|
|
金保工程包含社会保险信息体系和劳作力商场信息体系两大运用体系,选用中心、省、市的三层数据散布和办理结构,树立中心、省、市三级数据中心,完成信息统一办理。这样巨大的星型网络,能否牢靠、有用、安全地工作起来,将直接影响金保工程建造的成效。
网络安全是整体系安全运作的根底,是确保体系安全运作的要害。网络体系的安全需求包含网络鸿沟安全需求、侵略监测与实时监控需求、安全事情的响应和处理需求剖析等几方面。这些需求在各个运用体系上的不同组合就要求把网络分红不同的安全层次。金保工程中网络层的安全战略选用硬件维护与软件维护,静态防护与动态防护相结合,由外向内多级防护的整体战略。依据安全需求和运用体系的意图,整个网络可区分为六个不同的安全层次。详细是:核心层(办公网、社会保证IC卡密钥运用区),安全层(社会保险运用区、劳作力商场运用区、宏观决策支撑运用区、网络根底服务区、安全运用支撑服务区、其他劳作保证运用区等),根本安全层(劳作保证体系内部资源区、相关单位资源区),可信任层(劳作保证事务专网:政府信息网络站点渠道/公共通讯网络),非安全层(公共信息服务运用区),风险层(公共互联网,相关单位网络)。各个安全层次的安全性逐层递减。
劳作保证信息体系各安全域中的安全需求和安全等级不同,网络层的安全主要是在各安全域间树立有用的安全操控措施,使网间的拜访具有可控性。
一、核心层的网络同其他层次的网络之间选用物理阻隔的方法,以完成最大或许的网络安全。选用物理阻隔的网络之间如需信息交流,须选用人工方法完成,而且一切的操作要严厉依照保密制度进行。
二、处于安全层的劳作保证事务局域网中运转着多种既彼此联络,又相对独立的运用体系。关于安全层的网络,安全大多数来源于局域网内部,在局域网中可通过区分虚拟子网对各安全域间、用户和安全域间施行安全阻隔,供给子网间的拜访操控能力。子网的区分依照事务体系类别、部分等级、用户权限等因从来进行,并以最大子网安全阻隔来设置子网间的拜访操控。可结合根据交流机端口的VLAN技能和根据节点MAC地址的VLAN技能,完成局域网安全操控和阻隔。
三、处于根本安全层的网络,作为内网和外网进行资源共享、数据交流和信息服务的安全阻隔带,需在网络的互连鸿沟上运用专用网络安全设备(如防火墙)树立起有用的安全防护,或在鸿沟路由设备进步行拜访操控ACL等安全战略的装备,以有用地操控外界用户和局域网的信息交流。
关于ACL的装备,在对外鸿沟路由器上设置大略的拜访操控过滤规矩,构成内部网络的第一道防护线;在内部网上运用过滤规矩,构成各子运用体系之间的拜访操控和逻辑阻隔。为了不影响网络的运转功率,不在鸿沟路由器、中心三层交流机上装备过多的ACL。翔实的操控在专用网络安全设备(如防火墙)中完成。
安全阻隔带作为联络内外网的环节,易遭到外界体系的进犯。在各网段上装备网络安全剖析、侵略监测及网络监控体系,以监督网络上的通讯数据流,捕捉可疑的网络活动,进行实时响应和报警,并完成和专用网络安全设备(如防火墙)的联动,一起供给翔实的网络安全审计剖析陈述。
四、在处于可信任层的政府信息网络站点渠道/公共通讯网络进步行数据传输时不考虑链路层的加密方法,关于省市纵向事务专网和城域网上传输的事务数据(包含本地事务经办,异地事务经办如异地收取养老金人员有关信息、社会保险联系搬运人员有关信息、异地就医信息等)可选用数据层加密方法,完成要害敏感性信息在广域网通讯信道上的安全传输。
