概述

设计目标

建立安全保障体系是为了给整个“智慧养老平台”提供全面的安全支撑。本技术方案中将进行安全风险分析，基于风险分析给出安全系统设计，规划安全管理体系和安全服务体系，并介绍相关的安全产品。

遵循标准和规范

在整个安全保障体系设计中我们遵循如下标准：

²  《AS/NZS 4360: 2004风险管理标准》；

²  ISO15408（CC）：《信息技术安全评估准则》；

²  GB17859-1999：《计算机信息系统安全保护等级划分准则》；

²  ISO17799/BS7799：《信息安全管理惯例》；

²  ISO13335：

第一部分：《IT安全的概念和模型》；

第二部分：《IT安全的管理和计划制定》；

第三部分：《IT安全管理技术》；

第四部分：《安全措施的选择》

在方案规划设计中遵循了以下标准规范及法律法规文件：

引用标准

²  国家标准GB2887-2011《电子计算机场地通用规范》

²  国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》

²  国办秘函[2002]240号《安全支撑平台和应用支撑平台技术规范》

注：以上标准如与最新国家标准内容相抵触，应以最新国家标准内容为准。

引用的法规和文件

²  国家保密局文件《计算机信息系统保密管理规定》

²  《中华人民共和国计算机信息系统安全保护条例》

注：以上法规和文件如与最新颁布的法规和文件内容相抵触，应以最新颁布的法规和文件内容为准。

安全保障风险分析

实体风险

实体风险主要指：

²  网络设备的物理风险：意外故障、断电或恶劣机房环境导致不能正常运行或损坏。

²  主机设备的物理风险：机房安全、意外故障、断电、恶劣机房环境或超负荷运行有可能导致重要信息丢失、不能正常运行或损坏；同时，不当的维修管理程序也有可能造成泄密或丢失信息。

²  备份数据的物理风险：储存场所的安全和不良室内环境，如高温、高湿和强电磁辐射等因素有可能导致信息丢失或物理介质永久损坏。

²  门户网站的web应用服务器、目录服务器、核心交换机以及其他应用系统的业务调度服务器、数据库服务器、核心交换机都属于重要保障对象。

网络风险

整个系统横跨互联网、政务专网、和各委办局内部局域网络，需要在不同的安全域之间建立通信链路。存在的主要安全威胁包括：

²  网络系统内运行的TPC/IP协议并非专为安全通讯而设计，攻击者利用TCP/IP协议的弱点，进行网络信息监听，窃取网上的机密信息；

²  网络层的动态路由协议存在着一定的安全漏洞，有可能被恶意的攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击作准备，进而发动网络入侵；

²  网络传输复杂，传输数据容易被截获，从而造成数据泄密、数据被篡改。

²  外网网络直接受到来自互联网的恶意攻击和破坏。

系统风险

系统层的安全风险主要是操作系统平台自身缺陷带来的安全威胁和病毒攻击带来的系统异常：

²  本项目设计中所有服务器的操作系统，其中一些操作指令会带来安全风险。如NAMED会带来远程缓冲区溢出、拒绝服务攻击。

²  本系统上运行的业务工作站的操作系统若选用WINDOWS，系统本身存在很多安全缺陷。如IE等网络浏览器带来的安全漏洞。

²  病毒攻击一直是系统安全的很大威胁，尤其在门户系统上信息交换频繁，如果受到病毒攻击往往会造成大面积病毒发作。

管理维护风险

管理维护风险主要体现在如下三个方面：

²  规章制度不严，使恶意攻击者可以钻安全管理的空子，发动网络攻击；

²  技术措施不力，使系统安全维护得不到足够的技术保障；

 安全系统设计

总体安全设计

随着网络结构的不断复杂化，网络攻击手段日渐翻新，网络和网络上运行的系统面临的安全威胁愈益增大。

整个系统的安全威胁不是可以在任何单一风险层次中解决的，必须建立全方位、多层次防范体系。所以，在设计“智慧养老平台”的安全保障体系时，我们在传统分层防御设计的基础上加入深度防御体系的思想，增加网络系统的安全性。基于ITAF（《信息保障技术框架》），结合对“智慧养老平台”的安全风险分析，将从如下两个方面综合设计安全保障体系：

核心安全设计：

²  设计能够保证各委办局业务系统与“智慧养老平台”之间的可信信息传输；

²  设计安全可靠的统一用户注册、身份认证和访问控制机制；

²  设计信息分级分类管理，建立信息安全域防护措施；

安全防护设计：

²  网络基础设施防御：设计网络和相关基础设施的防御体系和防御策略；

²  边界防护：设计网络边界的隔离与通信的安全策略；

²  保护内部计算环境：设计保护计算环境中信息的保密性、完整性和可用性机制；

可信信息传输

“智慧养老平台”是所有业务项目的业务流转中枢，“智慧养老平台”与其他系统之间的信息传输必须是高效快捷的，同时又必须是安全可信的。

安全隔离层的可信信息传输

安全隔离是针对社区民政和外网“智慧养老平台”之间的安全策略，其要求在网络联通的条件下，实现安全的信息交流。安全隔离的安全强度要求高于逻辑隔离，但不等同于物理隔离，具体实现措施是：

²  在链路层，设置VPN，在“智慧养老平台”与外网之间建立虚拟专线；

²  在传输层，建立防火墙的安全访问控制策略，只开通80端口，限制可以穿过防火墙通信的设备IP地址和只允许HTTPS协议支持；

²  在数据层，使用经过国家密码主管部门认证的加密算法和加密设备，建立SSL加密传输通道。

²  在应用层，应用系统之间通过消息交换机制建立安全链路，确保所有数据交换都是由社区数据聚合平台一端主动发起。

逻辑隔离层的可信信息传输

逻辑隔离是针对“智慧养老平台”和各社区内网之间的安全策略，其隔离机制是：

²  在传输层，建立防火墙的安全访问控制策略，只开通80端口，限制可以穿过防火墙通信的设备IP地址和只允许HTTPS协议支持；

²  在数据层，使用经过国家密码主管部门认证的加密算法和加密设备，建立SSL加密传输通道。

²  在应用层，应用系统之间通过消息交换机制建立安全链路。

信息分级分类管理

信息安全域

“智慧养老平台”上的信息分发系统要负责众多保密信息，所以信息安全问题尤其重要。例如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等，都将对“智慧养老平台”的正常运行构成严重威胁。为保证信息安全，有必要对“智慧养老平台”的信息和网络系统进行专门的安全设计，划分不同信息安全域。

信息安全域的划分可以有多种规则：

²  基于业务应用系统，可以分为：服务业务、监督监察、决策支持、系统管理；

²  基于信息资源服务有偿或无偿，可以分为：有偿服务域、无偿共享域；

以上各种划分的核心就是同一信息安全域内信息安全等级相同，不同安全等级的信息安全域采取不同的安全策略。

安全等级划分

安全等级划分原则是指：具体业务需求决定其业务信息的安全等级。本项目以业务信息为标准，划分安全等级如下：

²  安全等级一：不会为用户或服务提供方带来任何损失，并且其服务内容与具体用户无关。如政府公告、新闻等等；

²  安全等级二：不会为用户或服务提供方带来任何损失，但是其服务内容与具体用户有关。如监督、投诉、举报等等；

²  安全等级三：涉及到个人隐私等关键数据的业务。

安全防护设计

网络和主机设备加固

主机加固：

主要是指将主机部署在防火墙的DMZ端，依靠DMZ配置提供了实施附加安全措施的自然层。“智慧养老平台”上下列设备采取主机加固：

社区平台的WEB/应用服务器

硬件加固：

主要是指提高设备硬件构架的稳定性，如配置双电源、服务器选用专有服务器技术的架构。“智慧养老平台”上所有服务器均要采用服务器专有技术构架的设备并配置双电源。网络设备需要配置双电源。

软件加固：

主要是指对设备的操作系统进行内核升级或安装补丁。“智慧养老平台”上所有主机需要采用软件加固。

容错与容灾

容错

容错在本项目中主要体现在关键主机的备份(ha)与集群、重要数据的备份等措施上：

WEB/应用服务器：承载大量用户的海量访问，采用高性能服务器。

目录服务器：用户身份管理基础架构，处理的是身份认证类的小量数据。服务器内存储的数据将定期作增量备份，备份数据存储在数据库服务器中。

数据库服务器：作为外网门户网站的数据存储服务器，其负责着网站信息的提供，用户信息的存储与备份，建议采用集群技术，提供高可靠性、可扩充性。

容灾（建议）

1、建立的目的：

建立容灾系统的目的在于当“智慧养老平台”由于火灾、地震、严重电源故障等原因失去运转能力后，能快速得到恢复。

2、保护的范围：

由于建立容灾系统的投资较大、实施要求高，所以我们只对整个“智慧养老平台”中最重要最核心的系统进行容灾备份。重点基础信息资源的数据等，需要进行数据容灾备份，以保障“智慧养老平台”在系统损毁后很短的时间内恢复运行。

3、容灾的方法：

建立容灾备份中心，将“智慧养老平台”数据库服务器存储的数据远程容灾备份在容灾备份中心。为做到数据容灾备份，容灾备份中心与“智慧养老平台”机房之间建立高速光纤通道，实现数据可以同时存入“智慧养老平台”数据库服务器和容灾备份中心的数据库服务器。按照统一性原则，容灾备份中心需要与“智慧养老平台”一样的数据库服务器和数据存储设备。

边界防护

网络入侵检测系统设计

功能设计

网络入侵检测系统主要提供功能：

²  根据规则判别是否有攻击行为；

²  检测到攻击行为时，向管理台发送警报；

²  与防火墙进行联动处理

部署设计

入侵检测是一种主动检测系统是否受到攻击的网络安全技术，是防火墙的有效补充。在不影响网络性能的情况下在业务平台核心交换机，在外网门户核心交换机设置入侵检测系统。

本方案中的IDS（入侵监测系统）采取端口镜像的方式监测数据聚合服务器。

防火墙系统设计

功能设计

根据安全保障体系的要求，部署的防火墙主要为了屏蔽网络通信安全层的访问攻击风险，设备应具有如下设计特点：

²  基于OS内核的会话检测技术，在OS内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能。

²  对不同对象的具体的组成资源，如文件、防火区域、节点对象、协议类型、应用行为、应用类型、管理端口协议等，直接进行控制，极大的提高了安全性，并保证了配置的方便性。

²  防火墙的管理采用集中的层次管理结构，实现“防火墙-防火区--对象-资源”的安全策略定义结构。配置简单、配置安全性高；管理简单、维护方便；更好的保证了性能。

²  支持众多网络通信协议和应用协议，如VLAN、IPX、RIP、802.1Q、IPSEC、PPTP、AppleTalk、BOOTP等，使防火墙适用网络的范围更加广泛。

各防火墙功能如下:

千兆防火墙：

²  内网数据的整合由市级聚合服务器完成。民政内网、外网、市级社区建设信息化平台三者由千兆防火墙相互隔离，内网不允许访问外网，防火墙只允许内网的市级聚合服务器向市级社区建设信息化平台推送数据，以充分保证内网与外网的隔离以及内网本身的安全性；千兆防火墙同时还保障信息化平台免受来自Internet的安全威胁。

认证网关

功能构成

1．提供有效的注册方式，解决各类用户的身份真实性问题，建立无虚假信息的用户资料库；

2．支持多种身份认证方式，满足不同身份凭证的认证需求。

3．对各类身份凭证进行在线实时验证，杜绝非法访问和超权限访问；

4．对所提供的认证服务进行有效的管理，防止非授权使用；

5．对用户信息、用户访问信息、审批服务安全等级等内容进行有效的管理、维护、统计、分析等。同时，提供用户管理入口，用户对于自己的凭证可以有效的管理，如挂起，生效，撤销，限制时期等等；

认证流程各功能模块的描述如下：

a)   注册服务模块：以WEB方式为用户提供注册服务，实现不同安全等级的身份注册、凭证颁发、用户资料管理及销毁等功能；

b)   认证服务模块：是提供在线身份认证服务功能的接口，包括对用户凭证的可靠性验证，返回身份凭证状态等等。

c)   认证网关数据库：由认证网关所管理、维护的数据资料，包括用户信息、凭证信息、业务服务安全等级等等。

d)   管理模块：以WEB方式提供的网关自身的管理功能，包括用户资料审核、用户信息管理、服务安全等级管理、统计分析等等功能。

e)   LDAP服务器：以目录服务的方式为“智慧养老平台”的各个应用系统提供用户资料共享的服务。

认证机制

用户名/口令凭证的认证机制是：采用哈希值（摘要）进行比对的方式。即，用户进行系统登录时，上传用户名以及口令的哈希值到网关；网关接收到的用户名／哈希值后，从数据库中提取相应用户的口令，并运算得到哈希值后，进行两个哈希值的比对，完全符合后，用户方可登录。

数字证书凭证的认证机制是：采用基于公钥密码的证书验证方式。即，用户进行系统登录时，通过握手协议，互相进行证书验证及签名验证；网关验证通过后，从用户证书中提取关键信息，与从本地用户数据库中的相应内容进行比对，完全符合后，用户方可登录。这种认证方式实现了高标准的身份可靠验证，杜绝了口令网上传输所带来的各种潜在风险，同时通过签名也保留了用户登录的证据。

服务接口

认证网关服务接口主要包括以下内容：

²  获取某一审批服务所需要的身份凭证类型；

²  上传身份凭证的审请验证信息；

²  验证身份凭证的有效性；

²  获取某一具体身份凭证所能办理的审批服务项；

获取用户的详细资料信息；

密码服务系统

“智慧养老平台”上业务涉及到的相关信息中包括公众隐私、商业秘密和政府机构、社会团体的敏感信息。为确保上述信息在“智慧养老平台”和各委办局业务系统之间交换信息的完整性、机密性和不可否认性，需要建立密码服务系统。

功能设计

密码服务系统主要解决“智慧养老平台”在提供审批服务和进行数据交换时，为保证数据安全、业务安全而需要的密码服务，主要包括：

数据加解密：提供对数据的加密和解密运算功能；

数字签名：提供对数据的签名和签名验证运算功能；

数据摘要：提供对数据进行摘要运算功能，并具有验证数据完整性功能；

本项目中可信信息传输采用安全中间件技术，传输封装过程通过密码服务接口模块调用密码处理，对数据进行数据加解密、数字签名、数据摘要。其中加解密用到的所有密码算法必须经国家密码主管部门认可，而且必须是在经国家密码主管部门批准的密码设备上运行。

密码接口调用示意图

密码服务软件接口：

密码服务软件接口对应用系统提供JAVA和C/C++/C#等接口。

部署设计

在“智慧养老平台”中，密码服务器可以考虑不作为单独的实体，每种密码服务都以软件接口的形式向上层应用提供统一的服务接口。

漏洞扫描系统设计

功能设计：

定期对系统安全进行漏洞扫描，侦测网络上的各类设备及其操作系统的安全漏洞

扫描结果可以生成三种不同类型的报告，供领导、技术主管、技术员等不同级别的人审阅

随着“智慧养老平台”应用的扩展，灵活的定义侦测类型，方便的丰富扩展列表

部署设计：

部署在外网门户网站与“智慧养老平台”网络边界上，可以兼顾网络边界设备和内部网络设备的漏洞扫描。

保护内部计算环境

本项目保护内部网络主要包括对内部网络上的连接的主机的入侵检测，主要分工作站入侵检测、服务器入侵检测和病毒防护

工作站入侵检测

对工作站的操作系统进行自动实时监测，以发现可能的入侵和越权使用行为。

重要文件的监测功能:监测用户自定义的数据文件和应用程序，监测操作系统的重要配置文件。

对注册表的操作的监测：分析操作系统的注册表操作，检查一些关键键值是否被增加、修改等，发现可能的木马植入等信息。

网络通信监测：分析对网络服务的连接，检查是否有已知的攻击请求。

对系统事件的监测: 通过监视系统日志来实现监测操作系统的事件。

服务器入侵检测

对运行服务器进行自动实时监测，以发现可能的入侵和越权使用行为。

重要文件的监测功能：在系统上的任何文件，均可以进行监测，监测行为包括：文件大小改变，内容篡改，删除。

系统内进程行为的监测控制功能，防止某些已知的恶意进程的运行。

网络端口扫描监测：网络监测模块主动捆绑预定义的端口，并一直监听在一些空闲的端口上，监控非法连接。

病毒防护

病毒防护分析：

病毒防治系统对各类病毒的进行检测与杀灭，使系统免于病毒的破坏。在网关、服务器、工作站配置病毒防治系统，提供：

实时病毒扫描和手动病毒扫描功能；

自动报警及病毒事件处理功能；

扫描多种压缩文件功能；

支持病毒特征库更新功能；

网关病毒防护：

在防火墙上植入防病毒源代码，起到从网络根源屏蔽病毒攻击的作用。但现在只有少数国外防火墙产品支持网关病毒防护，所以本项目不采用网关病毒防护。

主机病毒防护：

主机病毒防护主要包括服务器病毒防护和工作站病毒防护两部分。“智慧养老平台”的主机病毒防护应满足如下设计要求：

病毒扫描方式灵活，可扫描ZIP、LZH、ARJ、RAR等几十种压缩文件；

病毒事件处理灵活有效，且发现病毒要实时报警，通知系统管理人员；

安装管理方便，升级方式灵活，与网络管理系统有良好的兼容性；

自动更新病毒定义文件，病毒定义数据库要有完善更新的机制。