保障局信息系统项目的过程中，遵循整体规划、逐步推进、结合实际、节约成本、科学合理、规范管理的原则进行规划和部署，并充分考虑到先进性、可行性、开放性和可拓展性。具体分为十个原则：

1.1 标准性等级原则

根据对人社信息系统的综合评估，确定好建设等级为国家等级保护二级，因此所有建设方案及相关产品均遵循此标准。

1.2 安全、需求、预算平衡原则

就目前而言不存在绝对安全的网络，无法做到没有任何安全漏洞。我们在对网络进行安全防护前，应对系统及网络进行需求分析，充分了解业务需求、设备性能、总体预算金额、网络的稳定性、可用性以及后期的维护成本等因素，对网络中可能存在的风险点进行充分的分析，以及可能受到的网络攻击或威胁进行必要考量，结合以上多种因素综合制定实施方案及有效的安全防范策略。

1.3 综合性、全局性原则

人社信息系统的安全防范能力，必然遵循水桶定律，即取决于各项安防措施中最薄弱那个的环节，因此必须高度重视整个信息系统防御体系中的各个环节，提升整体安全等级，以及各个防御环节之间的联动机制、制约机制，从全局性视角出发，做好各环节的联动，实现整个安全体系的稳定运行和统一管理。

1.4 可操作性原则

任何安全体系的建立、设备的部署、策略的制定，最终都需要人来完成，如果制定了从理论上来讲是一套完美的防御系统，但却没有操作性或操作极为繁琐，那将是空中楼阁。因此在制定方案时需要充分考虑可操作性原则。

1.5 技术成熟度和先进性原则

安全设备是整个安防体系中重要的组成部分，因此在选择安全设备时，在考虑到产品性能及先进性的同时，必须要着重考虑成品的成熟度。先进性和成熟度有时是一个对立的矛盾关系，需要进行折中式调和。

1.6 无缝对接原则

在对人社信息系统进行安全防御时，应在不改变原有网络架构的基础上完成，对于所有用户而言应该时透明的，无感知的。因此若干安全设备接入人社专网时，要做到无缝对接，并且不能在网络中产生“瓶颈”，对网络性能产生明显影响。

1.7 可管理性原则

在部署若干安全设备的同时，势必会增加对原有网络管理的难度，因此需要有统一的安全管理平台，对所有网络安全设备进行监控，实时了解设备的工作状态及网络安全告警事件等信息。

1.8 设备利旧原则

在对人社信息系统进行安全体系建设时，还应当充分考虑原有设备的再利用原则，充分做到新、旧设备合理规划、充分利用。

1.9 综合、长效治理原则

人社信息系统的等保防护建设是一个庞大的、系统性的工程，系统安全、网络安全不是通过堆叠安全设备就可以解决的，在充分运用各种技术手段的同时，还需要对系统维护人员、安全管理人员及所有工作人员进行安全防范教育，普及相关的基础知识以及法律法规，实现综合、长效的安全防护体系。

1.10 整体规划、阶段性实施原则

在整个等保防护体系建设工作中，应从全局出发，充分调研人社信息系统现状、梳理各流程环节，进而结合等保2.0防护标准，整体规划建设方案，并将工作进行拆分，通过分布走、阶段性实施的原则，逐步提升系统的安全等级。首先从解决主要矛盾、重要安全隐患入手，不断提升信息系统的安全防护能力，最终实现既定的工作目标。

2 设计思路

2.1 纵深防御

首先要树立的出发点就是以确保人社数据安全为核心，通过建设一套以“一个中心，三重防护”的纵深防御体系，来确保人力资源和社会保障系统的数据安全。

“一个中心，三重防护”是指以建立一套行之有效的安全管理策略为核心，建设安全的生产环境、构建科学的安全边界、搭建安全的通信网络，确保人力资源和社会保障应用系统在制度管理和技术防范下安全稳定运行，对各种可能出现的情况做出响应计划，消除任何意外状态，禁止所有非法用户接入人社专网，制定严格、合理的安全策略，杜绝一切未经授权访问或越权访问，从而保证人力资源和社会保障系统的数据安全。

安全管理中心是整个安防体系的控制中心，是信息系统安全人员的办公地。安全员根据系统环境及网络架构规划设计安全策略，并将制定的策略在生产环境和区域边界进行部署，从而形成有效的防护体系，以确保人力资源和社会保障保系统在安全可靠的环境中运行。安全管理中心又可以划分为以下几个子系统：防御、管理和审计系统。

（1）防御系统负责服务器、网络、设备终端统一管理、调度和维护；

（2）管理系统是安全管理的核心，统筹规划制定全局性的安全防护策略，对各个系统、网络、终端进行安全防御，从而形成体系化的网络安全防护，为整个人社系统提供立体式防护，确保系统的安全；

（3）审计系统，监控着系统运行的各个流程环节，安全员制定好相关的审计策略，对系统运行的所有流程环节进行监督记录，记录所有用户的操作日志，以确保所有操作留痕，为后续的审计工作提供有效证据。

一套完整的信息系统通常包含了服务器、网络设备、安全设备、终端设备等，对其的安全防护就形成了一个安全生产环境，应用系统安全的基础是生产环境安全。节点系统、应用系统两者结合构成了生产环境。节点子系统是一种系统安全机制，通过对电脑终端进行控制进而禁用相关API和端口，通过对外部访问行为的控制，严格管控非授权用户的非法访问，以及越权用户的违规访问行为，从而实现了系统不会遭到恶意破坏或数据泄露等风险，保障了人社系统的安全。应用防护系统，通过对应用服务进行二次封装，一是实现了对数据流的有效控制，二是增强了系统数据的防干扰能力，不会受到外来恶意程序的篡改，有效保护了数据的安全。

安全边界指的是人社各业务系统的逻辑边界，是人社内部业务系统和内网以外的系统数据交换的必经之路，我们可以通过对区域边界加强安全防护，实现对接入人社系统的外部设备或数据信息进行安全检查，既可以保证应区域内的系统不受攻击，也可以防止业务数据信息被窃取。

通信网络是内部应用系统之间以及内部应用系统与外部应用系统之间进行数据交换的媒介，安全的通信网络设备能够保证应用系统之间交互信息的完整性。

通过我们构建的三重防护体系，为人社信息系统编织了一套全方位的防护网络，对内既可以防止用户的非法访问和越权访问，对外既可以防止外部用户的攻击破坏，又可以避免数据的窃取或篡改，真正做到了“防内为主，内外兼防”，为提高人社信息系统的安全性提供了行之有效的防护方案。

2.2 动态综合防御

安全保障不是被动的解决单个环节、单一层面上的问题，而必须在信息存储、计算和交互等多方面全方位、多层次地从技术、管理等维度全面发力，进行无死角的安全设计和建设，我单位信息系统按照“积极防御、综合防范”战略要求整体采用覆盖C端、边界和核心等环节的检测、响应、防护和恢复等多种主被动措施和手段，对系统进行实时的、全面的保护，攻击者即使成功突破了部分保护措施的情况下，其他保护措施仍然能够有效地对系统进行保护，防止威胁与风险继续扩大，保证系统长期稳定可靠的运行，为维护人员预留出宽裕的反制时间。

2.3 安全域规划

从整体安全域的视角进行分析，考虑整个业务系统中可能存在的安全隐患。我们通常所说的安全域，一般是指要素相关并且安全等级相等的信息系统的总合，通常这些要素包含：硬件设备、网络环境、技术人员、整体架构、策略流程、业务和目标……

根据安全域的整体规划对网络按照不同的业务模块进行逻辑划分，一般可以分为数据存储、结算和信息交互等不同的安全域，各个安全域内部又根据的不同的专网、机构层级和服务对象划分为不同的安全子域。针对每个安全域或安全子域的运行环境和业务特点针对性的分析所存在的安全隐患和面临的安全风险，以此为依据有侧重的制定具有针对性的安全防护方案；我们需要在安全边界部署符合业务需要的安全控制策略、身份认证系统以及日志审计系统，通过行之有效的安全防护来确保不同安全域之间的数据交互，以及安全域内部之间的数据交互。

3 安全通信网络设计

网络架构的设计是否安全，决定着通信网络的安全，是实现通信网络安全的重点，它包括了网络安全区域的合理划分，重要网络区域部署和防护，网络通信中数据完整性防护等。因此，在网络层面需要采用安全技术手段，防御来自外部的恶意入侵，并对数据的有效性进行防护。结合人社业务系统工作需要，根据等保要求，规划设计了如图1所示的网络架构图。

图1：网络架构图

3.1 网络架构安全设计

根据信息系统的功能划分，将网络划分不同的安全区域，比如Trsut、Untrust、DMZ等，同时还需为各区域分配相应的地址和设置默认路由。在安全域划分基础上，还需兼顾到对网络管理的便捷性、网络资源管理的安全性等因素，因此需要根据不同安全域边界功能、防护等级、等因素而针对性的设置安全策略，通过设置相应的网络地址转换策略和端口控制策略，这样可以实现对重要网络区域的隐蔽，可以对需要链接互联网的应用系统及网络区域进行安全防护。

3.1.1 安全域划分

对人社信息系统划分不同的安全区域，并为各安全区域分配相应的地址和设置默认路由。

3.1.2 区域边界隔离

将下一代防火墙部署在人社信息系统的互联网出口区、各外联区的核心交换机上，并通过NAT（地址转换）策略和端口控制策略，实现对重要网络区域的隐蔽，可以对需要链接互联网的应用系统及网络区域进行安全防护。

3.2 通信传输安全设计

对于移动办公、远程运维人员通过互联网登录到信息系统进行的业务交互操作或远程管理操作，需要采用IPSEC或SSL VPN技术保证重要、敏感信息在网络传输过程中完整性和保密性。

3.3 区域边界安全设计

为了防护内部各系统生产环境的安全以及杜绝涉密信息的泄露，必须加强安全区域边界的设计和规划；通过在区域边界设置严格的安全策略，可以实现对所有进、出数据的管控和审计。对内可以保证参保人员敏感信息不会泄漏到应用系统外部，对外可以阻挡外界的恶意攻击破坏数据库或应用系统。

3.3.1 边界防护、访问控制

在人社信息系统的互联网接入链路，各个外联区接入交换机与业务交换机之间分别串联部署下一代防火墙，确保所有跨越边界的访问和所有流入、流出的数据均通过其受控接口进行通信、接受安全检查和处理。

3.3.2 入侵防范

3.3.2.1 入侵检测系统

在人社信息系统核心交换机上及各个分支节点旁路部署入侵检测系统，并在交换机上设置端口镜像，将流经交换机各个重要通信端口的进出双向数据流量镜像到IDS（入侵检测），由入侵检测系统对所有网络流量进行检测，以便发现网络中的攻击行为，并及时通报给系统管理员。一旦发现攻击可通过与防火墙联动或发阻断包等方式进行限制。

3.3.2.2 入侵防御系统

在人社信息系统的互联网出口边界的下一代入侵防御设备上开启入侵防御功能，实现对网络攻击行为的全方位检测和立体呈现。一旦发现攻击可以阻断包等方式进行防护。

3.3.2.3 WEB应用安全防护系统

在人社信息系统的WEB服务器前端部署WAF（WEB应用安全防护系统），通过WAF系统提供的WEB攻击防护，实现对SQL注入、XSS攻击、恶意文件上传、远程命令执行、恶意扫描等拦截，从而保护WEB应用服务的安全，真正实现了从应用层和业务层解决WEB网站安全的问题。

3.3.3 恶意代码

在人社信息系统的互联网出口边界及外联区的下一代防火墙上开启病毒过滤功能，对其他网络流入的数据进行病毒、恶意代码扫描和和过滤处理。同时人社专网上达省厅、下达街道社区，专网内部不同的网络区域由不同的主体运维和使用。

防火墙不能简单的定义为承载着阻断外部网络的病毒、蠕虫、木马及各种恶意代码对网络内部攻击的功能。还需要根据不同的外联边界将我部门管辖的网络分割为多个区域，防止内部某个区域的攻击向其他区域扩散。

3.4 安全生产环境设计

生产环境是人社各业务应用系统实际部署及运行环境，包括硬件（电脑终端、服务器、安全设备、网络设备等）、应用系统、数据、存储与备份等，生产环境安全是应用系统安全的根本。

3.4.1 安全审计

在数据库服务器所连接的交换机上旁路部署数据库审计系统，对来自网络的数据库访问行为进行记录，及时判断出违规操作或外部入侵行为并进行记录、报警，为数据库系统的安全运行及事后审计提供有力保障。

3.4.2 入侵防范

人社系统的终端承载着业务窗口经办的功能。其中不可避免地需要使用U盘等存储介质，与前来办理业务的市民或组织进行数据交互。所以在业务经办终端进行入侵防御显得尤为重要。为此我部门设置了三道屏障。

（1）在终端部署杀毒软件，并定期进行查杀和软件升级；

（2）借助基于网络的脆弱性扫描与管理系统，通过远程检测目标系统TCP/IP不同端口所提供的服务，分析目标给予的应答，搜集目标系统上的漏洞信息，然后与系统内置的漏洞库进行匹配，对存在的安全漏洞进行针对性维护。

（3）在汇聚业务终端的交换机后端部署防火墙。阻隔感染病毒的终端向内部扩散病毒。

3.4.3 恶意代码

在人社信息系统中所有服务器、终端系统上部署终端威胁防御系统，实现的统一病毒查杀、漏洞管理、系统加固、软件管理、流量监控、资产管理等安全功能，有效地保护计算环境内用户计算机系统安全和信息数据安全。在安全管理区部署统一的终端威胁防御系统管理服务器和病毒库升级服务器，确保全网终端具有一致的威胁防御策略和最新的病毒查杀能力。

3.5 管理中心安全设计

安全管理中心需要有三类角色存在，即系统管理员、审计管理员和安全管理员，这三个角色需要做到三权分立，对各类管理员进行身份鉴别，只允许其通过特定的堡垒机和账户登录，进而进行权限范围内的管理操作，并使用日志管理系统对这些操作进行记录和审计。

在信息系统的安全管理区部署堡垒主机，在人社信息系统与运维人员之间搭建一个安全防护屏障，使得每个维护人员具有唯一的安全入口，并为所有维护人员提供统一的交互界面，从而确保维护人员的所有操作行为有迹可循。在安全管理区部署一套集中的日志收集和分析系统，通过被动采集（SYSLOG、SNMPTRAP）或主动采集（ODBC/JDBC、文件读取、安装AGENT）的方式对信息系统中所有网络设备、服务器操作系统、应用系统、安全设备、安全软件管理平台等所产生的日志数据进行统一采集、存储、分析和统计，通过图形化界面为管理人员提供形象易懂的态势感知、日志分析、异常报警等功能，并按照等保要求长期妥善保存日志数据以便随时倒查。

4 建设步骤及内容

根据等保2.0的标准，结合人社信息系统的运作特性构建设计思路，等级保护的设计与实施通过以下步骤实现：评估现行系统、安全域设计划分、确定安全域安全要素、整体安全保障体系方案设计、方案建设与实施、信息系统定级与备案、安全运维制度化。通过以上步骤，人社信息系统可以初步形成系统性的安全保障，同时根据安全技术建设和安全管理建设，保障信息系统整体的安全。

依据国家相关政策要求，在技术体系的层面，对信息系统进行安全建设，主要覆盖以下四个方面内容：

（1）安全通信网络，主要考虑如何划分安全域、如何实现区域边界的隔离、VPN网络搭建。

（2）安全区域边界，主要考虑边界安全防护及策略配置、用户权限及行为管理、病毒过滤、WEB应用安全防护系统、入侵防御系统。

（3）安全生产环境，主要考虑恶意代码防护、日志收集分析报警系统、入侵检测系统、数据库审计系统。

（4）安全管理中心，主要考虑三员管理、日志收集和分析系统、运维访问控制和安全审计。

5 建设收益

通过等保2.0项目建设，收益表现在短期效益和长期效益两方面：

从短期效益来看，可以达到：使IT系统符合业务发展需求；满足网络安全的合规性需求；建立良好的安全管理运维体系；均衡IT投入和产出；有效降低恶性风险事件带来的直接经济损失；降低因安全风险带来的负面影响和代价预期。

从长期效益来看，可以实现：IT的投资建设进入良性循环；促进业务的良好持续发展；防范网络安全问题引发的社会不良影响；降低网络安全问题可能引发的法律风险和商业风险；保护知识产权，杜绝核心数据外泄；实现全方位威胁检测和防护体系。