住房公积金管理中心网络安全建设整体解决方案
住房公积金管理系统的信息化建设与管理
住房公积金管理系统的信息化建设与管理公积金中心在选址、机房建设、综合布线、信息点设置、强弱电配置等方面都需充分考虑信息化建设的要求,做到网络结构规划合理化。
系统日常管理工作:涉及机构管理、角色管理、角色权限分配、操作(柜)员管理、柜员指纹采集、特殊数据统计报表等。
住房公积金制度,是随着我国住房制度改革和城市发展而设立的一项辅助性住房保障制度,各城市在制度建设、管理方式和机构设置方面大同小异,归结起来有两种模式:一是直接归集、自我归集模式,即公积金的归集、提取、贷款等工作均由公积金管理中心完成,另一是间接管理模式,中心将归集、贷款等具体业务委托银行,中心则承担统筹协调、监督审核工作。
由于系统的需求是随着制度的变化与完善而不断变化、完善,因此必须采取规范化的建设开发模式,以适应不断发生的变化;也由于系统的运行需要可靠性、稳定性和安全性保障,因此必须采取严格的管理和安全措施,以满足用户方面的使用要求。
硬件设备建设合理化住房公积金管理中心负责住房公积金的归集、提取、个人贷款发放、个人贷款回收业务的办理及住房公积金资金账、业务账的核算管理工作;负责住房公积金管理中心内部工作的管理工作;负责住房公积金管理中心外部客户服务业务的管理工作。
作为准金融机构,其对硬件设备的要求不亚于银行机构。
公积金中心在选址、机房建设、综合布线、信息点设置、强弱电配置等方面都需充分考虑信息化建设的要求,做到网络结构规划合理化。
如各管理部以及外联单位与中心机房直接通过专线连接,实现中心与其他各机构网络的统一管理,保证数据传输的安全及可靠性;机房设备选型采购需要结合本市市情及公积金业务未来的发展趋势,保证机房建设既能满足目前业务需求,还能满足未来系统要求的扩展性;在综合布线、信息点设置方面,都需要有统一的规划,为将来内外网划分管理做好准备。
由于住房公积金管理中心负责的各项工作存在一定的关联性,又存在业务流程、数据安全、外联需求等方面的差异性,将公积金整个系统的网络结构按照工作模块进行划分,是其网络化的必然要求。
住房公积金管理中心管理信息系统建设方案
住房公积金管理中心管理信息系统建设方案住房公积金是一项非常重要的政策,旨在帮助劳动者解决住房问题。
为了更好地管理住房公积金,提高工作效率和服务质量,建设一个强大的住房公积金管理中心管理信息系统是非常有必要的。
下面是一个关于住房公积金管理中心管理信息系统建设方案的详细描述。
一、需求分析1.人员管理:系统能够对劳动者和企业的信息进行管理,包括基本信息和缴纳记录等。
2.缴存管理:系统能够自动计算缴存金额,减轻工作人员的负担,确保准确性。
3.资金管理:系统能够对公积金账户资金进行管理和统计,确保公积金的安全和有效使用。
4.政策管理:系统能够及时更新住房公积金政策和相关法规,使工作人员能够及时掌握最新的政策信息。
5.服务管理:系统能够提供在线查询、申请贷款和提取公积金等服务,方便劳动者和企业办理相关业务。
二、系统设计1. 技术架构:系统采用分布式架构,前端采用Web技术,后端采用Java语言开发,同时使用MySQL数据库进行数据存储。
2.界面设计:界面简洁明了,易于操作和理解,同时注重用户体验,提供友好的用户界面。
3.功能设计:系统包括人员管理、缴存管理、资金管理、政策管理和服务管理等功能模块,每个模块包含相应的功能按钮和操作流程。
4.数据库设计:根据需求分析,设计合理的数据库结构,包括人员信息表、缴存记录表、公积金账户表、贷款记录表等多个数据表。
三、系统实施1.后端系统:根据系统设计进行开发,包括编写程序代码、进行测试和调试等工作,确保系统的稳定和安全。
2.前端系统:根据系统设计进行开发,包括编写HTML和CSS代码、进行页面设计和美化等工作,以提供良好的用户体验。
3.数据库系统:根据数据库设计进行建库和建表,同时进行数据导入和备份工作,确保数据的完整性和安全性。
4.网络系统:搭建稳定可靠的服务器,确保系统能够随时运行,并保证数据传输的稳定性和安全性。
四、系统测试1.单元测试:对每个功能模块进行独立测试,确保功能的正确性和完整性。
重庆市住房公积金管理中心 着力打造智慧公积金系统 全面提升管理
特别报道全国住房和城乡建设工作会议经验交流重庆市住房公积金管理中心着力打造智慧公积金系统全面提升管理服务水平近年来,重庆市住房公积金管理中心(以下简称“公积金中心”)认真贯彻落实国务院“放管服”工作要求,紧紧围绕“以大数据智能化为引领的创新驱动发展战略”,全力推进住房公积金智能彳匕发展。
历时3年时间,完成了全市智慧公积金系统建设,先后攻克了贷款模式转换等多项技术难题,在业务不中断的情况下新系统上线运行,实现了住房公积金“管理更加规范、运营更加高效、服务更加便捷、风险更加可控”。
一、聚焦业务标准化,切实提高规范化管理水平(一)全面理清历史基础数据。
按照住房和城乡建设部《住房公积金基础数据标准》要求,统一规范了基础数据采集方式,对4万多个缴存单位、350多万缴存职工的历史数据进行全面清理和修复勘验,彻底纠正了过去基础信息不全、多账户和空账户的问题,建成完整规范的住房公积金基础数据库。
(二)全面规范委托贷款业务。
以往存在住房公积金贷款受托银行业务标准不统一、数据接口不一致的问题。
通过全面规范业务标准的数据采集,公积金中心实现贷款集中统一审核、核算,自主掌握了贷款业务数据明细,做到对贷款资产心中有数。
(三)全面精简银行账户开设。
对36个分中心(办事处)的缴存业务存款专户、委托贷款专户、增值收益专户等银行账户进行了全面清理,全市住房公积金账户从400个精简为23个,资金管理运作效率大幅提升。
(四)全面优化业务模式和流程。
所有业务流程均按照住房公积金行业标准进行设计,全面梳理了各类业务的事项内容,推进了业务系统的整合,统一了业务办理标准和服务标准。
20杯炕二、聚焦管理信息化,大幅提升运营管理能力(-)实现了业务管理自主化模式。
公积金中心实现了住房公积金缴存、提取、贷款全业务自主审核和核算,资金在线管理、业务实时结算、财务自动入账,业务、服务、财务数据全部实时汇聚。
公积金中心住房公积金贷款业务的审核、放款等关键环节实行系统自动排序,自动派件,避免了人工干预,同一笔贷款业务由双入分别审核,動口公平、公正。
公积金中心网络运营方案
公积金中心网络运营方案一、前言随着互联网技术的迅猛发展,网络运营已经成为各行各业的重要组成部分。
作为国家社会保障制度的重要组成部分,公积金中心在网络运营方面也要不断创新,提升服务质量。
本文将围绕公积金中心网络运营方案展开讨论,分析当前网络运营存在的问题,并提出相应的改进方案。
二、现状分析1. 公积金中心网络运营存在的问题目前,公积金中心网络运营存在以下问题:(1)信息不对称。
公积金中心网站信息更新不及时,无法及时获取最新的政策和公告,给用户带来了不便。
(2)服务体验不佳。
公积金中心网站界面设计陈旧,用户体验差,导致用户在使用过程中产生不满。
(3)安全风险。
公积金中心网站存在安全隐患,用户信息容易被泄露,造成严重后果。
(4)信息互动不足。
公积金中心网站缺乏与用户的互动机制,用户无法及时得到解答,导致用户体验下降。
(5)服务内容单一。
公积金中心网站提供的服务内容单一,无法满足用户多样化的需求。
2. 网络运营的意义良好的网络运营能够有效提升公积金中心的服务品质,满足用户需求,加强用户粘性,提升公积金中心的社会形象,实现优质服务与效益的双赢。
优秀的网络运营可以为公积金中心带来以下好处:(1)信息更新及时。
通过网络运营,公积金中心可以实现信息的及时更新,提高公积金业务流程的透明度和公开性,以及政策解读的准确性,确保用户在第一时间获取最新的政策与公告。
(2)提升服务体验。
良好的网络运营可以实现网站界面设计的优化,从而提升用户体验,提高用户在公积金中心网站的停留时间,提升服务质量。
(3)强化安全防护。
网络运营可以完善公积金中心网站的安全防护机制,确保用户信息的安全,避免被不法分子攻击,维护用户权益。
(4)建立互动机制。
网络运营能够建立与用户的互动机制,提供在线客服、在线咨询等服务,及时解答用户疑问,提升用户满意度。
(5)拓展服务内容。
网络运营可以为公积金中心网站增加更多服务内容,满足用户多样化的需求,提升公积金中心的服务覆盖范围,增加用户黏性。
全国住房公积金监督管理信息系统技术实施方案
对所有使用监管系统的用户,建立一套严格的权限管理机制, 为每个授权用户设置用户名和口令,并赋予不同的访问权限, 使其只能使用与该访问权限相符的功能模块。
系统安全解决方案
2、市公积金业务系统的数据安全:
数据访问隔离 网段隔离 应用隔离 安全认证
只读访问 监管系统对设区城市业务数据库的访问为只读权限。 口令加密
❖ 软件系统的技术与功能 ❖ 主机平台的技术设计 ❖ 系统安全保障体系 ❖ 系统建设的相关问题
VPN网络的技术实现
住房公积金监管系统为部、省、市三级结构。在广域网连 接上,采用VPN(虚拟专网)连接方式。 采用静态路由协议,以保证有效、快速地实现路由转发; 在监管系统所有路由器上开辟Private Network模式,确保 只接收公积金监管系统内的数据; 在链路层,采用IP SEC技术对数据加密传输, 在网络层,采用防火墙技术来保证网络系统的安全。
数据库访问口令管理 系统访问口令管理 数据交换安全
全国住房公积金监督管理信息系统
❖ 概述 ❖ 网络系统的规划与设计 ❖ 软件系统的技术与功能 ❖ 主机平台的技术设计 ❖ 系统安全保障体系
❖系统建设的相关问题
系统建设相关问题
网络规划与实施统一 地址混乱问题、通讯串扰问题
安全策略的保障统一 安全漏洞问题
❖ 系统安全保障体系 ❖ 系统建设的相关问题
部级主机平台系统构架
部级主机平台—设备选择
数据库服务器:
主机:小型机 操作系统:小型机自带UNIX操作系统 数据库软件:Oracle 8i
应用服务器:
主机:PC服务器 操作系统:Windows 2000 Server
省级主机平台—设备选择
数据库服务器:
住房公积金数字化发展建设思路
住房公积金数字化发展建设思路随着信息化和数字化的快速发展,各行各业都在积极探索数字化发展的新途径。
而住房公积金作为保障职工基本住房权益的重要制度,数字化发展也成为了现代化建设的重要方向。
本文将从管理系统、服务方式、数据安全等方面探讨数字化发展建设的思路。
一、建立全面的数字管理系统随着数字技术的飞速发展,建立全面的数字管理系统已成为住房公积金数字化发展的当务之急。
具体思路包括:1. 设立统一的数字评台:建立住房公积金的统一数字评台,整合各个单位和个人的公积金信息,实现信息的共享和互通。
2. 强化数字化监管:建立数字化监管系统,实现对公积金管理和使用的实时监控,提高制度的透明度和监管的效能。
3. 提升服务效能:利用大数据技术分析职工的住房需求和公积金的使用情况,精准提供个性化的服务。
二、创新住房公积金服务方式数字化发展不仅是提高管理效率,更是为了提升服务品质和方便职工的需求。
建设思路包括:1. 强化线上服务:建立完善的线上评台,实现住房公积金的线上缴存、查询、贷款申请等功能,方便职工在家或办公场所就可完成相关业务。
2. 拓展智能服务:引入人工智能技术,实现公积金的智能交流和办理,提高服务的智能化和便利性。
3. 鼓励创新应用:鼓励单位和个人开发住房公积金的创新应用,例如移动应用程序、智能终端等,提高服务的便捷性和体验。
三、加强数字数据安全保障数字化发展也面临着数据安全的重大挑战,建设思路包括:1. 加强数据保护:建立健全的数据安全体系,包括信息加密、权限控制、数据备份等措施,保护职工的个人信息和公积金数据安全。
2. 强化网络安全: 建立网络安全监测中心,对公积金数字系统进行日常安全监控,及时发现和应对安全漏洞和攻击。
3. 促进法治建设:完善相关法律法规,加强对数据泄露、侵权行为的打击力度,形成对数据安全的法律保障。
住房公积金数字化发展将会为提高管理效能、拓展服务渠道、加强数据安全等方面带来新的机遇和挑战。
完善住房公积金信息化管理的几点建议
完善住房公积金信息化管理的几点建议随着信息技术的飞速发展,住房公积金管理也逐渐向信息化方向迈进。
信息化管理不仅可以提高工作效率,还可以提供更便捷、透明的服务,从而更好地满足民众的需求。
下面就完善住房公积金信息化管理提出几点建议。
一、建立全面的信息化系统要完善住房公积金信息化管理,首先要建立全面的信息化系统。
这一系统包括后台数据管理系统、前台服务系统、移动端APP等多个方面。
后台数据管理系统要保证数据的准确性和安全性,通过先进的技术手段对数据进行管理和分析,并提供给相关部门和机构使用。
前台服务系统要为广大缴存者和贷款者提供便捷的服务,包括线上查询、办理业务,以及在线咨询等功能。
移动端APP则可以为用户提供更加个性化和便捷的服务,满足用户在手机端办理业务的需求。
建立全面的信息化系统需要综合考虑政府部门、相关机构和企业的合作,建立起信息共享平台,实现各个系统之间的数据互通和业务协同,真正做到信息共享、资源共享、优势互补,确保系统的稳定性和安全性。
二、提高数据管理和分析能力建立信息化系统只是第一步,提高数据管理和分析能力同样至关重要。
住房公积金相关数据涉及到大量的个人信息和资金流向,必须加强对数据的管理和分析能力,确保数据的准确、及时、安全。
通过建立智能化的数据管理系统,可以对数据进行实时监测和分析,及时发现问题并加以解决。
利用大数据和人工智能等技术手段,可以对缴存情况、贷款情况、资金使用情况等进行深度分析,为相关部门和机构提供决策参考和业务指导。
三、加强信息安全保障在信息化管理的过程中,加强信息安全保障尤为重要。
住房公积金系统涉及到大量的个人隐私信息和资金流向,一旦发生数据泄露或者被黑客攻击,将会给社会带来严重的影响。
需要加强系统的安全防御能力,建立健全的信息安全管理体系,包括完善的网络安全体系、数据加密和备份体系、安全审计体系等。
要加强对系统的监控和警报,一旦发现异常情况立即采取相应措施,确保系统的稳定和安全运行。
住房公积金管理中心网络安全建设整体解决方案
文档信息文档说明本文档是某某科技(北京)有限公司(以下简称某某)就某某住房公积金管理中心网络安全建设项目制作的建议解决方案,仅供项目相关人员参考。
文中的资料、说明等相关内容归某某所有。
本文中的任何部分未经某某许可,不得转印、影印或复印。
版本变更记录目录一.方案概述 (5)二.方案设计原则及建设目标 (6)2.1方案设计原则 (6)2.2建设目标 (6)三.安全风险分析 (7)3.1安全风险分析方法 (7)3.2网络层安全风险 (8)3.2.1网络设备存在的安全风险 (8)3.2.2网络服务器的风险 (9)3.2.3网络访问的合理性 (10)3.2.4TCP/IP协议的弱点 (10)3.2.5信息的存储安全 (11)3.2.6数据传输的安全性 (11)3.3系统层安全风险分析 (12)3.3.1Windows系统 (12)3.3.2Unix系统 (13)3.4应用层安全风险分析 (13)3.4.1Web服务器安全风险 (14)3.4.2文件服务器安全风险 (14)3.4.3业务应用系统安全风险 (15)3.4.4数据库安全风险 (15)3.5管理层安全风险分析 (15)四.安全需求分析 (17)4.1.1访问控制技术 (17)4.1.2物理隔离技术 (18)4.2系统层安全建设 (18)4.2.1服务器安全加固技术 (18)4.2.2终端桌面安全管理技术 (18)4.3应用层安全建设 (19)4.3.1网络防病毒技术 (19)4.3.2入侵防御技术 (21)4.3.3网络入侵检测技术 (21)4.3.4数据传输加密及远程安全接入技术 (22)4.3.5WEB应用安全防护技术 (23)4.3.6核心业务数据库审计技术 (23)4.4管理层安全建设 (24)4.4.1网络安全集中管理需求 (24)五.方案设计 (26)5.1整体解决方案阐述 (26)5.2网络层安全 (27)5.2.1安全域划分 (27)5.2.2网络边界访问控制 (27)5.2.3物理隔离网闸 (37)5.3系统层安全 (44)5.3.1服务器安全加固 (44)5.3.2终端安全管理 (51)5.4应用层安全 (59)5.4.1网络边界防病毒 (59)5.4.2核心业务入侵防御 (63)5.4.4远程安全接入网关 (75)5.4.5Web应用安全防护 (81)5.4.6核心业务数据库安全审计 (85)5.5管理层安全 (89)5.5.1统一安全管理 (89)一.方案概述目前某某住房公积金管理中心的信息化建设已经完成了基础网络系统的搭建及重要业务应用系统与基础网络系统的集成,整个网络系统由某某住房公积金管理中心中心网络和所管辖的各区县分支机构网络所构成,整个网络的信息安全建设还在初步规划阶段。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文档信息文档说明本文档是某某科技(北京)有限公司(以下简称某某)就某某住房公积金管理中心网络安全建设项目制作的建议解决方案,仅供项目相关人员参考。
文中的资料、说明等相关内容归某某所有。
本文中的任何部分未经某某许可,不得转印、影印或复印。
版本变更记录目录一.方案概述 (5)二.方案设计原则及建设目标 (6)2.1方案设计原则 (6)2.2建设目标 (6)三.安全风险分析 (7)3.1安全风险分析方法 (7)3.2网络层安全风险 (8)3.2.1网络设备存在的安全风险 (8)3.2.2网络服务器的风险 (9)3.2.3网络访问的合理性 (10)3.2.4TCP/IP协议的弱点 (10)3.2.5信息的存储安全 (11)3.2.6数据传输的安全性 (11)3.3系统层安全风险分析 (12)3.3.1Windows系统 (12)3.3.2Unix系统 (13)3.4应用层安全风险分析 (13)3.4.1Web服务器安全风险 (14)3.4.2文件服务器安全风险 (14)3.4.3业务应用系统安全风险 (15)3.4.4数据库安全风险 (15)3.5管理层安全风险分析 (15)四.安全需求分析 (17)4.1.1访问控制技术 (17)4.1.2物理隔离技术 (18)4.2系统层安全建设 (18)4.2.1服务器安全加固技术 (18)4.2.2终端桌面安全管理技术 (18)4.3应用层安全建设 (19)4.3.1网络防病毒技术 (19)4.3.2入侵防御技术 (21)4.3.3网络入侵检测技术 (21)4.3.4数据传输加密及远程安全接入技术 (22)4.3.5WEB应用安全防护技术 (23)4.3.6核心业务数据库审计技术 (23)4.4管理层安全建设 (24)4.4.1网络安全集中管理需求 (24)五.方案设计 (26)5.1整体解决方案阐述 (26)5.2网络层安全 (27)5.2.1安全域划分 (27)5.2.2网络边界访问控制 (27)5.2.3物理隔离网闸 (37)5.3系统层安全 (44)5.3.1服务器安全加固 (44)5.3.2终端安全管理 (51)5.4应用层安全 (59)5.4.1网络边界防病毒 (59)5.4.2核心业务入侵防御 (63)5.4.4远程安全接入网关 (75)5.4.5Web应用安全防护 (81)5.4.6核心业务数据库安全审计 (85)5.5管理层安全 (89)5.5.1统一安全管理 (89)一.方案概述目前某某住房公积金管理中心的信息化建设已经完成了基础网络系统的搭建及重要业务应用系统与基础网络系统的集成,整个网络系统由某某住房公积金管理中心中心网络和所管辖的各区县分支机构网络所构成,整个网络的信息安全建设还在初步规划阶段。
本方案将详细分析某某住房公积金管理中心信息网络可能存在的各种安全威胁和风险,并在分析的基础上提出一些针对性的解决措施。
严格执行国家相关规定,本着“实用、耐用、急用”的原则来规划建设。
二.方案设计原则及建设目标2.1方案设计原则由于本方案内容涉及很多方面,因此进行分析时要本着多层面、多角度的原则,从理论到实际,从软件到硬件,从组件到人员,制定详细的实施方案和安全策略,避免遗漏。
为确保本方案能够在后期顺利的推广和执行,某某将遵循以下原则:●高可用性:系统设计尽量不改变现有的网络结构和设备。
●可靠性和安全性:系统设计要具备较高可靠性和安全性,保证网络故障尽可能小的影响内部业务系统。
●高扩展性:系统设计所选择的软硬件产品应具有一定的通用性,采用标准的技术、结构、系统组件和用户接口,支持所有流行的网络标准及协议;系统设计应采用先进的技术设备,便于今后网络规模和业务的扩展。
●可管理性:保证整个信息系统应具备较高的资源利用率并便于管理和维护。
●高效性:保证整个信息系统应具有较高的性能价格比并能够很好地保护投资。
建设的目标和范围2.2建设目标项目总体建设目标是根据国家相关信息系统等级保护网络安全方面的建设要求进行某某住房公积金管理中心的网络安全建设,包括边界访问控制、物理隔离、入侵防御、病毒防护、入侵检测、安全审计、终端安全防护、服务器安全加固、传输加密、安全管理等多方面内容;要达到国家相关管理部门的相关要求,建立统一、完善的网络安全体系。
三.安全风险分析3.1安全风险分析方法对系统的安全造成风险主要来自于两个因素,一是系统的“信息资产”,二是潜在的攻击者对系统所形成的“安全威胁”。
“信息资产”是指IT系统存贮、处理和传输的各类信息。
之所以用“信息资产”一词,是因为它们对拥有资产的那些人(个人或组织)具有某些固有的价值,同样它们对试图破坏那些资产的机密性、完整性和/或可用性的威胁代理而言也有价值,但与拥有者的愿望和利益相反。
“信息资产”的界定与衡量是安全风险分析的前提,具体方法有:✧衡量应用系统所处理数据的重要性,对于企业来讲,就要判断数据是否具有很高的商业价值,对于政府来讲,就要判断数据是否具有很高的机密性,这种商业价值,或者机密程度,就为这些数据赋予了相当的价值;✧衡量应用系统与业务的相关程度,结合越紧密,其重要性就越高,如果这些系统受到攻击及破坏,往往会给业务带来极大的损失。
因此这些系统(包括应用系统,以及承载应用的数据库系统),就构成了组织最重要的信息资产。
比如企业的ERP系统,政府单位的电子政务系统等;对应用系统发起访问的用户分布,承载应用系统的设备,以及对应用系统的访问所经过的途径及跨度,往往成为衡量信息资产面临风险的主要途径。
如果用户的分布相对分散,设备缺乏足够的冗余措施,访问所经过的跨度很大,都会给信息的保密性、安全性带来挑战,必须进行有针对性地进行评估和设计。
而“安全威胁”,简单的说是一种令人不快的事件,它可能由一个已确认的威胁来源导致,使资产面临风险。
为确认威胁,就必须确认:➢威胁所针对的资产是什么?是否有价值?是否是组织最重要的信息资产?➢什么是威胁来源?或者什么样的行为会对系统形成威胁?➢针对攻击者,还有必要分析他们的技术专长、机遇和动机很可能是什么。
从“资产”和“威胁”两个角度,不难看出,安全风险的分析,其本质就是要分析“组织的信息资产是什么?这些信息资产会受到什么样的威胁?如果遭到攻击后,对组织带来什么样的损失?”针对某某住房公积金管理中心信息网络,我们看到,其主要的信息资产包括网络中的应用系统;承载应用系统的重要服务器(数据库和应用服务器);承载访问和数据交换的网络设备和物理线路等等,针对这些信息资产,对系统正常安全运营形成威胁的来源主要包括:来自于互联网上的黑客攻击;不同业务单元员工的非法访问;内部一般员工的越权访问;设备运行故障;重要数据泄密…为了全面地对安全威胁进行分析和归类,根据安全风险的来源,我们分为网络层(主要指传输线路、网络设备方面存在的安全风险)、系统层(主要指操作系统的安全漏洞而产生的安全风险)、应用层(主要指应用系统自身弱点而带来的安全风险)、管理层(主要指网络管理不善带来的安全风险)四个方面,针对每一层面来具体分析所面对的安全风险如下:3.2网络层安全风险网络层是网络入侵者进攻信息系统的渠道和通路,许多安全问题都集中体现在网络的安全方面。
由于某某住房公积金管理中心信息网络的基础协议-TCP/IP 在设计之初没有考虑到安全方面的因素,导致协议自身存在一些安全隐患。
网络入侵者一般利用协议上的隐患,采用预攻击探测、窃听等搜集信息,然后利用 IP 欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。
3.2.1网络设备存在的安全风险在网络中的重要的安全设备如路由器交换机等有可能存在着以下的安全风险:(以最常用的路由器为例)➢路由器缺省情况下只使用简单的口令验证用户的身份,并且远程TELNET登录时以明文传输口令。
一旦口令泄密路由器将失去所有的保护能力。
➢路由器口令的弱点是没有计数器功能的,所有每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。
➢每个管理员都可能使用相同的口令,因此,虽然访问日志可以详细记录管理员对路由器进行登录、修改操作,但无法区分是哪位管理员进行的操作。
➢路由器实现的动态路由协议存在着一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击做准备。
➢针对路由器的拒绝服务攻击或分布式拒绝服务攻击。
比如ICMP重定向攻击、源路由攻击等。
➢发布假路由,路由欺骗,导致整个网络的路由混乱。
3.2.2网络服务器的风险针对某某住房公积金管理中心信息网络来讲,运行在专网上的各种网络服务器构成了最重要的信息资产,如何确保这些重要的网络服务器能够稳定、可靠、安全地运行,是保证某某住房公积金管理中心信息网络各项业务正常开展的基础。
一般来讲,网络服务器所面临的安全问题包括:➢维护存储在服务器上信息的机密性。
这要求保证:1)只有授权用户才可以访问服务和信息;2)授权用户只能访问那些他们被授权访问的服务;3)信息的公开要与策略一致;➢维护存储在服务器上信息的完整性,以免信息被破坏或被损坏,并使系统像期望的那样运行。
这意味着要能对完整性的破坏进行识别和响应;➢维护服务和信息的可用性。
这要求保证:1)即使硬件或软件出故障,或进行系统的日常维护时对信息和服务的访问也不中断;2)能及时识别并响应安全事件;➢确保用户名副其实,网络服务器主机也名副其实,这叫做“相互验证”。
3.2.3网络访问的合理性网络的访问策略是不是合理,访问是不是有序,访问的目标资源是否受控等问题,都会直接影响到某某住房公积金管理中心信息网络的稳定与安全。
如果存在网络内访问混乱,外来人员也很容易接入网络,地址被随意使用等问题,将导致网络难以管理,网络工作效率下将,无法部署安全设备、对攻击者也无法进行追踪审计。
这就要求系统能够对网络中发生的各种访问,乃至网络中传递的数据包进行很好的监控,特别是针对某某住房公积金管理中心信息网络,由于其既存在对内提供服务的设备,也存在对外提供服务的设备,这些服务器在安装的过程中有可能没有关闭掉一些毫无用处的服务,或者即使关闭了这些服务,也因为操作系统自身存在的漏洞而给攻击者可乘之机,特别是对互联网提供服务的设备,很容易成为某某住房公积金管理中心信息网络的“安全短板”,被来自互联网的攻击者利用,从而发起对内网的攻击。
3.2.4TCP/IP协议的弱点TCP/IP协议是当前互联网的主流通信协议,已成为网络通信和应用的事实标准,并且也是某某住房公积金管理中心信息网络的底层网络协议的基础。
然而,基于数据流设计的TCP/IP协议自身存在着许多安全漏洞,在快速以太网发展的早期,由于应用范围和技术原因,没有引起重视。