省级金保工程网络安全解决方案.pdfVIP

省级金保工程网络安全解决方案

本方案的设计对象为省级劳动保障信息系统（劳动力市场信息系统和社保信息系统）网

络，涉及范围包括省劳动保障业务专网、省劳动力市场虚拟专网以及省劳动保障公众服务网，

横向覆盖各个政府相关部门以及其他相关单位的边界接口（重点是业务专网的前置系统），

纵向上覆盖到各个市级平台，包括区县单位的边界。

从安全技术选择方面，本方案以保障网络安全、数据安全和管理安全为重点，实现手段

以安全产品为重点，以提供给省劳动保障厅进行参考。

方案背景

某省劳动保障信息系统（劳动力市场信息系统和社保信息系统）网络，涉及范围包括省

劳动保障业务专网、省劳动力市场虚拟专网以及省劳动保障公众服务网，横向上覆盖各个政

府相关部门以及其他相关单位的边界接口（重点是业务专网的前置系统），纵向上覆盖到各

个市级平台，包括区县单位的边界。系统总体逻辑框架示意图如下：

针对某省劳动保障信息系统平台，需要对其信息和信息处理设施的威胁、影响和弱点及

威胁发生的可能性进行分析，从而提出明确的防范措施，全面保障信息的保密性、完整性和

可用性。

安全需求

金保工程的开展，实现了全国社保工作的逻辑互联，集中监控能力。由于网络存在横向

机构和纵向部门间的数据交换，作为政务工作网将严格按照严格参考国家电子政务安全保障

建设的思路和标准进行建设。

设计思路

本方案的基本思路是：以保护信息系统为目标，严格参考国家电子政务安全保障建设的

思路和标准，以策略为核心，从多个层面进行建设，满足省劳动保障信息系统在物理层面、

网络层面、系统层面、应用层面和管理层面的安全需求，建成后的保障体系将充分符合国家

标准，能够为省劳动保障厅业务的开展提供有力保障。

方案设计

1、某省劳动保障信息网络的公共服务区

在互联网出口部署入侵防护，对来自互联网的访问数据包进行深度监测，有效杜绝黑客

攻击、网络渗透、弱点攻击，特别是有效防范拒绝服务攻击，保护某省劳动保障厅的政府形

象，保护合法用户的利益；

部署流量监测系统

在入侵保护的监测基础上，在互联网出口处部署流量监控系统，对互联网的出口数据流

量（经过入侵防护系统过滤后的流量）进行监测，通过历史分析、实时分析等技术，来深入

监测网络的活动，并对出现的异常进行报警；

部署防病毒网关

建议在防火墙与劳动就业应用服务器、主页发布服务器之间的链路上，部署防病毒网关，

分别针对互联网用户的访问；劳动就业机构的远程通讯，进行病毒的分析与查杀，防止病毒

进入公共服务区；

部署漏洞扫描系统

分别在省、市网络平台上引入漏洞扫描系统，对公共服务区内的服务器、网络设备、安

全设备进行全面的监测与扫描，尝试发出各种攻击数据包，并根据系统反馈的结果判断系统

是否存在着安全漏洞，同时针对监测到的安全漏洞给出加固建议，协助系统管理人员对系统

漏洞进行修补；

部署服务器核心加固系统

在公共服务区内的主页服务器、就业应用服务器、就业数据库服务器以及邮件服务器等

安装服务器核心加固系统，并根据服务器操作系统的版本来选择不同型号的核心加固系统。

部署服务器防病毒系统

在部署了防病毒网关以后，对于来自互联网的绝大多数病毒都可以有良好的防范，但是

防病毒网关重点是针对网络型病毒，比如蠕虫病毒、恶意脚本病毒等，对于大文件携带的病

毒仍然无能为力，特别是这些大文件如果在网关处进行过滤，也将严重影响通讯的效率，因

此还需要在服务器本地进行病毒的查杀。

部署防垃圾邮件系统

该系统形态为硬件，旁路地部署在公共服务区的交换机上，在实施的时候需要重写

DNS，将邮件的域名指向防垃圾邮件系统上，保障邮件只有经过检查后，方可被发送到邮件

服务器内；

部署集中的日志审计系统

在公共服务区内部署日志审计系统，将原来分散在各个服务器、网络设备以及安全设备

的日志进行集中记录，并提供给系统管理人员进行查询和检索，在系统发现安全问题后可以

对访问过程进行还原，同时日志审计系统所记录的内容还可作为安全管理中心的输入，作为

进一步进行分析和管理信息网络的依据。

部署隔离网闸

公共服务区与业务专网之间存在着较多的信息交换，包括前台通过劳动保障门户所进行

的网上社保申请数据，以及劳动就业信息，均需要从公共服务区传递到业务专网，并在业务

专网处理完毕以后，再次传递回公众服务区并进行发布，正如需求中描述，对此可