系統安全保障方案

互聯網信息化系統安全保障方案PAGE第13頁共13頁第1頁共13頁互聯網信息化系統安全保障方案2018年03月份目錄互聯網軟件系統 1安全保障方案 1目錄 21、保障方案概述 32、系統安全目標與原則 32.1安全設計目標 32.2安全設計原則 33、系統安全需求分析 44、系統安全需求框架 95、安全基礎設施 95.1安全隔離措施 105.2防病毒系統 105.3監(jiān)控檢測系統 105.4設備可靠性設計 105.5備份恢復系統 106、系統應用安全 116.1身份認證系統 116.2用戶權限管理 116.3信息訪問控制 126.4系統日志與審計 126.5數據完整性 127、安全管理體系 138、其他 13

保障方案概述軟件系統運行在網絡系統上，依托內外網向系統相關人員提供相關信息與服務，系統中存在著大量非公開信息，如何保護這些信息的機密性和完整性、以及系統的持續(xù)服務能力尤為重要，是軟件系統建設中必須認真解決的問題。系統安全目標與原則安全設計目標軟件系統安全總體目標是：結合當前信息安全技術的發(fā)展水平，設計一套科學合理的安全保障體系，形成有效的安全防護能力、隱患發(fā)現能力、應急反應能力和系統恢復能力，從物理、網絡、系統、應用和管理等方面保證“軟件系統”安全、高效、可靠運行，保證信息的機密性、完整性、可用性和操作的不可否認性，避免各種潛在的威脅。具體的安全目標是：1）、具有靈活、方便、有效的用戶管理機制、身份認證機制和授權管理機制，保證關鍵業(yè)務操作的可控性和不可否認性。確保合法用戶合法使用系統資源；2）、能及時發(fā)現和阻斷各種攻擊行為，特別是防止DoS/DDoS等惡意攻擊，確保軟件系統不受到攻擊；3）、確保軟件系統運行環(huán)境的安全，確保主機資源安全，及時發(fā)現系統和數據庫的安全漏洞，以有效避免黑客攻擊的發(fā)生，做到防患于未然；4）、確保軟件系統不被病毒感染、傳播和發(fā)作，阻止不懷好意的Java、ActiveX小程序等攻擊網絡系統；5）、具有與軟件系統相適應的信息安全保護機制，確保數據在存儲、傳輸過程中的完整性和敏感數據的機密性；6）、擁有完善的安全管理保障體系，具有有效的應急處理和災難恢復機制,確保突發(fā)事件后能迅速恢復系統；7）、制定相關有安全要求和規(guī)范。安全設計原則軟件系統安全保障體系設計應遵循如下的原則：1）、需求、風險、代價平衡的原則：對任何信息系統，絕對安全難以達到，也不一定是必要的，安全保障體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相容，做到技術上可實現，組織上可執(zhí)行。2）、分級保護原則：系統有多種信息和資源，每類信息對保密性、可靠性要求不同。以應用為主導，科學、合理劃分信息安全防護等級，并依據安全等級確定安全防護措施。3）、多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。建立多重保護系統，各層保護相互補充，提供系統安全性。4）、整體性和統一性原則：軟件系統安全涉及各個環(huán)節(jié)，包括設備、軟件、數據、人員等，只有從系統整體的角度去統一看待、分析，才可能實現有效、可行的安全保護。5）、技術與管理相結合原則：軟件系統安全是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此在考慮軟件系統安全保障體系時，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規(guī)章制度建設相結合。6）、統籌規(guī)劃，分步實施原則：由于政策規(guī)定、服務需求的不明朗，環(huán)境、時間的變化，安全防護與攻擊手段的進步，在一個比較全面的安全體系下，可以根據系統的實際需要，先建立基本的安全保障體系，保證基本的、必須的安全性。隨著今后系統應用和復雜程度的變化，調整或增強安全防護力度，保證整個系統最根本的安全需求。7）動態(tài)發(fā)展原則：要根據系統安全的變化不斷調整安全措施，適應新的系統環(huán)境，滿足新的系統安全需求。系統安全需求分析要保證軟件系統的安全可靠，必須全面分析軟件系統面臨的所有威脅。這些威脅雖然有各種各樣的存在形式，但其結果是一致的，都將導致對信息或資源的破壞或非法占有，并可能造成嚴重后果。軟件系統應考慮以下安全需求，如下表所示。安全層面安全需求安全需求描述物理安全異地容災異在容災主要是預防場地問題帶來的數據不可用等突發(fā)情況。這些場地問題包括：電力中斷、通信線路破壞及戰(zhàn)爭、地震、火災、水災等造成機房毀壞或不可用等。通過異地容系統將這種故障造成的損失減到最小。由IT整體建設考慮。機房監(jiān)控機房監(jiān)控機房監(jiān)控主要是預防盜竊、人為破壞、私自闖入等情況。監(jiān)控手段有門禁系統、監(jiān)視系統、紅外系統等。安全層面安全需求安全需求描述后續(xù)項目可利用目前已有機房設施。設備備份設備備份用于預防關鍵設備意外損壞。后續(xù)項目中關鍵服務器、存儲系統應有冗余設計。線路備份線路備份主要是預防通信線路意外中斷。后續(xù)項目中服務器與網絡連接，以及網絡出口應考慮線路備份。電源備份電源備份電源備份用于預防電源故障引起的短時電力中斷。后續(xù)項目可利用目前已有機房電源設施。防電磁泄漏防電磁泄漏用于預防電磁泄漏引起的數據泄漏。防電磁泄漏手段有屏蔽機房、安裝干擾器、線路加密等。后續(xù)項目可利用目前已有機房設施。媒體安全媒體安全用于預防因媒體不可用引起的數據丟失。要求對數據進行備份，且備份數據的存放環(huán)境要滿足防火、防高溫、防震、防水、防潮的要求。后續(xù)項目應考慮存儲媒體的安全。采用磁帶機進行離線備份。網絡與系統安全深層防御深層防御就是采用層次化保護策略，合理劃分安全域，對每個安全域及邊界采用適當的有效保護。后續(xù)項目系統部署時應加以考慮。邊界防護邊界防護用于預防來自本安全域以外的各種惡意攻擊和遠程訪問控制。邊界防護機制有VLAN、防火墻、入侵檢測、網閘等措施。后續(xù)項目實施時應加以考慮。網絡防病毒網絡防病毒用于預防病毒在網絡內傳播、感染和發(fā)作。后續(xù)項目利用已有網絡防病毒系統。系統監(jiān)測系統監(jiān)測用于保護軟件系統WEB頁面保護。后續(xù)項目實施方案設計時統籌考慮。備份恢復備份恢復用于意外情況下的數據備份和系統恢復。后續(xù)項目方案設計時應加以考慮，利用數據庫提供的備份工具進行備份恢復處理。漏洞掃描漏洞掃描用于及時發(fā)現操作系統、數據庫系統、應用系統以及網絡協議安全漏洞，防止安全漏洞引起的安全隱患。后續(xù)項目實施時應加以考慮。安全審計安全審計用于事件追蹤。要求網絡、安全設備和操作系統、數據庫系統有自代審計功能。后續(xù)項目實施時應加以考慮。應用安全身份認證身份認證用于保證用戶身份的真實性。軟件系統用戶采用實名制，實行嚴格的身份認證，確保系統用戶身份的合法性。權限管理權限管理指對軟件系統中的操作和訪問進行權限管理，防止非授權訪問和操作。安全層面安全需求安全需求描述軟件系統實行嚴格的權限管理，防止越權訪問。數據完整性數據完整性指對軟件系統中存儲、傳輸的數據進行數據完整性保護。軟件系統開發(fā)與實施中應滿足數據完整性要求。數據傳輸機密性數據傳輸機密性指對軟件系統與其它安全域之間傳輸的敏感信息進行加密保護。

鑒于軟件系統部署在內外網，數據機密性要求不高，暫對數據傳輸機密不做要求?？沟仲嚳沟仲嚲褪峭ㄟ^采用數字簽名方法保證當事人行為的不可否認性。

根據軟件系統的信息秘密性等級，暫不要求抗抵賴功能。安全審計對涉密信息的訪問和操作要有完善的日志記錄，并提供相應的審計工具。軟件系統應提供日志記錄功能。安全管理組織建設安全管理組織建設包括：組織機構、人才隊伍、應急響應支援體系等的建設。后續(xù)項目要求相應的組織保障。制度建設安全管理制度建設包括：人員管理制度，機房管理制度，卡、機具生產管理制度，設備管理制度等的建設。后續(xù)項目要求相應的制度建設。除有關的上述內容外，還應建立明確的信息發(fā)布、維護管理制度。標準建設安全標準規(guī)范建設包括：數據交換安全協議、認證協議、密碼服務接口等標準規(guī)范的建立。根據軟件系統需要，建立相關的標準與規(guī)范。安全服務安全服務包括安全培訓、日常維護、安全評估、安全加固、緊急響應等根據軟件系統維護管理需要，明確安全需求，采取必要的安全服務措施，及時解決或預防各種安全問題。技術建設安全管理技術建設主要指充分利用已有的安全管理技術，利用和開發(fā)相關的安全管理工具，提高安全管理的自動化、智能化水平。應根據軟件系統維護管理需要進行安全技術建設。基于前面的安全風險分析，軟件系統必須采取相應的應對措施與手段，形成有效的安全防護能力、隱患發(fā)現能力和應急反應能力，切實保障軟件系統安全。系統安全需求框架根據上述的系統安全需求分析、系統安全目標及系統安全規(guī)劃原則，闡述軟件系統安全需求。軟件系統安全需求框架可以概括為如下圖所示的結構：軟件系統安全需求主要包括安全基礎設施、系統應用安全和安全管理體系。安全基礎設施軟件系統安全基礎設施主要包括以下內容：

1）、安全隔離措施

2）、網絡防病毒系統

3）、監(jiān)控檢測系統

4）、設備可靠性設計

5）、備份恢復系統以下分別闡述。安全隔離措施根據軟件系統部署方案與安全域劃分，需要將內外網與其他BD的通信網絡采取適當的安全隔離措施，如可以通過VLAN、防火墻保護安全域邊界安全。項目實施中根據已有網絡安全情況確定。防病毒系統網絡防病毒用于預防病毒在軟件系統所在安全域內傳播、感染和發(fā)作。后續(xù)項目利用網絡防病毒系統防范病毒入侵和傳播。監(jiān)控檢測系統監(jiān)控檢測系統用于及時發(fā)現操作系統、數據庫系統、應用系統以及網絡協議安全漏洞，防止安全漏洞引起的安全隱患。同時保護軟件系統不受侵害。后續(xù)項目利用漏洞掃描系統解決漏洞掃描問題，發(fā)現和修補安全漏洞，對各種入侵和破壞行為進行檢測和預警，項目實施時統籌考慮。設備可靠性設計軟件系統應考慮設備可靠性設計問題，系統關鍵設備服務器應考慮避免單點故障問題。建議：服務器系統采用雙機加磁盤柜模式。應用系統與數據庫分別安裝在二臺服務器上，其中一臺作為應用系統生產機，另一臺作為數據庫生產機，二臺服務器連接磁盤柜；應用系統生產機為數據庫系統提供備份支持，數據庫生產機為應用系統提供備份支持，二臺互為備份。以提高系統的可靠性。備份恢復系統軟件系統應建立有效的備份恢復系統，確保在系統出現故障的情況下能夠重建恢復到出現故障前的狀態(tài)。建議系統采用磁帶機作為離線備份工具。系統應用安全信息系統設計歸結起來要解決資源、用戶、權限三類問題，在這三大要素中，用戶是安全的主體，應用系統的安全也就是圍繞用戶展開的。因此用戶身份的驗證便成了應用系統必須解決的第一個問題；解決身份問題之后，第二個要解決的問題便是授權，就是確保每個用戶都能授以合適的權限；第三為解決資源的安全性與安全審計問題，需要解決數據完整性的問題；這些構成了應用系統安全的主體。身份認證系統軟件系統用戶采用實名制，建立統一的用戶信息庫，為系統提供身份認證服務，只有合法用戶才能對軟件系統進行訪問?；诜旨壉Ｗo的策略，身份認證系統支持用戶名/口令認證方式，并支持CA數字證書認證方式。身份認證應實現以下具體功能：1)、提供分級用戶管理模式，可根據需要由系統管理授權二級管理員分別管理維護所轄區(qū)域的用戶，以解決大量用戶管理維護的問題。2)、統一認證支持多種身份認證方式，支持用戶名/口令與CA數字證書認證方式，在保證信息安全的前提下，滿足不同用戶對系統不同內容的訪問需求。3)、統一認證應能對用戶信息、用戶訪問信息、業(yè)務安全保護等級等內容進行有效的管理與維護。4)、一認證應能夠防止因大量用戶訪問可能造成的系統崩潰，它具有良好的響應性能，保證認證服務功能的可用性、可靠性。用戶權限管理可以為用戶設置不同的訪問權限，允許用戶在權限范圍內訪問系統不同的功能模塊。支持匿名訪問。軟件系統的授權管理采用集中授權、分級管理的工作模式，即通過系統管理員為二級系統管理員授權管理本機構用戶權限的方式，實現分級授權管理，二級系統管理員管理本機構內的資源、角色定義、權限分配、權限認證等工作。權限管理主要是由管理員進行資源分類配置、用戶角色定義及授權等操作。采用基于角色的訪問控制策略，能夠對用戶和角色進行靈活授權。在定義角色時，可以采用職稱、職務、部門等多種形式，靈活反映各種業(yè)務模式的管理需求。權限認證主要是根據用戶身份對其進行權限判斷，以決定該用戶是否具有訪問相應資源的權限。授權管理系統與統一認證相結合，為軟件系統提供方便、簡單的、可靠的授權服務，從而對用戶進行整體的、有效的訪問控制，保護系統資源不被非法或越權訪問，防止信息泄漏。信息訪問控制建立信息訪問控制機制，對系統功能和數據進行分級管理，根據需要，不僅能夠為合法用戶分配不同級別的功能和數據的訪問權限，而且能夠對每一條信息設置不同的訪問權限，用戶登錄后只能訪問已授權的系統信息。一般地來說，信息系統的資源分為系統資源和業(yè)務資源兩類。系統資源指系統菜單、功能模塊、用戶、角色等系統資源；業(yè)務資源是指相關的業(yè)務數據，如數據、文檔等。通過與授權功能的結合，解決資源的訪問控制。嚴格地講，信息訪問控制是授權管理中的一部分。系統日志與審計當用戶對資源進行操作時，系統會對用戶進行認證，認證完了之后是權限檢測，接著執(zhí)行相應的操作。整個過程可以配置日志記錄功能，比如認證日志、權限檢測日志、和操作日志。審計是系統管理員檢查各種日志，發(fā)現安全隱患的過程，比如對同一個賬號的多次認證企圖可能是賬號攻擊