业务背景

我国电子政务建设围绕“两网一站四库十二金”展开。“两网”是指政务内网和政务外网，“一站”是指政府门户网站，“四库”即建立人口、法人单位、空间地理和自然资源、宏观经济等四个基础数据库，“十二金”，则是指十二个重要的政务办公业务资源系统，这12个重点业务系统又可以按“2523”分为四个层次，第一个“2”指提供宏观决策支持的金宏工程、金土工程，“5”指涉及金融系统的金财、金税、金卡、金审和金关工程，第二个“2”指关系到国家稳定和社会稳定的金盾工程、金保工程，“3”指具有专业性质但对国家民生具有重要意义的金农、金水、金质工程。

金字工程各业务系统和国计民生息息相关，承载着国民经济持续运行的重要数据，一旦被黑客入侵成功，将给社会和经济发展带来灾难性后果。而随着IT技术的发展，IT业务变得更加复杂，网络变得更开放，同时黑客的攻击变得复杂和隐蔽，手段更加高明。传统的安全体系防护效果越来越弱，因此做好金字工程网络信息安全建设、确保各项业务系统安全稳定运行非常必要。

安全挑战

金保工程的开展，实现了全国社保工作的逻辑互联，集中监控能力。金保工程物理逻辑上分为公共服务区和业务专网区，由于网络存在横向机构和纵向部门间的数据交换，作为政务工作网将严格按照严格参考国家电子政务安全保障建设的思路和标准进行建设。

1.公共服务区安全需求

公共服务区面向普通用户开放，面临基础网络的威胁，网络入侵、病毒入侵、僵尸网络等攻击行为严重威胁到网络的可用性、安全性；

公共服务网站极易受到篡改、SQL注入、跨站攻击、网站挂马、网络舆情、网站服务中断的威胁；

由于网络设备、操作系统和业务应用等会不断引入新的安全漏洞，如果不能及时发现并修复，将带来很大的安全隐患；

出现安全问题不能快速追溯定位的问题，同时大量的安全设备难于有效管理，导致安全运维管理不便的问题。

2.业务专网系统安全需求

业务专网中有不同的业务区域需要隔离和访问控制，确保不会出现越权访问等问题；

业务专网区一旦出现网络病毒，很可能快速在本地扩散传播，造成网络拥塞、应用异常、服务中断等问题；

由于网络设备、操作系统和业务应用等会不断引入新的安全漏洞，如果不能及时发现并修复，将带来很大的安全隐患；

出现安全问题不能快速追溯定位的问题，同时大量的安全设备难于有效管理，导致安全运维管理不便的问题。

解决方案

捷普金字工程安全解决方案结合政府单位在终端安全、服务器安全、网络安全、应用安全以及管理安全方面的需求，综合采用多种技术手段，组成覆盖全面、纵深检测、有效保护的安全防护系统，涉及的技术包含防火墙、入侵检测、入侵防护、漏洞扫描、防病毒、流量监管、日志审计、Web防火墙、服务器防护、终端安全管理、安全信息交换、信息安全集中管理系统等多种技术措施，来满足省劳动保障厅的安全防护需求，满足等级保护和相关监管要求。

公共服务区安全方案

在互联网出口部署捷普防火墙和入侵防护，对来自互联网的访问数据包进行深度监测，有效杜绝黑客攻击、网络渗透、弱点攻击，特别是有效防范拒绝服务攻击，保护某省劳动保障厅的政府形象，保护合法用户的利益；

在入侵保护的监测基础上，在互联网出口处部署流量监控系统，对互联网的出口数据流量（经过入侵防护系统过滤后的流量）进行监测，通过历史分析、实时分析等技术，来深入监测网络的活动，并对出现的异常进行报警；

建议在防火墙与劳动就业应用服务器、主页发布服务器之间的链路上，部署防病毒网关，分别针对互联网用户的访问；劳动就业机构的远程通讯，进行病毒的分析与查杀，防止病毒进入公共服务区；

分别在省、市网络平台上引入捷普漏洞扫描系统，对公共服务区内的服务器、网络设备、安全设备进行全面的监测与扫描，尝试发出各种攻击数据包，并根据系统反馈的结果判断系统是否存在着安全漏洞，同时针对监测到的安全漏洞给出加固建议，协助系统管理人员对系统漏洞进行修补；

在公共服务区内的主页服务器、就业应用服务器、就业数据库服务器以及邮件服务器等服务器前端部署IPS和WAF系统，对这些业务提供应用级保护。

在公共服务区内部署日志审计系统，将原来分散在各个服务器、网络设备以及安全设备的日志进行集中记录，并提供给系统管理人员进行查询和检索，在系统发现安全问题后可以对访问过程进行还原，同时日志审计系统所记录的内容还可作为安全管理中心的输入，作为进一步进行分析和管理信息网络的依据。

公共服务区与业务专网之间存在着较多的信息交换，包括前台通过劳动保障门户所进行的网上社保申请数据，以及劳动就业信息，均需要从公共服务区传递到业务专网，并在业务专网处理完毕以后，再次传递回公众服务区并进行发布，正如需求中描述，对此可采用隔离网闸，实现更为安全的信息交换。

在省劳动保障信息网络中部署信息安全集中管理系统，对公共服务区的网络拓扑、网络设备、链路、设备配置、服务器等进行集中管理，同时收集网络中的各个活动日志，对记录进行深度分析，采用格式标准化、场景匹配、关联分析等技术，分析系统可能潜在的安全威胁，对突发事件进行反应。

业务专网系统区域

在业务专网中划分出的生产区、决策区以及网管区边界，增加防火墙设备，主要市实现了对内部不同安全区域之间的隔离，并在区域之间执行访问控制策略，防止内部主机对关键应用服务器，以及关键网络管理设备的攻击，体现重点信息资产重点防护的思想；

类似于公共服务区，在省、市平台的网络边界分别部署防火墙和IPS系统，对过往流量进行监测，通过实时分析等技术，来深入监测网络入侵行为，并对出现的异常进行阻断。

终端是业务专网内重点需要考虑的防护内容，终端虽然从重要性的角度比较低，但是由于终端分布范围很广，并且终端的自身安全性往往会给整体系统带来威胁，因此需要终端管理系统来有效管理。

终端和服务器上安装网络版的防病毒软件，将实现本地的病毒查杀，考虑到业务专网对外访问，主要是通过信息交换的方式进行，没有直接对外部的访问，因此做好本地病毒防护基本上可解决大多数的问题。

在业务专网内部署日志审计系统，将原来分散在各个服务器、网络设备以及安全设备的日志进行集中记录，并提供给系统管理人员进行查询和检索，在系统发现安全问题后可以对访问过程进行还原，同时日志审计系统所记录的内容还可作为安全管理中心的输入，作为进一步进行分析和管理信息网络的依据。

在业务专网部署漏洞扫描系统，对业务专网的网络设备、网络链路、安全设备以及服务器和数据库进行深度分析，并模拟黑客攻击来渗透网络，从而分析出网络内存在的安全漏洞，并根据安全漏洞提出对应的修补建议，提交给系统管理人员采取必要的措施，来弥补漏洞，消除系统存在的安全隐患，提升业务专网整体的抗攻击能力。

根据前面的分析我们了解到，业务专网内存在大量的协作单位，包括社会保险经办机构、劳动力市场监管机构以及其他相关政府单位（民政、公安、财政等），都需要进行信息交互，因此有必要部署防火墙和入侵防御系统来保障信息安全。

在业务专网内部署信息安全集中管理系统（SOC），对公共服务区的网络拓扑、网络设备、链路、设备配置、服务器等进行集中管理，同时收集网络中的各个活动日志，对记录进行深度分析，采用格式标准化、场景匹配、关联分析等技术，分析系统可能潜在的安全威胁，对突发事件进行反应。

客户价值

1.增强社保机构各类网络系统信息安全防护和管理水平。

2.完善社保机关电子服务和信息化建设水平。

3.保障各级人保部门实时、安全的信息互通共享的服务。

4.强化政府部门资源共享能力，加快政府向智慧型服务机构转型。

5.帮助人保部门实现一体化劳动保障系统、实现四个'全覆盖'，提升'为民、便民、利民'的目标。

6.符合等级保护和相关行业监管要求。