【摘要】隨著信息化的發(fā)展，信息系統(tǒng)的安全已經(jīng)成為關注的熱點，但是，我國信息系統(tǒng)的快速發(fā)展，導致信息系統(tǒng)普遍缺乏的全面防護，大家都知道，信息系統(tǒng)的安全取決于馬奇諾防線中最弱的一塊，因此本文通過參照《信息系統(tǒng)安全等級保護基本要求》的相關安全標準，以地級市金保工程為例，按照第三級的安全保護等級標準進行設計，該方案的設計，不僅能指出原系統(tǒng)的不足，并給出具體整改的方法，確保信息系統(tǒng)安全保護水平達到較高的水平。

【關鍵詞】金保工程;安全等級;風險分析

1. 概述

金保工程自2002年啟動以來，一直是我國電子政務網(wǎng)建設的重要部分，受到黨中央國務院與各級政府的重視，該工程是人力資源和社會保障的核心平臺，是促進社會和諧穩(wěn)定的電子政務工程。

金保工程是構(gòu)建部級-省級-市級的三級信息系統(tǒng)平臺，隨著地市級金保工程市級平臺隨著近些年參保人員的增加，其各項應用范圍逐漸擴大，系統(tǒng)平臺必須保證系統(tǒng)運行的安全性和可靠性，一旦出現(xiàn)信息安全問題，將直接影響到千家萬戶的利益，因此解決地市級金保工程信息安全問題就非常重要。

目前，地級市金保工程信息系統(tǒng)的安全幾乎全部依賴防火墻等安全防護設備上，并沒有從根本上認識到信息系統(tǒng)的安全是整體的和動態(tài)的，不能從簡單的幾個設備來實現(xiàn)，因此，本文將從技術(shù)和管理兩個角度入手，設計一個比較完善的信息系統(tǒng)安全防護方案。

2. 信息安全等級保護介紹

2.1 信息安全等級保護的實施流程

2016年9月，安徽省人大常委會通過《安徽省信息化促進條例》，要求各企事業(yè)單位根據(jù)本單位的實際確定信息系統(tǒng)安全防護等級，并按照相關標準進行相應的信息安全建設，且報備公安機關。因此，地級市金保工程安全等級保護對提高信息系統(tǒng)的安全性，促進信息系統(tǒng)安全健康發(fā)展有重要的意義。我們需要結(jié)合信息系統(tǒng)的實際情況，優(yōu)化信息安全資源配置，確保其通過相應的安全等級。

2.3 信息安全等級保護基本要求

《信息安全等級保護基本要求》是對不同的安全保護等級信息系統(tǒng)應具備安全保護能力給出了相應要求，具體如圖2所示：

該標準從安全技術(shù)要求和安全管理要求兩個方面對信息系統(tǒng)提出了基本達標線，不同信息系統(tǒng)根據(jù)實際情況確定安全防護等級，并根據(jù)要求對各項規(guī)定進行相應安全等級防護能力的提升，保障信息系統(tǒng)處于安全狀態(tài)。

3. 地級市金保工程信息系統(tǒng)安全保障模型構(gòu)建

地級市金保工程是一個保障民生的復雜信息工程，隨著信息化水平的提高，地級市金保工程各個業(yè)務都需要信息系統(tǒng)的大力支持。

在地級市金保工程信息安全模型的構(gòu)建應遵循以下原則：

（1）安全性原則

（2）適用性原則

（3）先進性原則

（4）可擴展性原則

（5）可管理性原則

信息系統(tǒng)與實物資產(chǎn)相比，更容易受到損害，需要給予妥善的保護。而隨著信息技術(shù)的發(fā)展，對于地級市金保工程面臨著較大的風險和挑戰(zhàn)，因此，如何解決地級市金保工程信息系統(tǒng)的信息安全問題是非常重要的。本文將參照《信息安全等級保護基本要求》第三級要求構(gòu)建信息安全模型，全面提升地級市金保工程信息系統(tǒng)的信息安全。

3.1 地級市金保工程信息安全模型的構(gòu)建思路

由于信息安全是動態(tài)的、整體的，需要一整套的方法來有效的保障信息系統(tǒng)安全。參照《信息系統(tǒng)安全等級保護定級指南》標準，結(jié)合地級市金保工程的實際對信息安全等級進行確定。

地級市金保工程業(yè)務包括社保管理系統(tǒng)、醫(yī)保結(jié)算系統(tǒng)、就業(yè)失業(yè)信息系統(tǒng)等，該信息系統(tǒng)承載的業(yè)務涉及到社會的穩(wěn)定，它是否正常運行關系到所在地級市千家萬戶的利益，如表3.1。參照《信息系統(tǒng)安全等級保護定級指南》相關要求后，我們建議確定地級市金保工程信息系統(tǒng)安全等級為第三級。

3.2 地級市金保工程信息安全模型的構(gòu)建與實現(xiàn)

3.2.1 物理安全

物理安全是信息系統(tǒng)運行的基礎，我們參照《信息系統(tǒng)安全等級保護基本要求》第三級的規(guī)定，對機房進行保護和改造。

機房選址應在樓層的第二或三層，機房需要設置服務器區(qū)、網(wǎng)絡設備區(qū)、空調(diào)電源區(qū)等，不同區(qū)域需用玻璃墻物理隔離;其機房需安裝精密空調(diào)，參照信息系統(tǒng)安全等級保護第三級的基本要求溫度控制在20℃±2℃（冬季）、23℃±2℃（夏季）范圍內(nèi)，濕度控制在55%±10%范圍內(nèi)，無線電干擾場強應小于等于128dB，機房內(nèi)磁場強度應小于等于800A/m。在防雷方面，需要安裝電源防雷器，保護機房工作人員和設備的安全運行;在防盜方面，機房24小時無死角監(jiān)控，同時通過門禁系統(tǒng)限制人員出入。

3.2.2 主機安全

參照《信息系統(tǒng)安全等級保護基本要求》第三級的規(guī)定，結(jié)合地級市金保工程信息系統(tǒng)的實際，從主機安全的角度對等級保護進行建設與改造。

第一，在身份鑒別方面，我們采用用戶名密碼+USBKEY的方式;在訪問策略上僅限非法登錄的次數(shù)。

第二，在訪問控制方面，網(wǎng)絡設備需要劃分VLAN，各用戶根據(jù)業(yè)務設置最小權(quán)限;服務器管理員權(quán)限需要相互制約。

第三，在安全審計方面，需要監(jiān)視所保護網(wǎng)段內(nèi)到每個用戶、每個事件的安全審計，相對于入侵而言比較被動，但它對記錄入侵犯罪行為非常重要，也對內(nèi)部工作人員起到威懾作用。

第四，在惡意代碼防范方面，由于它的破壞性非常大，是信息系統(tǒng)的重大安全隱患。所以信息系統(tǒng)需在系統(tǒng)內(nèi)部部署防毒系統(tǒng)，并建成一個立體的防病毒體系。

3.2.3 應用安全

參照《信息系統(tǒng)安全等級保護基本要求》第三級的規(guī)定，結(jié)合地級市金保工程信息系統(tǒng)的實際，從應用系統(tǒng)安全的角度對等級保護進行建設與改造。

第一，在剩余信息保護方面，存儲空間分配給其他用戶前需要及時清除原數(shù)據(jù)，不能因惡意恢復造成信息泄露。

第二，，通信數(shù)據(jù)需進行安全加密，保障通信過程的抗抵賴性。

第三，在資源控制方面，需要限制單個賬戶只能同時使用一個客戶端登錄，而一個客戶端也只能允許一個用戶登錄;同一個時間段也要設置一定的并發(fā)會話數(shù)。

3.2.4 數(shù)據(jù)安全及備份恢復

在數(shù)據(jù)備份方面，我們采用同城異地備份的方式實現(xiàn)第三級中建立異地備份中心的要求，我們選擇本市電信運營商的機房作為容災備份地。在數(shù)據(jù)恢復方面，一旦信息系統(tǒng)數(shù)據(jù)由于各種原因出現(xiàn)故障，容災中心將在極短時間內(nèi)接管信息系統(tǒng)的數(shù)據(jù)運行，保障業(yè)務不間斷，數(shù)據(jù)不丟失;同時也需建立數(shù)據(jù)定期恢復測試制度，定期測試。

3.2.5 安全管理體系

要建立健全安全管理體系，使得技術(shù)與管理相輔相成，結(jié)合地級市金保工程信息系統(tǒng)的實際，對安全管理體系進行建設。

第一，成立安全管理機構(gòu)，并參照第三級標準，制定了安全管理制度、安全運維制度、安全培訓制度等內(nèi)容。

第二，建立安全培訓的長效機制，使員工能明確自己的職責，使其認識到各項安全措施所具有的意義，保障各項安全策略能有效的執(zhí)行，避免安全事件的發(fā)生。

第三，使各管理員之間權(quán)限相互獨立和互相制約，有效避免一權(quán)獨大，以達到系統(tǒng)安全管理的目標。

參考文獻：

[1]安徽省人民代表大會常務委員會.安徽省信息化促進條例[S]，2016年9月

[2]畢馬寧.國家信息安全保障體系與信息安全等級保護制度實施[J].電子商務，2008：31-35

[3]呂麗娟.金保工程網(wǎng)絡系統(tǒng)安全防護體系建設[J].信息網(wǎng)絡安全，2005（5）：13-15.

[4]張冬.地級市金保工程安全體系研究與應用[D].碩士論文.2017.

[5]韓煜.等級保護三級信息系統(tǒng)設計與實現(xiàn)[D].北京：北京郵電大學碩士論文，2011：40-41