行业专家:东软股份副总裁兼社保事业部总经理 ?徐洪利
安全专家:东软股份网络软件事业部部长 ?曹斌
主 持 人:《计算机世界》报编辑记者 ?大海
原文见《计算机世界》2002/10/14 D版
社保系统存在哪些安全需求?
大海: 网络的复杂性和行业的特殊性,带来多样化的网络安全需求。那么,在社保行业,东软在网络安全应用方面,积累了哪些个性化的经验,能否先从社保行业的信息化特点开始谈起?
徐洪利:社保系统是给老百姓服务的,服务对象的数量特别大,参加这个系统的单位很多,接入节点特别多,这些单位和人都需要参与到这个涉及个人和资金交易的复杂系统中来,个系统将来还可能成为电子政务的基础,其中大量的数据交换和共享会给网络安全提出很多要求。
曹斌: 所以问题就出来了。
??第一, 网络互联的规模很大,原来大家只有自己的行业和企业内部网,现在大家全连到一起了。如何让这些点能够安全互联就成了一个问题。除了成本问题,更关键的是,跑的数据都是隐私的或交易的数据,需要保护数据的安全。
??第二, 这个系统中角色很多。老百姓都在系统中有各自的身份标识、医院也要可靠地标识自己,还有医保中心以及其他管理机构和银行等。角色多则意味着:从安全角度看,进行识别以及权限控制的难度增大了。当出现问题时,追查起来也很困难。而且,黑客最喜欢复杂的系统,系统越复杂,网络安全漏洞就可能越
多。
??第三, 数据集中了,一旦出现问题,影响和损失非常大。所以,数据集中点的安全防御就变得特别关键一旦大集中,大家都要直接访问集中的数据库,对网络、操作系统、数据库都是很大的压力。我们比较大的社保系统用的Oracle数据库比较多,由于并发事务数量特别多,给Oracle数据库提出较高要求。所谓并发事务数量,就是同时进行数据库操作的连接数量。一般为几百或上千个,峰值可超过一万个。Oracle公司还派人来解决这个问题,他们说,从来没有见过这么大的应用规模。因为美国没有这么多人,而中国随便一个城市社保系统,动辄就是上百万的用户。所以,几乎所有"为人服务"的IT系统到了中国,都会遇到这类挑战。我们最近建立的解决方案验证中心,就是为了解决这类问题。
??除此以外,所有系统对安全和性能的要求都很高,这对现有的安全系统本身也是一个挑战。比如说VPN系统,如果每个药房都随时连到医保中心进行交易,那么,同时接入的通道数量会非常多。而且,这种局面可能很快就会出现。要维持这些服务,系统的容量要很大,并且可靠性也要很高。
徐洪利: 大集中是一个趋势,现在正在研发验证。由于投资和各地实际通讯线路原因,有的数据本地必须保留,然后定时传送,所以大部分采用集中和分布结合的方式,主要根据数据的重要程度、网络通讯的情况、主机的处理能力等进行选择。东软的社保管理信息系统,软件结构有三种:C/S(客户机/服务器),C/S/S(客户机/应用服务器/数据服务器),B/S/S(浏览器/应用服务/数据服务器)。由于是集中和分布相结合涉及到许多本地数据的安全问题。当分布式处理面向社保经办机构时,又涉及到数据传输的安全问题。经办机构指的是社保局、医保中心、就业经办机构、各类医院、药店等。面向政府机关时,则需要查询、统计和信息发布等功能。现在,有些初级社区已经开始在实施。
社保系统催生“灵巧网关”
大海: VPN(虚拟专用网)在社保系统应用情况如何?
曹斌: VPN是社保系统一定要用的,因为很多机构都要连接进来,大家不可能都拉专线,而且数据又要保密,不能直接在公网上传输。在传输方面,主要就是VPN的解决方案。这么大规模的网络,要通过加密通道连接起来,管理代价非常高。本地数据的安全更多依赖应用系统来解决。本地数据要防止篡改、抵赖,所以在业务系统中要有数据完整性校验的机制,这种机制就得跟身份鉴别系统相结合。
??前面说了,VPN的规模大了以后,管理和维护代价很高,或者几乎就不能维护。当一个节点,比如一个医院,想跟医保中心连接时,需要一条加密的通道用于传输数据,数据在这之间传输的时候都是加密的,建立一条通道,需要一些安全上的参数,比如密钥、相互的身份信息、网络配置信息等,这些都需要管理员去配置,但是我们的医院、药店不会有懂这些知识的管理员。所以,今年我们推出了一个叫"灵巧网关"的产品。
??灵巧网关就是将需要管理员配置的东西定制封装起来,医院拿去以后,即插即用,无须用户进行任何设置。它是东软VPN解决方案的一部分,它的作用是方便地建立与集中系统的互联,把在维护和管理的费用降到很低。而且,灵巧网关带有广域网接口,可以代替边界路由器,还可以自动维护用户端的网络,性价比很高。灵巧网关里面使用的是国家专用的密码算法,同时保证了安全性。最方便的是,这是一种星型连接的结构,在这个系统里,连进来的网络被缩成了一个点。它屏蔽了接入单位与总部之间的网络相关性,所以总部可以支持相当多数量的网络连进来,而在拓扑结构上仍能保持简单形态,使总部的维护变得非常容易。这种方式也非常适合企业与分支机构互联的模式。
徐洪利: 我们正在考虑灵巧网关的使用范围,不远的将来一定会推广开来。
社保系统促进网络安全立法
大海: 社保系统的网络安全产品应用状况如何?
徐洪利: 将来,每个社区都需要上报市民的救济金、养老金和最低生活保障金。在抚顺市社保系统中已经实施,叫做社保基金的"三连动",目的是为了防止保障基金的冒领(从业务上控制)。在技术上,则需要保证数据存储、传输乃至入库整个过程的安全性,抚顺市目前已经开始在考虑这个问题。另外,经济发达城市已经开始从社区检查个人医疗信息,这是个人隐私信息,传给医院后如何保密等问题也成了一个网络安全问题。
??从现在市场看,将来在一个城市,一定会是像曹斌描述的那样,一个庞大的蜘蛛网,通讯、业务等都会连在一起。现在,各市讨论电子政务已经涉及到这些话题了。网络要连接,安全要考虑。不仅仅在社保系统,其实,所有严肃的电子政务系统,建设之初,大家首先想到的都是安全问题。工商局的单位编码需要共享,全市的药品目录需要统一,个人信息需要部分共享,等等,将来面对的是一个统一的个人和单位标识,既要在短时间内联网取到,又要保证整个过程和数据内容的安全。
社保系统的“安全个性”
大海: 东软在身份认证方面做得如何?社保系统的网络安全产品有哪些特色?
曹斌: 东软的网络安全产品并不特别提供身份鉴别产品,但是我们选择和集成,这需要与国家相应的机构进行配合。因为这是需要国家规划的,认证就像身份证,我们自己是不能随便发放的。
??东软安全产品的某些系列有行业的特征,比如我们提到的灵巧网关,它就来自社保的需求产生的VPN系列中的一个型号。但是,我们发现,其实它也是普遍适用的,只要用户在严肃地使用网络,就需要这样的东西,只不过社保行业起步较早而已。除了产品,安全问题主要还在应用。我们可以从社保事业部可以直接了解一个特定行业的业务特征,这有利于制定针对性的安全方案。比如,一个系统中哪里需要安装防火墙、VPN如何建、IC卡如何发放和管理、哪些地方应该安装IDS系统、如何建立安全管理机制来定期审核关键区域的安全风险,等等。另外,大多数安全产品都需要制定相应的策略,策略直接体现了安全方面的要求:你要保护什么,担心什么。通常要从系统的网络结构、人员角色、访问关系等方面来考虑。
徐洪利:东软在社保系统网络安全方面的个性,应该是国内的厂商中最突出的,别人有的我们基本上都有,别人没有的我们也有一些。在东软社保解决方案里,安全产品是最被用户认可的,我们可以全套提供所有安全产品。
社保系统的安全要求可能超过电信
大海: 如果总结一下社保行业网络安全的特殊性,二位都有哪些结论?其中哪些是中国特色?
曹斌: 规模大--中国特色,关键节点风险高--普遍问题,大集中--有点中国特色。
徐洪利:涉及系统多,对于信息既要共享,又要交换,数据处理过程中多个节点需要保持同步:卡、中心端、医院端、药店端、银行端等;涉及面广,包含多个部门;涉及深度大,从国家、省、市、县、街道乃至社区;涉及到系统的各个层次--系统级、应用级、内部、外部等;此外,社保乃至电子政务,涉及到的都是敏感、关键的信息,没有信息化又办不了业务,既然信息化,安全产品才会有市场。
大海:是不是可以说,将来社保的信息安全要求比电信级还要高?
徐洪利:可能。电信级的东西往往更多的关注可靠性问题,社保系统的可靠性要求不会比电信差,但安全问题却复杂很多。养老金是活命钱,医疗费是保命钱,这些都需要网络安全来保护。有时候,某些数据会涉及到国家的安定团结。如果数据不加密,有人光在网“听”,就能把一些敏感数据统计出个大概。所以,网络安全这时候尤为重要。
技术资料:NetEye灵巧网关
??针对行业用户广域网互联的需求,东软专门推出了适用于分支机构应用的灵巧网关产品。这一产品突出的核心思想就是经济易用。灵巧网关的管理界面将艰深难懂的概念和复杂的配置完全屏蔽起来,用户面对的是一个与Windows向导类似的、直观清楚操作界面。客户不需要具有任何网络安全知识,只要按照界面提示逐步操作,即可完成VPN网络的配置。它保留了防火墙和VPN的基本功能,但整体方案成本则大大地降低。此外,还可以节省路由器的投资,特别适合大规模VPN方案的部署。
灵巧网关的主要功能
·接入功能
??灵巧网关支持ADSL、DDN、电话拨号、以太网等多种接入方式,如上图所示,用户在向导的帮助下通过管理界面简单配置,灵巧网关即可以自动完成ADSL、ISDN、DDN、电话拨号的过程,连入因特网,并监控网络的连接状况。当网络连接由于故障断开时,灵巧网关会自动重新完成拨号的过程,连入因特网。
·边界防火墙功能
??灵巧网关安全策略固化为允许对外访问而禁止外部对灵巧网关内网的访问,即内网用户可以访问因特网,但因特网的用户无法访问灵巧网关的内网(见下页图)。由于采用预置的安全策略,因此,灵巧网关没有复杂的安全规则配置界面,从而大大减轻的管理员的负担。灵巧网关采用预设的安全策略保护内网安全。
·VPN功能(可选模块)
??灵巧网关在接入因特网后,可以自动与总部的VPN网关建立加密隧道,对信息采用高强度的加密算法和认证算法保护其机密性和完整性,保护敏感信息的传输安全。
灵巧网关的技术特点
??NetEye 灵巧网关是一种边界防火墙和VPN网关,定位在中小型分支机构用户。它安装简单、配置容易,用户无需具备任何网络或安全方面的专门技能即可将该设备接入因特网,并与总部网关建立安全隧道。由于这一产品支持ADSL、ISDN、拨号接入等多种接入方式,因此,使用灵巧网关构建的VPN网络可以随着企业组织规模的扩大方便地扩充。NetEye
灵巧网关的主要技术特性包括:DHCP服务提供给小型网络自动分配 IP 的功能;提供VPN上连服务,自动完成密钥协商并启用加密隧道;支持基本的 NAT 功能;支持SOCKS代理;自动检测并阻止
Ping of Death、SYN Flood、LAND Attack等DoS 攻击;可以自动通过外网卡、Modem 拨号、ISDN、ADSL 或 DDN
等设备完成到 ISP 的连接,在这个连接上建立与总部网关的加密通道, 通道建立后自动实施内网到 Internet 和内网到总部服务器的两个 NAT 规则,由于自动使用了
NAT ,所以客户的本地网络对总部完全隐藏, 不需要为实现互连而重新部署;采用简单的图形用户界面,所有的功能集中在统一的管理器中进行管理;使用硬件高速加密卡,通过IC卡进行安全地密钥分发;系统有足够的并发处理能力,可以支持500个用户同时上网;可以作为PPPOE的客户端;提供日志功能。