行業背景概述

人力資源社會保障信息系統支撐的業務和應用面向社會各類群體。系統中存有關鍵業務數據和敏感信息,其業務信息安全性或業務服務保證受到破壞后,會對國家安全、社會秩序和公共利益造成嚴重損害,存在社會政治經濟風險。其作為國家的重要信息系統應予以重點保護,信息安全建設至關重要。

——摘自《人力資源和社會保障事業發展統計與信息化建設》

人力資源社會保障信息化建設是一項定位于關注民生、服務民眾的電子政務工程。國家十三五規劃中明確提出對國家重要基礎行業進行信息化及信息安全保障體系建設。而當前,國家而涉及國計民生的重要信息系統防護能力卻不強,面臨的信息安全形勢非常嚴峻,為此,健全信息安全保障體系,切實增強信息安全保障能力已成為信息化建設的重要議題。

行業整體安全體系設計

信息安全保障體系架構

人力資源社會保障信息安全體系包括物理安全設施、基礎安全防護系統、電子認證和應用安全支撐系統 、災難備份系統、信息安全管理體系和信息安全服務體系。

信息安全技術體系

人力資源社會保障基礎安全防護總體架構可分為安全技術體系結構、安全管理體系結構和安全服務體系結構三大組成部分。

(一)安全域總體結構

(1)安全域的劃分

按照由外向內多級防護的總體策略,結合各應用分類和等級保護分級要求,人力資源社會保障應用系統和網絡的安全域結構劃分為“2網、4域、3子域”。即業務專網和公眾服務網構成2網,其中公眾服務網包含公共服務域和綜合業務域兩個安全域,業務專網包含(協同和)資源交換域、核心業務域兩個安全域。安全域下又劃分服務器子域、網絡和安全管理子域、終端接入子域共3個安全子域。網絡、安全域和安全子域之間的關系如下表。

(2)安全域邊界的隔離和訪問控制

通過在安全域之間設定安全邊界,實現安全域間的隔離和訪問控制機制。根據人力資源社會保障網絡系統結構和縱深防御思路,人力資源社會保障安全域邊界定義為外邊界和內邊界。安全域外聯的外邊界一般采用防火墻、網閘等安全隔離機制。安全子域之間通過基于策略實現訪問控制。如VLAN、終端準入、基于應用安全網關、堡壘機的授權認證控制。

(二)總體安全防護控制要求

總體安全防護策略依據安全域結構劃分,結合網絡系統和安全建設現狀,根據“一個中心、三重防護”和“縱深防御體系”的設計思路,分別從計算環境、區域邊界、網絡通信和統一安全監控管理等幾方面設計。由于人力資源社會保障信息系統等級保護級別主要是等級保護3級和2級,因此總體安全防護策略設計要求重點以等級保護3級為防護要求基線,部分防護環節根據威脅和脆弱程度會適當低于等級保護3級基本要求提出。

信息安全管理體系與信息安全服務體系

人力資源社會保障信息安全管理體系建設的主要內容是按照信息安全等級保護有關信息安全管理基本要求進一步完善信息安全管理機構、人員、制度和策略等,建立符合人力資源社會保障信息化管理模式的信息安全管理制度,建立人力資源社會保障信息安全等級保護和安全檢查基本指標標準規范等,特別是建立一整套面向較大規模數據中心安全運維管理的流程、策略和機制等。人力資源信息安全服務體系建設的主要內容是建立信息安全風險分析和評估加固的保障機制、落實等級保護制度的保障機制、信息安全檢查和有效性評估檢測的保障機制,以及支撐信息安全等級保護、信息安全通報、信息安全檢查、信息安全應急處理協調等信息安全管理工作的綜合信息安全管理和監督平臺。

人力資源社會保障信息安全管理體系主要建立健全信息安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等內容。特別是要進一步完善信息安全管理策略,提升安全管理的有效性和可操作性,同時重點對信息安全運維和系統建設管理體系等薄弱環節進行補充完善。信息安全管理體系建設要求參照以等級保護3級有關安全管理基本要求為基線要求。

人力資源社會保障信息安全服務體系建設主要是建立信息安全風險分析和評估、網絡系統安全加固、等級保護定級和測評、信息安全檢查檢測、信息安全事件應急響應等服務保障機制,以及支撐信息安全保障服務的綜合信息安全管理和監督平臺。

方案價值

通過將人社行業信息安全保護工作分成若干個承上啟下的建設階段和實施要點,為人社行業信息安全建設提供了清晰的工作思路;

通過對信息系統實際面臨的安全風險深入了解,為建設強化技術防范、嚴格安全管理的信息安全保障體系提供了強有力的保證;

基于對安全攻防技術發展方向和發展動態的整體把握,將信息系統運營使用單位的總體安全建設規劃和等級保護整改建設有機結合起來,為建立信息安全等級保護的長效工作機制打下了堅實的基礎。

信息安全管理體系與信息安全服務體系
立體性

基于對安全攻防技術發展方向和發展動態的整體把握,將信息系統運營使用單位的總體安全建設規劃和等級保護整改建設有機結合起來,為建立信息安全等級保護的長效工作機制打下了堅實的基礎。

先進性

充分利用先進的高可靠性的安全服務及安全產品,達到針對人社行業持續高效防御的目的。

合規性

使系統滿足國家等級保護制度2級和3級要求。

行業背景概述

人力資源社會保障信息系統支撐的業務和應用面向社會各類群體。系統中存有關鍵業務數據和敏感信息,其業務信息安全性或業務服務保證受到破壞后,會對國家安全、社會秩序和公共利益造成嚴重損害,存在社會政治經濟風險。其作為國家的重要信息系統應予以重點保護,信息安全建設至關重要。

——摘自《人力資源和社會保障事業發展統計與信息化建設》

人力資源社會保障信息化建設是一項定位于關注民生、服務民眾的電子政務工程。國家十三五規劃中明確提出對國家重要基礎行業進行信息化及信息安全保障體系建設。而當前,國家而涉及國計民生的重要信息系統防護能力卻不強,面臨的信息安全形勢非常嚴峻,為此,健全信息安全保障體系,切實增強信息安全保障能力已成為信息化建設的重要議題。

行業數據安全解決方案

人力資源社會保障信息系統采用中央—省—市三級分布的數據分布策略,在中央、省、市三級分別建設統一的人力資源社會保障數據中心,三級數據中心相互配合,共同為各項任務的開展提供技術支持。各級數據中心根據功能設立生產區、交換區和決策區三個邏輯分區。生產區主要承載相關業務數據的集中管理,支持各項業務工作,同時承擔面向社會公眾的各類信息服務;交換區是部、省、市,以及與外部機構之間的數據交換共享平臺,支持聯網監測、基金監管等本級業務應用,其數據由生產區轉換獲得,并進一步為決策區提供數據基礎;決策區主要支持相應層級的宏觀決策類應用及本級內部辦公應用,其主要來源于交換區。

敏感數據類別

終端重要數據
所有的數據都是由終端生成,再流轉和交換,因此任何的涉密數據來源都來自于終端,這些數據包括圖紙資料,包括辦公文檔,甚至包括各種格式轉換而來的內部信息??偠灾?,終端數據含蓋了幾乎所有的涉密數據。而這些終端的數據安全如果得不到有效的保障,會給內部的數據安全帶來了嚴重的威脅。
數據中心重要數據
隨著人社行業信息化的發展,數據越來越走向集中化管理道路,因此各業務系統成了人社工作中不可缺少的一部分,而服務器的涉密數據由于集中性強,一旦被他人而已登陸或者入侵,損失的數據遠遠大于單臺終端的數據。

敏感數據使用方式

部門內部的數據使用
由于部門內部對于數據的使用相對比較統一和規范,所以同一部門之間對于數據安全的需求程度也高度類似。同時由于工作交集點比較多,因此數據的溝通情況最為頻繁。
部門之間的數據使用
互聯網的發展在于信息的共享,不同部門之間對數據不同的使用目的造就成了數據最終的價值,而在人社行業中部門的聯動性非常強,數據交流比較頻繁。
其他單位的數據使用
人力資源社會保障信息系統網絡系統由辦公網、業務專網和公眾服務網構成。辦公網在部、省、市三級分別部署。因此人社信息會與上下級單位進行大量數據共享。
數據安全體系的建立解決方案

人力資源社會保障信息系統數據安全體系的建立主要解決數據在生成、存儲、交互、使用的過程中所接觸的載體、使用者、傳輸渠道的總體方案。

存儲加密

存儲過程的數據安全:強制加密除所有保存的文件。加密后的磁盤只能在內部的終端中使用,磁盤脫離內網無法使用。有效防止了因為硬盤丟失、多操作系統和光盤啟動等造成的數據泄密事件的發生。

傳輸保密

網絡傳輸的信息防泄密:網絡傳輸的控制是從網絡層進行的傳輸控制,只在規定的范圍內和特定的應用系統進行連接訪問,而無法通過網絡對外傳播數據。

對于網絡傳輸保密,主要目的是通過對網絡數據的加密,來防止數據非法傳播,并且以環境區域為單位進行管理,通過VPN構建安全傳輸通道,而此環境區域可以是個人,也可以是部門,也可以跨部門的邏輯劃分,完全不受到網絡架構的影響。

數據庫脫敏

如何滿足日常工作中對數據外發應用的需求,又確保人社敏感信息不泄露,在屏蔽敏感信息的同時又能滿足海量數據的快速提供,同時也可以用于人社行業進行數據挖掘、數據交易之前的數據脫敏。

按照預設規則屏蔽敏感信息,并使屏蔽的信息保留其原始數據格式和屬性,以確保應用程序可使用脫敏后的數據。通過這種方式確保了用戶的核心數據不泄漏、不丟失、不篡改。

數據交換

隨著人社行業信息化建設的不斷深入,跨網絡信息共享的需求逐漸顯現出來:比如人社與其他政府部門間數據交換,門戶網站上為社會公眾提供政策信息查詢等都要求人社內部網絡與其他外部網絡之間進行數據庫數據、文件的交換。

以網閘為核心的數據交換平臺終止網絡層攻擊,同時保證交換數據的安全性、可靠性、完整性。構建人社業務專網與公民、橫向關聯單位、上下屬機構之間可信賴的安全接入架構。

方案價值

通過構建人社行業數據安全體系,可以實現以下效果:

價值一:整體性的解決方案。實現了數據安全體系的建設,實現了服務器加固、數據運行環境加密、數據外發行為監控與審計等多種功能,從多個角度提升數據保護力度;
價值二:對于數據在其流轉的過程當中實現了全方位的保護,對數據的生存環境進行了有效控制。
價值三:在內外網絡邊界處建立相應的信息安全交換區域,作為內外網之間唯一的數據通道,實現統一管理,并建立完善的安全體系實現安全可控的跨網絡信息共享。
價值四:提高敏感信息防護水平,健全數據安全管理體系,落實國家關于信息系統數據安全規范的要求。
天下彩天空彩票与香港小说 内蒙古11选5走势图真准网 300797股票行情 江苏快三是不是骗局 澳门五分彩是合法的吗? 河北快三豹子遗漏统计表 pc蛋蛋外围算账 理财平台投资理财产品 今日七星彩 广西快乐十分21选5 理财平台