智慧政务云数据中心安全保障体系规划x

时间：2020-11-20 12:27:29　来源：勤学考试网本文已影响人

智慧政务云数据中心

安全保障体系规划

TOC \o "1-4" \h \z \u 第一章、项目总体设计 3

1.1、项目设计原则 3

1.1.1、统一建设 3

1.1.2、相对独立 3

1.1.3、共建共享 3

1.1.4、安全可靠 3

1.2、建设思路 4

1.2.1、需求驱动 4

1.2.2、标准先行 4

1.2.3、围绕数据 4

1.2.4、逐步扩展 4

1.7、标准规范体系设计 5

1.8、安全保障体系设计 5

1.8.1、安全威胁来源分析 6

1.8.2、数据中心的安全需求 7

、总体安全需求 7

、系统安全可靠性需求 8

、数据安全保密性需求 8

、数据完整性需求 9

、实体的可鉴别性需求（防非法访问、非法篡改） 9

、不可否认性需求 9

、对象和行为的可授权性需求 9

、统一信任与授权策略需求 9

、数据中心统一安全监管性需求 10

1.8.3、数据中心安全体系模型 10

1.8.4、构建多层安全防御体系 11

、一级防御：应用网络安全模型－- P2DR模型 11

、二级防御：过滤路由器 12

、三级防御：防火墙 13

、四级防御：多个分离的内部以太网段 13

、五级防御：强大的身份验证手段和访问存取控制 14

、六级防御：强大的权限管理手段 16

、七级防御：安全工具 18

、八级防御：网络协议最小化 18

、九级防御：安全日志 18

1.8.5、充分应用省电子政务安全平台 18

1.8.6、安全策略和安全管理制度 19

1.8.7、异地容灾系统及备份策略 20

第一章、项目总体设计

1.1、项目设计原则

1.1.1、统一建设

数据中心必须统一规范建设。通过制定统一的数据交换与共享标准，建设统一的数据共享与交换平台和统一的前置机接口系统，可以避免重复投资，降低接口的复杂性，有效实现数据中心与业务部门以及业务部门之间的数据共享与数据交换，消除社会保障系统范围内的“信息孤岛”，实现数据资源的互联互通。

1.1.2、相对独立

根据数据中心的功能定位，数据中心的建设和运作必须保持业务系统的相对独立性。为此采用松散耦合方式，通过在业务部门统一配置接口系统实现数据资源整合。

1.1.3、共建共享

一方面建设数据中心的目的是为了实现业务部门之间的数据共享。

另一方面，数据中心的数据来源于各个业务部门，因此数据中心的建设必须依靠各业务部门的积极参与和配合。

1.1.4、安全可靠

由于社会保障数据与广大社会保障对象的切身利益密切相关，所以数据中心的安全是非常重要的。因此，必须要做好系统的安全设计，防范各种安全风险，确保数据中心能够安全可靠的运行。同时数据中心必须采用成熟的技术和体系结构，采用高质量的产品，并且要具有一定的容灾功能。

1.2、建设思路

1.2.1、需求驱动

数据中心是需求驱动的产物。在项目建设过程中，始终要以满足业务管理的需要、业务监督的需要、领导决策的需要以及公众服务的需要为出发点，驱动数据中心的建设。

1.2.2、标准先行

标准法规是数据中心的逻辑支撑。

在系统建设前，首先要明确数据中心的运行管理机制，制定有关的管理法规和标准规范框架，保障数据中心建设的顺利进行。在建设过程中，要不断总结和完善，对标准规范进行调整和升级。为此需要确立一套升级标准规范的机制和方法，同时尽量避免标准变更对业务系统的影响。

1.2.3、围绕数据

数据是数据中心最重要的资源。数据中心采用数据整合的方式，在业务系统相对独立的基础上，进行数据的采集、整理、比对、发布、共享和交换。

1.2.4、逐步扩展

由于建设数据中心没有现成的经验可以借鉴，为减少项目风险，在建设过程中应采用原型迭代法，即首先建立数据中心的最小功能集和最小数据集，然后不断完善和扩充，努力做到边建设、边应用、边见效。

1.7、标准规范体系设计

数据中心的标准规范由一系列的规范、机制、制度组成。数据中心的标准规范体系包含数据标准规范、技术标准规范、管理标准规范、业务标准4大部分。

数据标准规范：公共数据元标准、公共代码标准、公共数据存取规范、数据交换规范。

技术标准规范：通过技术标准规范支持业务部门系统和数据中心之间的数据级和应用级整合，并提高业务系统之间的应用集成、互联互通的能力。

管理标准规范：标准管理、安全管理、数据管理、项目管理，用于指导数据中心日常运行管理、数据维护管理。

业务标准：独立业务标准由业务部门制定，关联业务标准由数据中心统筹，协调各业务部门联合制定。

在设计数据中心标准规范体系的时候，需要从体系结构的角度全盘考虑，在符合或者兼容国家电子政务标准、省社会保障标准和社会保障信息系统总体设计（特别是《交互业务处理标准》和《数据交换标准和数据共享标准》）的基础上，进行设计。

标准规范设计见《第7章标准规范设计要点》

1.8、安全保障体系设计

数据中心的安全保障体系是确保数据中心系统安全性，保障在不同的业务系统之间（包括核心业务以及各种相关业务系统）以数据中心为核心进行数据共享、数据存取、数据交换等过程中的全面安全性。

整个安全保障体系可分为：物理安全、网络安全、系统安全、应用软件安全和信息资源安全。数据中心的安全保障体系是贯穿整个体系架构每个层次各系统的。各子系统的设计与构建都要把安全保障作为关键部分。实现数据中心的安全保障不仅要从技术层面，还需要从管理层面考虑。

安全保障体系遵循原则：清晰定义安全模型、合理划分安全等级、科学设计防护深度、确保可实施易评估。我们参照国家《计算机信息系统安全保护等级划分准则》二级要求。重点在于按数据进行分类分区域分等级的设计。针对数据中心这样一个巨大、复杂的信息系统，将数据分类分区域分等级保护，根据区域中数据的分类确定该区域的安全保护等级。目的是把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题。这是实现大规模复杂信息的系统安全等级保护的有效方法。

1.8.1、安全威胁来源分析

对于社保数据中心系统来说，系统、数据和信息安全的重要意义是显而易见的。

社会保障数据中心的安全是一个复杂的系统工程，需要对其详细分析。仅从安全威胁的来源来看，可以从“内部威胁”和“外部威胁”部分着手分析。

“内部威胁”，是指政府机关内部，而“外部威胁”则是指社会环境。来自于外部的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争等，而来自内部的威胁则包括内部人员恶意破坏、内部人员与外部勾结、管理人员滥用职权、执行人员操作不当、安全意识不强、内部管理疏漏、软硬件缺陷、自然灾害等，如下图所示。

对安全威胁来源的分析，进一步概括出数据中心的安全需求：

1.8.2、数据中心的安全需求

、总体安全需求

一般来说一个应用系统的安全需求可基本概括为五个方面：

物理与环境安全

物理与环境安全建设的尺度，取决于系统的规模、信息与网络系统的安全敏感度。它的建设，既要考虑到资金的承受能力，也要考虑到未来系统发展的可适应性。

网络安全

网络安全的目标，是通过对各种网络服务、网络框架的有效保护，达到对业务系统及数据信息的安全防护目的。各种网络服务的接口、远程用户（包括远程注册审核系统及一般证书用户）的身份认证机制、用户对信息服务的访问控制，是实现这一目标的三层关隘。

应用业务系统与数据安全

应用业务系统与数据安全的目标，是防止来自于内部或外部的攻击者对应用系统提供的服务，应用系统的资源的非法访问，保护业务系统敏感数据（如私钥、用户敏感信息等）的私密性、完整性等。

人员安全与日常操作管理

安全方案的实现，离不开管理，所谓“三分技术、七分管理”。管理的有效性，可以解决许多技术层次解决不了的安全性问题。人员是管理的核心。其人员安全要求应与一般机构有所不同。除了技术层次的要求，还应有安全性要求。日常的交互与操作安全管理，涉及到系统运作时的方方面面，它的基本原则是：要求发生在系统内的所有行为都是有定义行为，并且符合程序控制的要求，所有行为的发生都有审计记录。

系统连续性管理

系统备份、恢复策略的存在，是为了满足系统业务连续不间断的要求，避免由于自然灾难、事故、设备的损坏和恶意的破坏行为带来的系统不停顿服务功能的丧失。实现系统连续性管理的安全策略有：冗余设计、数据备份、异地冗余中心的建立等。

社会保障数据中心包含众多信息子系统和数据；并且存在与各个委办局以及来自INTERNET用户的信息交互，涉及到内网、专网、外网的通信，必然会存在着巨大的系统安全风险。

而信息安全问题本身就十分复杂，用来确保和防范网络安全的层面也十分广泛。它涉及到安全策略的制定、身份认证和访问控制、安全风险评估、安全漏洞检测和修补、网络和系统的加固和优化、入侵检测与紧急响应、防火墙的配置和管理、病毒的综合防治等等。而及时、快速的发现和解决安全问题，也是避免或减少经济损失的有效措施。

按照社会保障数据中心建设的目标，充分考虑各子系统数据交互中安全需求，建立统一的、覆盖整个系统的安全管理体系和安全技术体系，使整个系统置于整体安全的环境当中。

具体到本项目，特定的需求还包括了：

、系统安全可靠性需求

数据中心是社会保障业务处理的核心系统，如果遇到破坏，或无法正常工作，将造成无法估量的损失。需要保护的资源不仅有物理资源（设备、设施）、数据资源（数据、数据库软件等），而且还有网络资源（通信链路、网络接入等）。

、数据安全保密性需求

满足在数据存储、传输过程中的安全保密性需求。社会保障工作中涉及大量的敏感数据，在其处理过程中，特别是与各级单位数据交换过程中，要进行数据加密传输和存储，要保证数据的安全保密性。

、数据完整性需求

满足在数据存储、传输过程中的完整性需求。在内部要保证数据存储和传输过程中不被篡改和破坏；在与各级单位数据传输的过程中，要保证数据不被篡改和破坏。

、实体的可鉴别性需求（防非法访问、非法篡改）

满足社会保障数据中心系统对用户及数据交换服务器的可鉴别性需求。系统要实现监管及其他方面的需求，其必要条件是实现实体的可鉴别性，包括用户及数据交换服务器具有可鉴别性等。

、不可否认性需求

满足数据中心用户行为和系统行为不可抵赖性的需求。用户每天都利用数据中心处理大量的事务，事务处理过程的可管理、效率的可审计、行为的可审计等，需要行为的不可抵赖性来解决，本项目建设中要保证在所有数据处理过程中，办公人员行为和系统行为的不可抵赖，以便审计和监督。

、对象和行为的可授权性需求

实现对数据资源的自主授权和访问控制的功能。针对社会保障信息系统数据交换共享工作的特点，要求数据中心具有对对象灵活授权的功能，包括用户对用户的授权、系统对用户的授权、系统对系统的授权等，以及授权过程的审计监督。

、统一信任与授权策略需求

对于涉及十多个业务部门、若干业务系统的数据中心而言，安全性的实现不仅体现在各个部门、各个业务系统中，更重要的是在不同业务部门的不同系统实现互联后，如何保障数据、业务系统在互通后的信任、授权的一致性，因此在大社保系统中，必须建立统一的信任策略、授权策略，实现跨部门、跨系统的信任和授权服务的一致性，杜绝由于不同部门、不同业务系统不同的安全策略、不同的安全等级带来的安全漏洞和安全隐患。

、数据中心统一安全监管性需求

由于社会保障数据中心分布地域广、涉及政府多个部门，因此需要实现数据交换、共享过程的可管理，实现对内部和对各级单位相关的业务处理的可审计性；系统中有大量的数据交换服务器、维护终端、系统软件、网络设备等，为使这些资源协同工作，需要实现对实体（用户或数据交换服务器）进行统一的管理；系统需要对用户行为和系统行为进行记录和统计，对系统日志进行分析和统计，提供对用户和系统行为的审计监督。这种统一的安全监管必须以可靠的技术和严格的管理来保证。

1.8.3、数据中心安全体系模型

计算机信息安全可通过安全体系结构来反映计算机信息系统安全需求和体系结构的共性，其构成要素是安全特性、系统单元及开发互联参考模型层次，如上图为三维计算机信息系统安全体系结构的框架图，在安全特性坐标中，描述了计算机信息系统的安全服务和安全机制，包括身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性。从上图可以看出，排在安全特性坐标最前面的是：身份鉴别、访问控制和数据保密等。但安全是分层次的，且随各种环境的不同而有所变化。对于一个信息系统，怎样来考虑其安全技术策略问题，就要具体情况具体分析和对待。但无论如何，应当抓住问题的实质，找出信息安全的最薄弱的环节，制定策略，加以防范。

1.8.4、构建多层安全防御体系

我们认为社会保障数据中心的安全体系应当包括入下层次：

、一级防御：应用网络安全模型－- P2DR模型

P2DR模型是在整体的安全策略的控制和指导下，在综合运用防护工具（如防火墙、操作系统身份认证、加密等手段）的同时，利用检测工具（如漏洞评估、入侵检测等系统）了解和评估系统的安全状态，将系统调整到“最安全”和“风险最低”的状态。

P2DR模型包含4个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）。防护、检测和响应组成了一个完整的、动态的安全循环。在安全策略的指导下保证信息系统的安全。

根据P2DR模型的理论，安全策略是整个网络安全的依据。不同的网络需要不同的策略，在制定策略以前，需要全面考虑局域网络中如何在网络层实现安全性？如何控制远程用户访问的安全性、在广域网上的数据传输实现安全加密传输和用户的认证等等问题。对这些问题做出详细回答，并确定相应的防护手段和实施办法，就是针对政府网络的一份完整的安全策略。策略一旦制订，应当作为整个政府安全行为的准则。

P2DR理论给人们提出了全新的安全概念，安全不能依靠单纯的静态防护，也不能依靠单纯的技术手段来解决。网络安全理论和技术还将随着网络技术、应用技术的发展而发展。未来的网络安全会有以下趋势：

一方面，高度灵活和自动化的网络安全管理辅助工具将成为企业信息安全主管的首选，它能帮助管理相当庞大的网络，通过对安全数据进行自动的多维分析和汇总，使人从海量的安全数据中解脱出来，根据它提交的决策报告进行安全策略的制定和安全决策。

另一方面，由于网络安全问题的复杂性，网络安全管理将与已经较成熟的网络管理集成，在统一的平台上实现网络管理和安全管理。

另外，检测技术将更加细化，针对各种新的应用程序的漏洞评估和入侵监控技术将会产生；还将有攻击追踪技术应用到网络安全管理的环节当中。

、二级防御：过滤路由器

所有的网络访问点，无论是通向Internet或是用于后端验证的专用线路都得到了路由器的保护，这些过滤路由器能够将入站和出站的信息限制在主机和／或协议层。过滤路由器将对交易数据进行检查，符合安全要求的信息才会送往Web服务器和Mail服务器等，除此之外，所有的数据都将由过滤路由器挡回去。这样一方面降低服务器的处理负荷，提高其性能；另一方面减少了网络黑客尝试攻击系统的机会，增强其安全性。

、三级防御：防火墙

所有外部网络和内部网络的沟通都要通过一个受到严密保护的防火墙系统，防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。防火墙在保护内部网络不受外界入侵的同时使得内部的用户可以使用外部的各种资源。实现防火墙的主要技术有数据包过滤、应用网关和代理服务等。参考系统物理架构，我们建议在整个系统中设置三处防火墙，分别对Web服务器，应用服务器群，数据库和开发服务器进行保护。

为了保证不会由于单一产品的安全漏洞而造成整个安全体系的崩溃，我们建议不同的安全级别使用不用厂家的防火墙，比如Web服务器，应用服务器群访问的带宽要求较高，同时安全级别也较低，可以采用Cisco的Pix防火墙进行保护。而针对安全级别较高的数据库和开发服务器则可以采用CheckPoint（软件）或NetScreen（硬件）防火墙。

、四级防御：多个分离的内部以太网段

内部网络安全设计主要基于访问控制技术，可以在内部局域网划分VLAN，进行子网划分和访问控制。防止网内非授权用户的越级访问，保证局域网内部网络安全。内部网络划分VLAN的指导思想在于将非授权用户与网络资源相互隔离，从而达到限制用户非法访问的目的。利用VLAN技术可将局域网分为若干子网，各子网相互之间无法进行直接通讯，必须通过具有路由功能的设备如路由器、路由交换机、网关或防火墙等进行连接，充分利用这些中间设备（含软件、硬件）的安全机制可以有效的实现各子网间的控制访问。可以按照机构的设置或角色组来划分VLAN。

要保护和隔离内部系统必须将功能独立的处理器分为不同的子网。第一子网是Web服务器以太网。第二个子网是应用服务器以太网，驻留应用服务器、LDAP服务器、邮件服务器和消息服务器等，第三个子网是数据库和开发环境子网。不同网段之间的访问均设置存取控制，这有助于最大限度减少安全漏洞造成的影响。

、五级防御：强大的身份验证手段和访问存取控制

如何解决数据交换的安全问题一直是政府部门技术人员和社会上的安全专家们努力的方向。近年来，由于CA认证技术的不断发展并日臻完善，再从法律法规上给予相应的立法支持，这一困绕多年的安全问题可望得到彻底的解决。

在安全认证领域，经过时间和实践的检验，其技术和规范已日趋成熟。公开密钥基础设施PKI已成为业界标准，可以为信息提供高强度的数字签名和加密，支持交叉验证，并具有强大的密钥和证书管理机制，为证书在税务系统中的应用提供了完善的保障。PKI包括了安全政策、证书机构（CA）、注册机构（RA）、证书分发系统、实现PKI的应用等内容，目前它们已经成为业界安全领域中最成熟的技术。

通过采用证书与应用系统的无缝集成，为数据中心提供了如下安全保障功能：身份认证，资格认证，保密性，完整性、不可抵赖性和信息的追认功能。另外，通过安全代理软件将安全强度提升到全球公认的标准。为了建立一套标准的时间，CA系统引进了时间戳来为跨部门交易系统提供完整的时间认定功能，避免在交易中出现由于时间带来的纠纷。

CA中心建立的初始成本依赖于CA的业务要求和服务的对象，建设成本从几万美金到数百万美金不等。服务于企业内部的CA需求相对简单，安全性要求简单，建设成本相对较低；服务于公众的CA需求相对复杂，安全性要求高，建设成本也高。

采用PKI技术后，数据中心将得到足够的安全保障。

在社会保障数据中心系统中，有些功能是面向全社会公开发布的，它并不需要证书来保护，如：主页信息、办事指南等，而有一些功能则需要由证书来保护，如：跨部门交易审批、跨部门数据采集。因此，可利用J2EE应用服务器提供的安全机制，对数据中心数据交换共享平台系统的模块进行配置，使一个应用能处理多种安全要求。通过配置需要保护的应用来保证需要访问该功能的用户必须通过认证，而其他不需要安全保护的用户则没有此限制。

社会保障数据中心应用系统需要建立一套用户权限对照表，通过将用户的甑别名DN和社会保障数据中心的用户代码建立一一对应关系来标识登录到系统的用户具有何种操作权限，由此判定用户资格。当双方身份验证通过和资格认证确认后，用户Browser和服务器Web Server会采用PKI技术来建立SSL安全通道，此后，所有从浏览器发出的安全请求信息，都由用户端安全代理软件来完成。用户端安全代理软件接收到来自浏览器的安全请求后，会用用户的私钥对此信息作一次数字签名，再用服务器端的证书中的公钥对信息进行一次加密，然后通过安全通道SSL传送给服务器端安全代理软件，服务器端安全代理软件接收到该信息后，首先使用服务器端的私钥对该密文信息进行解密，然后用该用户的公钥来验证接收到的数字签名，检查是否信息是该用户发送过来的，并确认在传输过程中没有被修改。通过该过程后，把信息的明文送入Web Server，Web Server再对该信息进行相应处理。同样，当Web Server需要发送信息给用户端的时候，也采用同样的步骤来保证信息的安全和行为的不可抵赖性。这些步骤都是通过安全代理自动透明来完成的，由此大大避免了应用程序和安全处理程序之间过多的耦合过程。如果应用需要一些其他的功能而安全代理软件不能满足的话，系统会提供相应的API或其他方案来帮助应用系统来满足他们的特殊要求。

社会保障数据中心功能还需为用户提供和国、地税等下属部门进行数据交换的功能，实际上涉及到与国、地税务系统之间的接口问题。由于目前国、地税系统都需要用户采用省CA认证中心签发的证书来完成认证功能，因此，我们需要采用一定的技术手段来保证社保数据中心和各个部门数据交换的安全连接。而数据中心也将使用省CA认证中心的证书。因此，可由数据中心领取该证书完成数据交换功能。

数据交换的安全是这样实现的，用户只需使用指定的CA签发的证书，然后通过用自己的证书和安全代理将该信息传给社会保障数据中心，数据中心接到该信息后，还原该信息，并使用＝部门（比如国税）认可的证书对此进行加密，密文传送给国税的业务系统，国税业务系统接收到该信息后，用自己的私钥对此信息进行解密和利用服务器的证书公钥来验证该信息的数字签名，验证通过后，将该信息传入后台业务系统进行相应的处理，处理结果按逆方向和同样的加/解密和数字签名/验证数字签名传回社会保障数据中心，审批完成后，最后处理结果会传回给用户浏览器。处理结束。

、六级防御：强大的权限管理手段

社会保障数据中心支持任何人，任何不同的角色，包括开政府内部决策者、政府工作人员、各部门及公众等。这些用户在系统中并不是简单地分成两、三类就可以了。首先，这些用户是社会保障数据中心的用户，且在系统中有不同的权限，其次，这些用户在电子政务系统后面的不同的应用系统中有不同的帐号和权限，可以定制的信息，可以访问的数据等都是不同的。而对用户来讲，建立社会保障数据中心后，他只需要登录一次，访问其权限范围内的任何系统都是畅通无阻的，也不需要额外的注册或登录。

对权限的管理来讲，包括社会保障数据中心在内的各系统的权限管理是比较独立的，并且很多系统的权限管理是不完全开放的，是系统外无法控制的，因此从合理性、可操作和可实现性的角度来讲，权限的管理没有必要完全集中，只需要完成各系统和平台系统的信息同步即可。

因此，社会保障数据中心系统中权限管理策略应该是：充分集成利用电子政务平台已建立的统一用户档案、但由系统本身完成管理和基于规则的授权。

.1、统一用户档案

统一用户档案（Unified User Profile）能够从其它异类信息仓库创建单一用户档案视图。

权限管理采用分层次管理，统一管理的部分管理比较粗粒度的权限（以通过数据复制可实现为原则），细粒度（特别是应用程序控制的部分）的权限交给应用系统自身管理。

用户和权限信息建议使用LDAP，LDAP 在整个系统中主要有这样几个用途，一是在CA中对证书的查询和下载提供支持，在单点登录、用户认证和权限控制中用于对用户基本信息、用户权限信息、内容强制访问控制信息等。

UUP能根据用户档案的值动态个性化。动态设置对门户资源的访问许可。用户档案存放各种与用户相关的信息，如地址、联系方式以及应用指定的属性。UUP可以将用户档案基于RDBMS、各种外部数据仓库定制的用户数据库、LDAP联合使用。统一用户档案为在不同资源之间实现单一的客户档案视图提供了基础结构。

统一用户档案的属性能够通过管理工具以及API或标记库编程访问。为了将已有系统的用户档案映射到统一用户档案，开发人员需要实现访问资源系统、存取指定特性的接口，并注册。统一用户档案在从多个资源映射属性时具有很强的伸缩性。如一完整的用户档案可能由存于LDAP的属性子集、存于缺省RDBMS的用户属性子集、存于定制数据库的子集三部分构成。

.2、代理管理

代理管理，又被称为“分散管理”，是应现代信息系统环境的实际需要产生的必然结果。通常代理授权不仅针对IT人员，也针对其它用户以完成其职责相关的任务。代理管理既减轻了中央管理的负担，又不会放宽对所有用户的管理权限控制。

代理管理包括的管理类型如下：

系统管理员（System Adminstrator）－该管理员能够全权访问所有的管理任务，并设置代理管理结构。

普通管理员（General Administrator）－代理管理员能够对一个部门或多个部门相关的审批事项从事许可范围内特定的管理任务，并设置这些审批流程的代理管理。

组管理员（Group Administrator）－为具有允许特权的代理管理员，允许在某部门相关的一个或多个审批流程内从事特定管理任务。组管理员也可以创建其它的组管理员。

.3、基于规则的授权

社会保障数据中心架构提供了主要的访问控制和客户化途径，它基于用户组成员资格，由管理员分配固定的功能子集页面属性实现。为了定义组用户可访问的功能子集和审批页面，管理员创建了部门审批组。实际上，这些具体的组就是该组的视图。这种典型的、基于组的访问控制被许多系统所采用。特别适用于用户组结构不经常变化的情形，对于页面的访问可以准确地映射到用户组。

、七级防御：安全工具

建议用户在社会保障数据中心上安装一套安全工具集，保护系统的完整性。除了防火墙外，主机系统和网络上可以安装各种入侵检测工具，如ISS和HP IDS9000系统等。对主机系统和网络进行实时的或者离线的保护。

、八级防御：网络协议最小化

除了以上措施之外，还可以在各系统上使用最低数量的必需的网络协议，禁止一些“危险的”命令，如telnet、ftp或tftp、远程命令（’r’ command）。对任何已知的安全性薄弱的协议，可将其执行文件删除，这些协议在系统启动时就被禁止，并应用程序或操作员都无法启动这些协议。

、九级防御：安全日志

建立跟踪日志，对进行关键性操作的用户的用户名、权限级别、进入时间、退出时间、执行的操作及操作对象进行记录，以便事后进行责任跟踪。

1.8.5、充分应用省电子政务安全平台

社会保障数据中心的建设，其中的数据共享交换平台将充分应用省电子政务安全平台的功能，在这方面，公司已经有成功的实践，具体设计见《第5章应用支撑系统软件设计的5.6、安全认证模块设计》

1.8.6、安全策略和安全管理制度

我们要指出的是，安全防范体系是数据中心要考虑的首要问题，但安全问题绝不是仅采购一些安全产品就能解决的，如果没有整体的安全策略和一整套的安全管理制度，再好的安全产品也不能充分发挥作用。因此我们建议在本项目外，可以考虑由资深的Internet安全专家做一次网络和系统的安全性设计评估，以完整地了解数据中心的安全需求，提出解决方案，并设计整个包括网络、主机、应用系统在内的完整的安全性策略。所产生的安全性评估报告也将成为日后进行系统扩充、安全性审计的指导文本。

安全咨询服务，其内容大致包括：

现行IT设施安全评估和安全策略分析

安全审计

安全体系结构设计

安全策略设计和研究等

安全评估和安全策略分析的具体做法分为两个阶段：第一阶段针对IT基础设施的关键部分进行易攻击性分析，确定PC机，网络访问，UNIX系统，数据库系统，安全制度和安全处理流程等方面是否存在潜在的安全漏洞，第二阶段进行安全需求分析。

具体分析一般针对如下10个方面进行：

安全策略

安全组织

资产分类控制

人员安全

物理和环境安全