1.1.1安全系统建设需求1.1.1.1信息系统安全等级预评估步骤为确定信息系统的安全保护等级,首先要确定信息系统内各业务子系统在4个定级要素方面的分析,然后分别由4个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级,再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级,最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。具体步骤如下图所示:1、确定定级对象2、确定业务信息安全受到破坏5、确定系统服务安全受到破坏时所侵害的客体时所侵害的客体3、综合评定对客体的侵害程度6、综合评定对客体的侵害程度4、业务信息安全等级7、系统服务安全等级8、定级对象的安全保护等级图2-1等级确定图1.1.1.2受侵害的客体及对客体的侵害程度定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。(1)侵害国家安全主要是指影响国家政权稳固和国防实力、民族团结和社会安定、重要的安全保卫工作、经济竞争力和科技实力等;(2)侵害社会秩序主要是指影响国家机关社会管理和公共服务的工作秩序、各种类型的经济活动秩序等;(3)影响公共利益主要是指影响公共设施、公开信息资源、公共服务等方面;(4)影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。不同危害后果的三种危害程度描述如下:(1)一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。(2)严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。(3)特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。1.1.1.3信息系统安全等级预评估1、业务信息安全性等级分析业务信息安全性等级分析如下:(1)本项目是**信息包括**信息管理与服务,其所侵害的客体为社会秩序、公共利益;(2)**信息不属于涉密信息,被破坏不会对国家利益损害,对社会秩序、公共利益的侵害程度为一般损害;(3)因此根据业务信息安全性等级矩阵表,业务信息安全性等级为2级,如下表所示:表7-1业务信息安全性等级矩阵表业务信息安全被破坏时对相应客体的侵害程度所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级2、业务服务保证性等级分析业务服务保证性等级分析如下:(1)业务服务为:**信息包括**信息的服务,遭受破坏后,其对社会秩序、公共利益造成严重损害;(2)查表知业务服务保证性等级为3级,如下表所示:表7-2业务服务保证性等级矩阵表业务服务保证被破坏时对相应客体的侵害程度所侵害的客体一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级2安全系统设计2.1安全体系总体结构规划安全系统建设的原则,一是必须符合国家电子政务安全规划及国家的其他相关规定,二是要从**信息公共服务支撑的实际工作需求出发,建设既符合要求又满足实际需求的安全系统。系统安全体系数据安全:数据备份、数据库安全策略PKI/CA安应用安全安应用安全:应用系统安全、认全证安系统安全全技全制系统安全:操作系统安全策略、防病毒术措网络安全度软件管施管网络安全:网络边界安全、防火墙理物理安全理物理安全:环境建设、设备冗余安全策略安全管理:安全
管理制度
档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载
、人员安全管安全
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
、规范理、系统建设管理、系统运维管理图2-1安全体系架构图安全系统建设的重点是,确保信息的安全,确保业务应用过程的安全防护、身份识别和管理。安全系统建设的任务,需从技术和管理两个方面进行安全系统的建设。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。表7-1系统安全体系职责分工表序号层级名称安全说明职责分工1物理安全环境建设、设备冗余由政务外网云计算平台负责2网络安全网络边界安全、防火墙由政务外网云计算平台负责3系统安全操作系统安全策略、防病毒软件由政务外网云计算平台负责4应用安全统一身份认证、权限管理、日志管理、由建设单位负责系统审计5数据安全数据资源管理、数据库权限管理由建设单位负责6安全管理安全管理制度、人员安全管理、系统由建设单位负责运维管理2.2安全等级保护建设要求为了保证本项目安全稳定运行,根据安全等级保护预评估,将按照《信息系统安全等级保护基本要求》中的第三级要求进行设计,提供多层次的全面信息保护与网络安全应用解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
,安全建设目标划分为技术和管理两部分。2.2.1技术目标从安全体系上考虑,实现多种安全技术或措施的有机整合,形成一个整体、动态、实时、互动的有机防护体系。具体包括:本地计算机安全:主机系统文件、主机系统的配置、数据结构、业务原始数据等的保护。网络基础设施安全:网络系统安全配置、网络系统的非法进入和传输数据的非法窃取和盗用。边界安全:横向网络接入边界,内部局域网不同安全域或子网边界的保护。业务应用安全:业务系统的安全主要是针对应用层部分。应用软件的设计是与其业务应用模式分不开的,同时也是建立在网络、主机和数据库系统基础之上的,因此业务部分的软件分发、用户管理、权限管理、终端设备管理需要充分利用相关的安全技术和良好的安全管理机制。1、网络基础设施及网络边界安全为维护信息服务,并对各种信息进行保护,避免无意中泄漏或更改这些信息,要保护网络基础设施。将达到以下目标:JS-1.采取必要的措施,保证各种接入方式通信和传输的安全,防止非法用户通过外部接入方式侵犯内部网络。JS-2.应根据不同应用的安全级别,调整网络拓扑结构,划分合适的安全区域,在不同的安全区域之间采取必要的隔离措施(逻辑隔离或物理隔离)。JS-3.能按照不同接入方式特点和用户身份特征采取相应的身份认证和入侵预警措施。JS-4.通过采取必要的访问控制措施,将不同用户的操作限定在有限的区域内。JS-5.应采取必要的访问控制措施,实现系统的边界安全,做到应用过滤级别的访问控制,保证任何业务用户不能直接访问核心数据库。JS-6.在边界服务区域,采用病毒防护技术,杜绝病毒从网络边界传入。JS-7.应保证网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。2、主机系统安全本项目业务应用都是通过本地服务器来实现的,因此在安全建设中本地计算机的安全要满足以下的目标:JS-8.采用多种安全防护手段,使关键业务服务器和数据库服务器的安全防护级别高于其它系统。JS-9.需要保护服务器上的数据以及服务器提供的服务,防止非授权的访问和权限提升。JS-10.采取适当的技术和管理手段,保护本地计算机免受病毒、间谍软件的侵害,防止信息泄露。3、业务应用及核心数据库JS-11.保证各业务应用系统数据的真实性、可用性、机密性、完整性。JS-12.保证核心数据库的安全,防止非法的访问请求。JS-13.对访问核心数据库的请求和数据交换,进行病毒检测。JS-14.应实现核心数据的本地备份。2.2.2管理目标一套完整的安全解决方案必须配备相应的管理制度。因为完美的安全系统是建立在用户特定的管理运行模式中的,没有严格的管理规范和管理制度,再完美的设计和昂贵的设备都没用的。建立全面的安全运行维护服务,以保障系统安全、高效运转的需要。安全建设管理目标就是根据覆盖信息系统生命周期的各阶段管理域来建立完善的信息安全管理体系,从而在实现信息能够充分共享的基础上,保障信息及其他资产,保证业务的持续性并使业务的损失最小化,具体的目标如下:GL-1.定期对局域网网络设备及服务器设备进行安全隐患的检查,确保所有运行的网络设备和服务器的操作系统安装了最新补丁或修正程序,确保所有网络设备及服务器设备的配置安全。GL-2.提供全面风险评估、安全加固、安全通告、日常安全维护、安全应急响应及安全培训服务。GL-3.对已有的安全制度,进行更加全面的补充和完善。GL-4.应明确需要定期修订的安全管理制度,并指定负责人或负责部门负责制度的日常维护。GL-5.应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告。GL-6.应通过第三方工程监理控制项目的实施过程。2.3安全技术方案2.3.1系统安全技术目标我市电子政务安全体系建设的总体目标是:保护电子政务网络的信息资产不受侵犯;保证信息资产的拥有者和使用者面临可接受的安全风险,并获得最大的利益;保证整个电子政务网络及相关业务系统的可用性、完整性。针对**项目(二期)具体的安全目标是:(1)在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;(2)构建统一的安全管理与监控机制,统一配置、调控整个网络多层面、分布式的安全问题,具有检测、发现、报警和采集入侵行为的能力;加强安全应急事件的处理能力,实现网络与信息安全的可控性;(3)在系统遭到损害后,具有能够较快恢复正常运行状态的能力,对于服务保障性要求高的系统,应能快速恢复正常运行状态;(4)具有对系统资源、用户、安全机制等进行集中管控的能力。2.3.2网络层安全采用核心交换机ACL访问控制列表以及VLAN隔离功能、硬件防火墙、入侵防御系统(IPS)等安全防范措施。1、划分子网段及访问控制根据网络内部的业务应用及安全需求,进行分级分域的安全策略控制,采用交换机的ACL访问控制列表以及VLAN隔离功能进行子网段的划分,避免来自不安全网段的病毒感染、黑客攻击蔓延等威胁。由政务外网云计算平台按照互联网接入区VLAN划分规则对**项目(二期)进行VLAN划分,实现分级分域安全策略控制。2、防火墙设置防火墙是网络防护的基础设备。它将对外提供服务的服务器通过一定的技术和设备隔离开来,让那些设备形成一个保护区,即DMZ区。它隔离内部网络与外部网络,并提供存取控制服务,使内部网络有选择的与外部网络进行信息交换,防火墙增强了内部网络的安全性,用户可以更安全地利用网络资源。通过部署在政务外网云计算平台网络出口的防火墙,对所有访问**项目(二期)的网络流量进行控制,并对互联网区对外提供服务的服务器提供安全保护,实现与互联网逻辑隔离。3、入侵防御系统(IPS)入侵防御系统(IPS)帮助系统应对网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了安全基础结构的完整性。入侵防御系统是主动性的防御机制,它的设计旨在对常规网络流量中的恶意数据包进行检测(这是目前防火墙产品无法做到的)、阻止入侵活动、预先对攻击的流量、病毒进行自动拦截,而不是在传送恶意流量的同时或之后简单地发出警报。入侵防御被认为是防火墙之后的第二道安全闸门,在不影响网络性能的前提下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,入侵防御系统(IPS)是防火墙的合理补充。通过部署在政务外网云计算平台网络出口的入侵防御系统(IPS),对所有访问**项目(二期)的网络攻击进行监视、识别和响应,并对互联网区对外提供服务的服务器提供安全保护,实现与互联网逻辑隔离。2.3.3系统层安全1、操作系统安全**项目(二期)的主机选择安全可靠的操作系统。用“最小适用性原则”配置系统以提高系统安全性,并及时安装各种系统安全补丁程序。严格制定操作系统的管理制度,定期检查系统配置。在系统中建立统一用户管理和统一权限管理,监视与记录每个用户操作(如登录过程)。用户需独立标识,监视的数据应予以保护,防止越权访问。操作系统安全由政务外网云计算平台负责,具体包括对操作系统的安全补丁安装,对操作系统定期进行配置检查,并严格按照操作系统管理制度对操作系统进行管理。2、数据和系统备份策略安全可靠的网络数据备份系统不仅在网络系统硬件故障或人为失误时起保护作用,也在入侵者非法授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时也是系统灾难恢复的前提。因而在网络系统中建立安全可靠的网络数据备份系统是保证网络系统数据安全和网络可靠运行的必要手段。**项目(二期)基于政务外网云计算平台现有备份策略,采用完全备份与增量备份相结合的方式。3、网络防病毒系统网络防病毒工作已不再是简单地单台计算机病毒的检测及清除,需要建立多层次的、立体的病毒防护体系,而且要具备完善的管理系统来设置和维护病毒防护策略。防止计算机网络病毒,安装网络防病毒系统。**项目(二期)基于政务外网云计算平台现有网络防病毒系统,由政务外网云计算平台提供网络防病毒系统。2.3.4应用安全应用层安全主要是对资源的有效性进行控制,管理和控制不同等级用户对信息资源和服务资源具有什么权限,其安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密,并通过审计和记录机制,确保服务请求和资源访问的防抵赖。针对**项目(二期)的信息资源的安全级别的特点,其安全策略主要包括统一的身份认证、统一的权限管理、数据安全性、日记审计等。系统必须提供安全可靠的数据传输机制来保证数据的安全存储、传输和查看。1、统一身份认证身份认证是安全系统的基础,可以包括数字证书、用户密码、手机动态密码等多种模式,实现对各类用户访问系统的合法性进行验证。本项目通过所建设的“基础支撑平台”的统一认证及审计子系统,实现对各类用户访问的身份认证。2、统一权限管理系统的建设必须建立统一的权限管理机制。根据各类信息的需求者进行分类控制,实现角色权限管理。可以根据个人级、信息类级别、自定义级别实现访问及操作控制。3、数据安全性数据安全包括存储安全和传输安全,数据加密同时使用加密算法和加密密钥来呈现数据,这些数据对于既没有解密数据的正确算法又没有密钥的人无意义。加密密钥是算法中使用的附加变量。加密密钥包含受密钥包含的位数限制的数值。加密密钥允许多方使用一个公共算法而不会危及用该算法加密的数据。**项目(二期)是基于政务外网传输数据,这些网络可能是不安全的,所以要采用至少128位密钥的加密方式进行密文传输。每个数据交换的终端都要在**项目(二期)取得一个公私钥对,所有信息在传输之前都经过不对称加密处理,然后才能网络传输,这就保证了信息的传输安全。4、系统日志通过对信息调用者访问过程及各单位处理信息资源的过程进行记录保存,通过数据库审计软件等其他工具对日记进行审计管理、以防止资源访问和信息处理的抵赖。本项目通过所建设的“基础支撑平台”的统一认证及审计子系统,实现对系统日志信息的管理。5、系统审计系统审计是对信息系统的运行状况进行检查与评价,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标。应用系统审计功能应支持身份认证审计;对重要数据、文件的删除和修改等行为监控,记录系统重要安全事件、行为发生的日期、时间、发起者信息、类型、描述和结果等,并保护好审计结果,阻止非法删除、修改或覆盖审计记录;能够对记录数据进行统计、查询、分析及生成审计报表。2.3.5数据安全2.3.5.1事前准入与防御1、数据库准入(1)用户标识和鉴定进入数据库系统的用户,首先应由支持数据库系统运行的操作系统进行身份认证;通过数据库系统的用户账号与口令鉴定用户的身份,这是系统提供的最外层安全保护措施,也是最常用的措施。当用户远程直接登录到数据库管理系统或与数据库服务器进行访问连接时,应进行用户认证;数据库管理系统用户标识一般使用用户名和用户标识(UID)。为在整个数据库系统范围实现用户的唯一性,应确保数据库管理系统建立的用户在系统中的标识(SID)与在各数据库系统中的标识(用户名或别名,UID等)之间的一致性;分布式数据库系统中,全局应用的用户标识信息和认证信息应存放在全局数据字典中,由全局数据库管理安全机制完成全局用户的身份认证。局部应用的用户标识信息和认证信息应存放于局部数据字典中,由局部数据库安全机制完成局部用户的身份认证;数据库用户的标识和认证信息应受到操作系统和数据库系统的双重保护。操作系统应确保任何用户不能通过数据库以外的使用方式获取和破坏数据库用户的标识和认证信息;数据库系统应保证用户以安全的方式和途径使用数据库系统的标识和认证信息;数据库用户标识信息应在数据库系统的整个生命期有效,被撤销的用户账号的UID不得再次使用。(2)访问控制合理设置数据库对象的授权粒度,根据最小化授权原则,为数据库用户分配适当权限,并有效地加以管理和控制。用数据库目录表、存取控制表、能力表等确定主体对客体的访问权限。应允许命名用户以用户和/或用户组的身份规定并控制对客体的共享,并阻止非授权用户读取信息。2、数据库防御与监测(1)安全设备数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术,数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。本期项目将充分利用福州市政务外网云平台已购置的数据库防火墙防范可能针对数据库的安全威胁。(2)视图保护在系统中为不同用户定义不同的视图,通过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据进行保护。(3)分布部署对空间信息数据库、动态信息数据库、公共信息数据库、政务信息数据库和数据仓库分开部署,将数据仓库单独部署在一个数据库实例中,确保用户无法直接访问空间信息数据库、动态信息数据库、公共信息数据库和政务信息数据库中的数据。通过更改、转变数据分布的特征,隐藏数据本身的信息,对敏感数据进行保护。(4)数据分割将数据仓库层数据进行分割,将不同列族以不同的维度(横向和纵向)分割发布,在不影响数据挖掘的情况下,确保用户无法获得完整的数据信息。(5)匿名化采用知识匿名化的相关技术,可以有效的控制超模式,子模式和链式推理通道的形成,同时,对原有数据标示进行转换、替换,从而保护了数据的隐私信息。(6)完善备份策略为保证数据的完整性,需要制定完善的备份策略,确保发生严重故障时,能够通过备份,快速恢复系统中的数据。2.3.5.2事中管理与监控1、数据完整和保密性(1)数据传输加密支持采用SFTP等安全加密协议,建立加密传输通道,对数据进行加密传输。与市级大数据平台的对接、数据交换应遵循市级大数据平台的相关标准和规范。(2)数据加密压缩为确保数据收集的高效和安全,将对数据进行加密压缩再传输到服务器上,方便数据传输。在数据开放给用户时,再进行解压。(3)数据存储加密对敏感数据或数据敏感部分(如密码)进行加密,采用数据加密算法对数据进行加密存储。即使黑客侵入服务器窃取数据,也无法获得有价值的实时数据。2、数据监控对短时间内大数据量的访问进行监控。可以设定预警的阈值,实时产生提醒信息。支持对数据请求服务接口和数据交换队列状况进行监控,能够对公用网络区的数据接入情况,以及数据流向、数据流量情况进行实时监控管理。2.3.5.3事后审计与追溯1、数据库审计数据库的安全审计应满足以下要求:(1)应设计数据库审计功能,并与用户标识与认证、访问控制、标记等安全功能的设计紧密结合;(2)审计记录包含:审计的操作、用户执行的操作、操作的日期和时间等信息。同时,综合利用福州市政务外网云平台安全审计策略、审计分析功能,确保操作可追溯。(3)对与标识及强制访问控制等安全机制有关的内容,如安全属性的操作等进行审计;(4)对网络环境下运行的数据库管理系统,应建立分布式的审计系统,并通过审计中心进行管理和控制。2、数据库备份与恢复采用数据备份系统来实现统一、自动化、集中的备份。对于备份软件的选择,不仅要注重使用方便、自动化程度高,还要有好的扩展性和灵活性。同时,跨平台的网络数据备份软件能满足用户在数据保护、系统恢复和病毒防护方面的支持。一个专业的备份软件配合高性能的备份设备,能够使损坏的系统迅速起死回生。本期项目采用福州市政务外网云平台提供的数据库备份服务,为存放在公用网络区存储阵列上的数据提供备份服务,确保数据安全。(1)数据备份策略目前被采用最多的备份策略主要有完全备份(FullBackup)、增量备份(IncrementalBackup)、差分备份(DifferentialBackup)三种。本方案建议备份策略采用以上三种方式的结合。例如:数据库全备份:选择在周五(或周六)自动进行。数据库增量/差分备份:每晚由主机系统执行,批处理人员触发或由系统自动执行。文件全备份:将主机系统和其它服务器的数据作全备份,选择在周日自动进行。文件增量/差分备份:在周一到周四(或周五)之间备份文件的增量。系统全备份:在月初的周日备份系统及数据库的全量。系统增量/差分备份:在其余的时间仅备份系统和数据库配置的增量。跟踪备份:实时备份系统增量(事务日志备份)。(2)数据恢复数据恢复措施在整个备份制度中占有相当重要的地位。因为它关系到系统在经历故障后能否迅速恢复。数据恢复操作一般包括全盘恢复、个别文件恢复和重定向恢复。福州市政务外网中心支持以上三种方式。考虑到**承载的行业专题,存储系统是整个平台的基石,它的安全与稳定是业务正常运作的基础。随着系统的扩展,数据也会不断增长,存储系统也要能实现快速稳定地扩展。我们采用一套性能最好、稳定性最高、扩展性最强的SAN存储系统来实现本平台的数据存储功能。(3)灾难恢复
计划
项目进度计划表范例计划下载计划下载计划下载课程教学计划下载
灾难恢复措施在整个备份制度中占有相当重要的地位。因为它关系到系统在经历灾难后能否迅速恢复。灾难恢复措施包括:灾难预防制度、灾难演习制度及灾难恢复。以往传统的备份方法,如果系统彻底损毁,要恢复数据必然要有重新安装操作系统和应用程序等繁琐的步骤,浪费了大量的时间。而在系统损毁后,迅速地在尽可能短的时间内恢复系统是绝对必要的。(4)备份系统管理建议像系统管理需要设置系统管理员、数据库管理需要数据库管理员、网络管理需要网络管理员一样,管理备份系统也需要有相应的人员来负责。备份系统虽然不如上述系统那么复杂,但也需要相当的学习才能对备份系统进行有效、安全地管理。备份系统管理员可以是专职的也可以由系统管理员、数据库管理员或网络管理员兼职。或许这些角色都集中在一个管理人员身上。至少应安排一个备份系统的管理人员,如果条件允许,也可以安排另一个管理人员以防止主要管理员不在的时候有人负责对备份系统进行管理。尽管备份系统管理员可以对整个备份系统进行任何操作,但实际上备份系统管理员的主要职责应该是协助其它管理者使用备份系统。2.3.5.4隐私数据建设系统在使用中不仅要对各项基础信息的安全保证,还要对隐私数据进行严格的划分和保护,隐私数据主要体现在用户在使用中产生的姓名、手机号码、邮箱、登录系统日志等数据。从数据的生命周期角度来考虑,对数据的产生、存储、流转、使用、废弃等不同阶段涉及介质、系统、终端、人员进行识别,明确不同阶段的使用要求。另外,则是从用户隐私信息涉及到的所有者、管理者、使用者的角度,分别提出不同的要求,基本要求应当包括:用户个人隐私数据的可接受使用,即哪些人通过哪些系统可以访问哪些数据(应当有数据所有者来定义);用户个人隐私数据的使用流程,即对于批量数据查询、非授权人员对用户隐私数据使用的场景应当如何通过流程进行授权管理,保证披露范围合法、可控,披露过程可追溯(使用者应当遵守的流程);用户个人隐私数据的管理流程,即从信息系统管理者的角度如何保证用户个人隐私数据不被非授权访问、隐私信息介质被妥善保护、数据访问过程可追溯、废弃数据妥善被销毁等(管理者应当执行的流程)。1、建立用户隐私信息范围项目用户隐私信息保护的前提条件,是明确定义出哪些信息应当作为用户个人隐私信息进行保护。用户信息收集的范围较多,还可能涉及用户身份信息、用户操作日志等。从风险的角度、识别风险场景和信息的相关性,从而明确隐私保护的重点范围,将有限的资源分配到高风险的用户信息字段,将姓名、手机号、邮箱地址、账号密码、联系地址等作为重点隐私数据保护的对象列为隐私数据。2、建立用户信息收集的范围和用途规范除了用户隐私信息范围,需要与用户就信息的收集、使用达成一致性的共识,在明显的位置显示系统需要收集的隐私数据内容,服务过程中会收集到哪些信息,以及这些信息将被用于哪些用途以及使用的范围。只有在获得用户许可的前提下,才可以收集相关的信息。系统不会将数据以公告外的方式使用数据,应按照规范严格执行数据保护。3、建立覆盖全生命周期的用户信息保护技术体系数据泄露的风险来源可以分为三个方面:外部黑客攻击导致、内部的恶意人员的泄露、系统设计漏洞导致数据泄露。对外部黑客攻击而言,一般的安全工具组合可能会包括:应用防火墙(WAF)、入侵侦测系统(IPS)、数据泄露防护系统(DLP)、数据库防火墙(DBF)、数据库审计工具(DBA)、数据库加密工具通过这些工具的组合,试图对可能发生的黑客入侵行为进行预警、阻断和追溯,从而尽最大可能避免大规模的数据泄露事件发生。对内部恶意人员的泄露,一般性的安全工具组合可能包括终端安全管理工具(对数据传输接口进行限制)、终端数据泄露防护、网关数据泄露防护、虚拟桌面(数据不落地)、文档加密工具、数据加密工具、数据脱敏工具、数据库防火墙、数据库审计工具等。通过这些工具的组合,可以实现对数据库管理员、数据工程师、业务运营人员的高危数据操作风险的管理,包括数据导出、下载、外传、批量查询等。系统设计上要完全采用保密传输、暗码等的方式、不在浏览器地址、缓存中有隐私数据、移动互联需要进行协议加密等方式研发,杜绝设计导致的隐私数据泄露。2.3.6行业专题安全设计本项目的行业专题与**通过api接口进行对接,主要靠行业专题代码编写安全网络请求保证安全性。1、代码编写的安全,避免如下情况应用不响应(ANR):(1)应用将耗时操作或者同步调用放在UI线程,广播接收器里处理;(2)应用资源异常,如内存、文件、线程等的滥用、泄露;(3)消息、通知过载,忙不过来;(4)获取系统资源阻塞,比如访问文件系统、数据库、网络、CPU等。、2、网络请求安全(1)https加密通道传输,防止请求拦截等,保证了我们的网络请求的安全性。(2)行业专题通过调用服务器的api接口,确保服务器的数据安全和通讯安全,防止数据篡改等恶意攻击。2.3.7账户安全设计2.3.7.1账号权限范围在系统中,可以按照权限的高低划分账号的等级,也可以以权限大小作为认证程度高低的判断依据。本次项目系统属于管理者的角色为:统筹办管理员、委办局管理员、运维管理员,属于常规账号角色为:行业专题用户。系统的角色采用在业界接受程度较高的功能权限模型是RBAC(Role-BasedAccessControl)模型,其基本理念是将“角色”这个概念赋予用户,在系统中用户与权限之间通过角色进行关联,以这样的方法来实现灵活配置。图1-3多对多的用户角色关系图根据业务划分,其主要权限区别分为管理员、一般角色与特殊角色。管理员角色具有:查看较大范围内的数据权限、管理其权值范围内的账号信息权限、更改当前账号信息权限,而一般的账号具有:业务功能使用权限、当前账号信息权限等,另外管理员后台提供角色权限字典表配置功能,支持根据需求创建特殊权限类型的角色。其具体表现如下:表1-3角色权限说明表属性角色权限访问范围统筹办管理员统计查看等业务功能、数据管理、角全福州市数据色权限字典表配置、机构管理、账号管理、资源管理等。管理者委办局管理员统计查看等业务功能、数据管理、机某具体委办局数据构管理、账号管理等运维管理员平台功能与参数配置、账号管理等平台配置数据一般行业专题用户行业数据使用功能、账号管理某具体行业数据特殊特殊角色根据配置权限而定根据配置权限而定2.3.7.1账号安全认证账号安全认证主要从账号生成规则方面体现:(1)严格设定为管理员可新增和修改其管理范围内的用户和信息。只要做好权限范围控制就不会出现账号问题。(2)与其他系统对接,在保障其他系统信息安全情况下进行用户对接的账号亦是安全账号。2.3.7.2账户风险控制为了保障用户的账户安全,在系统上会对关键点进行必要的安全保护。因此平台中的交互需要针对每一步操作行为进行动态打分。每一步操作的分值不是孤立的,具有连贯性,都会基于历史的操作来进行判定。一旦触发了相应的阀值,系统就采取相应的保护机制。为操作设定做风险评估,并设计对应场景解决方法:(1)无风险:正常使用,不存在任何风险。(2)低风险:存在过于频繁请求、过长时间登陆等明显区别于一般账号的行为时,系统会采用告知存在异常的方式保证安全性,一般为:邮件、短信、客户端通知。(3)中度风险:存在特殊风险操作,例如多次错误输入密码、弱密码、执行危险操作等,系统会强制用短信验证码、图片验证码等方式进行二次验证。(4)高度风险:操作或使用高风险操作时,系统会强制冻结账号、限制访问IP、限制使用时间等。系统对每一次账号的完整过程(从登录到活跃)进行评估,达到相应级别,系统采取相应的保护措施,其具体为:1、密码风控一般对于普通用户账号,其登陆账号一般为名称缩写,密码为统一规则生成,容易发生账号盗用与密码遗忘的情况,针对此类问题需做好密码安全风险控制:(1)密码安全:用户密码采用加密传输,并且统一管理,其他系统通过统一认证接口验证用户信息。用户密码保存在核心数据库,密码采用md5加密不可逆破解,杜绝了用户密码被破解的可能性。(2)密码找回:系统实现用户与邮箱、手机绑定,如果用户密码出现遗忘等情况,用户可以通过多种手段找回。(3)弱密码:会强制提示用户更改密码并完成修改。2、登录风控登录是安全保护的第一道防线,这个阶段就可以拦截大量的异常操作。(1)登录失败次数。记录账号短时间内登录失败的次数,防止别人通过大量的测试来获取你的密码,这也是最基本的保护。比如,有的密码输入错误次数达到3次以上后,就会加验证码。有的输入密码错误次数达到阀值后,限制一段时间后才能再试。(2)IP地址。一般用做判断登录地点是否为常在城市。另一方面用做辅助信息来做一些异常判断,做进一步限制。比如发现在某个IP存在频繁的指令行为,可以限制该IP上的账号活动。内部系统与管理平台采用的是内网限制ip请求,做到外网基本绝缘的情况。外网无法或间接直连管理平台,保证内部系统交换安全。(3)使用设备。辅助信息,识别异常操作信号。(4)登录时间。记录用户的活跃情况,画出用户的工作时间分布图,帮助识别异常操作。比如用户一般都是工作时间登录,突然某一天出现凌晨2:00登录的现象,用户在此之前并没有登录后连续活跃的记录,这时候就有一定的可疑性。(5)登录及活跃地点。辅助信息,识别用户的异常行为,可画出用户活动范围图,减少对异常情况的误判。现在有第三方IP地址库的公司,提供定位服务。所以即使是用PC,在不借助GPS和基站定位的情况下,也能精确地定位到你在某一栋楼里。3、验证与请求风控为预防账号被盗、恶意刷号、恶意攻击等风险,需要进一步实现验证与请求的风险控制。一般需要验证和请求环节的可疑行为可能有:大量的下载、导出文件、大量的转发内容、大量的发送信息、发送带有私密信息或敏感关键词的信息或内容、发送之后立即删除等。比如:不法分子利用已经获得的账号资料,通过技术手段,大量验证“用户账号是否存在”,从而知道手里的账号哪些是已经在平台上注册过的账号。账号验证需要向服务器发起请求,因此恶意者可以用技术手段大量发起请求攻击,导致网络、服务器和数据库瘫痪甚至宕机。需要基于以下几点做到:(1)手机账号真实性的风控:为了保证用户输入的手机号是其本人的,通常都需要设计短信验证码功能。(2)邮箱账号真实性的风控:为了保证用户输入的邮箱是其本人的,通常都需要设计邮件验证码功能或通过邮件进行激活确认的功能。(3)短信通道、真实手机号的风控:短信验证码是业务系统利用运营商或者代理商的短信通道,下发验证码,对用户所输入的手机号进行真实验证的功能。为了防止恶意者攻击短信通道,或者随意输入其他人的手机号滥发短信给其他人造成骚扰,这里需要增加两项风控:保护短信通道、减少对其他手机号短信骚扰。(4)注册请求的风控:当用户将所有信息都填写完成,点击“立即注册”按钮即可向服务器发起请求,程序判断用户填写的信息完整无误,则返回注册成功的提示;如果判断某些输入项有问题,则返回对应的错误提示。这里需要增加两项风控:防止用户恶意大量请求攻击服务器,防止用户绕过输入项验证直接提交注册请求。综上所述,在注册功能中,需要考虑的风险点和风控目标可以归纳为:禁止非正常的、大量的“验证账号是否存在”的服务器请求;确保输入的手机号是用户本人的、真实的手机号;邮件验证码功能或者通过邮件进行激活确认的功能;保护短信通道不被恶意者大量刷短信,造成堵塞;减少对其他手机号码的短信骚扰;防止恶意用户大量发起注册请求,攻击服务器;防止用户绕过输入项验证,直接发起请求。2.4密码安全设计为确保网络安全运行,制定密码安全管理制度。2.4.1算法配用设计本项目国产密码算法应用方案主要应用的密码算法有SM2非对称加密算法、SM3摘要算法、SM4对称加密算法。表1-6算法配用设计序号安全功能密码算法及用途应用说明SM2:数字签名、密钥加密支持SM2的SSL安全证书1安全登录功能SM3:摘要运算SM4:对称加密SM2:用来做数字签名使用国产密码算法对重要数SM3:用来对随机数做摘要运算据签名加密后传输,保障传2数据传输安全SM4:用来对关键数据做加解密输数据的完整性与机密性运算关键业务数据SM2:用来做数字签名支持SM2国产密码数字证数字签名、签SM3:用来对随机数做摘要运算书的数字签名,并加盖事件3名验证及加解SM4:用来对关键数据做加解密戳。密功能运算1、SM2算法SM2椭圆曲线密码算法是国家密码管理局发布的一组算法,包括SM2-1椭圆曲线数字签名算法、SM2-2椭圆曲线密钥协商协议、SM2-3椭圆曲线加密算法。SM2算法的密钥长度为256Bit,密钥由一组公钥和私钥组成,称为密钥对。使用公钥加密的数据,使用私钥可以解密,用来做数据加密;使用私钥加密的数据,可以用公钥解密,用来做数字签名。在实际应用中,SM2算法主要应用在以下几个方面:(1)用来保障关键数据完整性:应用SM2签名算法;(2)用来保障数据传输安全:应用SM2签名算法、SM2加密算法;(3)用来保障重要非结构化文件的完整性:应用SM2签名算法。2、SM3算法SM3算法是国家密码管理局发布的杂凑算法。SM3杂凑算法是一个不可逆的算法,不能通过对源数据运算产生的杂凑值还原源数据。SM2算法生成的杂凑值长度为256Bit。SM3算法在SM2签名算法中应用,同时还能够用来实现关键数据的完整性校验。3、SM4算法SM4是国家密码管理局发布的一个分组密码算法,该算法的分组长度为128比特,密钥长度为128比特。加密算法与密钥扩展算法都采用32轮非线性迭代结构。解密算法与加密算法的结构相同,只是轮密钥的使用顺序相反,解密轮密钥是加密轮密钥的逆序。SM4加密算法用来对数据做对称加密,相对非对称算法,SM4对称加密算法的加密速度快,但是需要妥善保管加密密钥。因此一般在做数据加密时,使用SM4对称加密数据后,再用SM2加密算法来加密对称密钥。2.4.2密码的设置服务器的密码,由平台运维负责人和系统管理员商议确定,必须两人同时在场设定。服务器的密码须运维负责人在场时要由系统管理员记录封存。密码内容设置规则:必须由数字、字符和特殊字符组成;密码长度不能少于8个字符;机密级计算机设置的密码长度不得少于10个字符;设置密码时应尽量避开有规律、易破译的数字或字符组合作为自己的密码。密码要定期更换:一般服务器密码更换周期不得多于30天;重要服务器密码更换周期不得超过7天。重要服务器需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。2.4.3密码和口令的保存服务器设置的用户密码由系统管理员自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示上级领导批示;非系统管理员使用密码完成工作后,系统管理员应该及时更改密码,保证密码安全。服务器所有设置的用户密码须登记造册,由系统管理员管理保存,并将备案记录交于运维负责人封存。密码更换后系统管理员需将新密码或口令记录登记封存。如发现密码有泄密迹象或黑客入侵,系统管理员要立刻报告平台运维负责人,运维负责人应及时与系统管理员商定修改密码,并严查泄密源头修补系统漏洞,将详细情况以书面形式上报上一级领导和用户。2.5安全管理方案管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全风险。2.5.1安全管理体系建设的目标安全管理是安全系统的重要组成部分,没有健全的安全管理,系统的安全性时很难保证。任何网络系统仅在技术上无法达到完整的安全。为此,需要建立一套科学、严密的网络安全管理体系。通过有效的安全管理体系的建设,最终要实现的目标是:采取集中控制、分级管理的模式,建立由专人负责安全事件定期报告和检查制度,从而在管理上确保全方位、多层次、快速有效的网络安全防护。2.5.2安全管理体系内容建设通过规划安全策略、确定安全机制、明确安全管理原则和完善安全管理措施,建立安全管理机制,制定各种规章、制度和准则,合理地协调法律、技术和管理三种因素,实现对系统安全管理科学化、系统化、法制化和规范化,达到保障网络系统安全的目的。2.5.3安全组织体系建设为实现统一领导和分级管理的原则,安全管理必须设立专门的管理机构,配备相应的安全管理人员,并实行“第一把手”责任制。系统的安全管理机构,将根据国家的有关信息网络安全的法规、方针、政策等,承担所属系统的各项安全管理工作,具体为:(1)拟定并组织实施所属计算机信息系统安全管理的各项规章制度;(2)监督、指导所属计算机信息系统安全保护工作,定期组织检查计算机信息系统安全运行情况,及时排除各种安全隐患;(3)贯彻国家安全主管部门的规章制度和要求,组织落实安全技术措施,保障计算机信息系统的运行安全;(4)组织宣传计算机信息系统安全方面的法律、法规和有关政策,开展计算机信息系统的安全培训和教育;(5)负责联系和协调所属计算机信息系统的各项安全工作;在结合现有组织和人员配置情况下,组织结构及岗位职责设置要充分体现统一领导和分级管理的原则,主要内容包括:管理机构的建立,管理机构的职能、权限划分,人员岗位、数量、职责定义。2.5.4安全管理制度建设安全管理制度是保证网络系统安全的基础,需要通过一系列规章制度的实施,来确保各类人员按照规定的职责行事,做到各行其职、各负其责,避免责任事故的发生和防止恶意的侵犯。安全管理制度包括:安全技术规范、人员安全管理制度、设备安全管理制度、运行安全管理制度、安全操作管理制度、安全等级保护制度、有害数据防治管理制度、敏感数据保护制度、安全技术保障制度、安全计划管理制度等。安全技术规范包括:1、日常操作管理办法(针对网络安全管理员)安全事件的分析主要集中在网络安全管理员,因此日常操作规范主要是对不同级别安全管理员的日常工作职责、内容、操作流程所做的规定,从而实现安全防护的程序化和统一化管理。2、安全策略配置管理方法根据安全问题潜在环境的差异和对环境关注程度的不同,选择相应的网络安全策略是网络安全建设非常重要的一步,突出重点、兼顾一般的策略配置能够降低风险。3、数据备份管理办法鉴于重要的数据文件存在着对文件破坏后难以恢复性的特点,出于对数据安全性、可恢复性的考虑,必须适时的进行数据备份,以实现安全防范的目的,同时能够提高遭破坏后的数据恢复速度。更重要的是对备份数据是否存在安全隐患,确保备份数据的真正安全可靠,这是数据备份管理规范区别于传统数据备份的重大区别所在。4、攻击事件预警管理办法预警是对出现攻击事件的报警,其主要内容包括:安全事件报警形式(电子邮件、LAN即时消息等)、预警结果传送渠道、预警结果的处理。5、日志管理办法(针对网络安全管理员)日志是软件对安全防护系统工作运行结果进行的记录,是管理员进行统计分析和发现问题的一种方式。其主要内容包括:日志生成、统计分析、重要情况通报。6、定期报告办法把安全事件等情况向相关领导逐级进行定期或不定期的总结统计汇报,为领导决策提供依据。其主要内容包括:报告形式、报告对象、报告程序及频率、报告内容。2.5.5信息安全管理原则1、多人负责原则每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠实可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动:(1)信息处理系统使用的媒介发放与回收;(2)处理保密信息;(3)硬件和软件的维护;(4)系统软件的设计、实现和修改;(5)重要程序和数据的删除和销毁等。2、任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。3、职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面每组内的两项信息处理工作应当分开。(1)敏感资料的接收和传送;(2)安全管理和系统管理;(3)应用程序和系统程序的编制;(4)计算机操作与信息处理系统使用媒介的保管等。2.5.6安全教育和培训为了将安全隐患减少到最低,不仅需要对安全管理员进行专业性的安全技术培训,还需要加强对一般办公人员的安全知识的普及。通过对用户的不断教育和培训,提高用户的安全意识、法制观念和技术防范水平,确保网络系统的安全运行。根据用户的不同层次制定相应的教育培训计划及培训方式。2.5.7安全管理目标与方案解决说明通过上文中安全管理的设计,解决了安全建设GL-1、GL-2、GL-3、GL-4的安全需求目标。同时建议在项目实施过程中,委托第三方测试单位进行安全性测试(GL-5),委托第三方工程监理控制项目的实施过程(GL-6)。
浙公网安备 33021202002483