1、目 录1.编写依据12.安全需求说明12.1.风险分析12.2.数据安全需求12.3.运行安全需求13.系统结构及部署23.1.负载均衡设计23.2.灾难备份设计24.系统安全设计24.1.网络安全设计24.1.1.访问控制设计24.1.2.入侵防范设计34.1.3.结构安全设计34.2.主机安全设计44.2.1.操作系统44.2.2.数据库44.2.3.中间件54.3.应用安全设计74.3.1.身份鉴别防护设计74.3.2.访问控制防护设计74.3.3.自身安全防护设计74.3.4.应用审计设计84.3.5.通信完整性防护设计84.3.6.通信保密性防护设计94.3.7.防抵赖设计94.3.
2、8.系统交互安全设计94.4.数据及备份安全设计104.4.1.数据的保密性设计104.4.2.数据的完整性设计104.4.3.数据的不可否认性设计111. 编写依据信息技术安全等级保护定级指南GB/T 22240-2008信息系统安全等级保护基本要求GB/T22239-2008信息系统应用开发安全技术规范(Q/CSG 11805-2011)信息安全技术操作系统安全评估准则GB/T20009-2005信息安全技术信息系统安全管理要求GB/T22269-20062. 安全需求说明121.2.2.1. 风险分析安全是一个动态的过程,在信息系统运行维护期间可能遭遇来自各方面的安全威胁。根据信息安全事
3、件的起因、表现、结果等,将信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。虽然分为7个类别,总的来说涉及到两方面的安全:数据安全、运行安全。2.2. 数据安全需求数据安全需要做到:确认发送方的身份;保证发送方所发信息的机密性;保证发送方所发信息不被篡改;发送方无法否认已发该信息的事实。2.3. 运行安全需求运行安全需要做到:监控网络中是否有违反安全策略的行为或者是否存在入侵行为。能够在有如上行为时,提供安全审计、监视、攻击识别和反攻击等多项功能,并采取相应的行动,如断开网络联连接、记录攻击过程、跟踪攻击源、紧
4、急告警等。3. 系统结构及部署3.3.1. 负载均衡设计本系统针对负载均衡,采用的负载均衡产品型号及数量,部署位置,部署目的,主要的配置策略。3.2. 灾难备份设计灾难性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。为了预防灾难性事件的发生,系统设计了自动备份的功能。4. 系统安全设计4.4.1. 网络安全设计1.2.3.4.4.1.4.1.1. 访问控制设计防火墙是实现网络信息安全的最基本设施,采用包过滤或代理技术使数据有选择的通过,有效控制内部网和外部网之间的任何活动,防止恶意或非法访问
5、,保证内部网络的安全。从网络安全角度上讲,它们属于不同的网络安全域。根据提供信息查询等服务的要求,为了控制对关键服务器的授权访问,应把服务器集中起来划分为一个专门的服务器子网,设置防火墙策略来保护对它们的访问。1) 等保二级要求l 制定基本的管理制度、管理规定和操作规程等信息安全管理规章制度,并发布到相关人员手中。安全规章制度应该能够满足安全管理的基本需要2) 等保三级要求l 建立部门级安全制度及策略体系并通过正式途径发布到相关人员手中l 策略内容包括:信息安全方针、安全组织及人员、物理和环境安全、网络安全、主机安全、应用安全、数据安全、业务连续和应急响应、安全运行维护计划等4.1.2. 入侵
6、防范设计近来很多网站受到了各种各样形式的攻击,黑客攻击的动机各不一样,黑客攻击的目标也有不确定性,而具有漏洞的网站正是黑客攻击的对象。网站的安全设计、防护已是一个关键的问题。我司端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等一系列入侵采用了阿里云漏洞监测系统、设置黑名单的方式来防范。1) 等保二级要求l 通过防病毒软件解决系统防恶意代码、防病毒问题,代码库和病毒库及时更新l 设置账号、口令和权限控制系统和设备登录2) 等保三级要求l 通过防火墙访问控制策略控制源地址、目的地址、源端口、目的端口、协议等进行检查,以允许/拒绝数据包出入l 具备网络设备
7、、主机设备、应用和数据库日志记录和审计能力3) 商密增强要求(补充)4.1.3. 结构安全设计按照信息系统安全的要求,建议安全运行管理领导机构和工作机构。建议信息系统“三员”管理制度,即设立信息系统管理员、系统安全员、系统密钥员,负责系统安全运行维护和管理,为信息系统安全运行提供组织保障。1) 等保二级要求l 定期跟新补丁及版本,并实现补丁和版本管理l 控制系统提供服务和端口,并实现服务和端口管理2) 等保三级要求l 通过防病毒系统解决系统防恶意代码、防病毒问题、代码库及病毒库及时更新l 网络核心实现冗余或备份,保证网络可用性3) 商密增强要求(补充)4.2. 主机安全设计4.2.4.2.1.
8、 操作系统1.2.3.4.4.1.4.2.4.2.1.4.2.1.1. 安全基线配置网络层安全主要涉及网络安全域的合理划分问题,其中最重要的是进行访问控制。网络安全域划分包括物理隔离、逻辑隔离等,访问控制技术包括防火墙技术、身份认证技术、入侵检测技术等。1) 等保二级要求l 账号、口令和权限控制系统和设备登录和操作,并实现账号、口令管理l 具备网络设备、主机设备、应用和数据库日志记录和审计能力,同时具备关键引用的行为审计能力2) 等保三级要求l 通过安全补丁及版本管理平台整体控制系统安全补丁与版本更新l 通过服务与端口管理平台整体控制系统服务与端口3) 商密增强要求(补充)4.2.2. 数据库
9、4.2.2.4.2.2.1. 安全基线配置采用身份鉴别、访问控制、入侵防范、资源控制、剩余信息保护策略,根据系统等保级别的不同采用以下不同的设计,商密增强要求作为补充要求。1) 等保二级要求l 身份鉴别方面:对数据库用户身份的标识和唯一性、静态口令的组成要求策略、登录失败处理、管理用户鉴别信息传输安全性 l 访问控制方面:安全控制策略制定、权限分离原则、多余和过期账号的处理、默认账号限制l 安全审计方面:审计覆盖范围、审计内容、审计记录的保护及保存时间设定 l 入侵防范及恶意代码防范方面:操作系统的最小安装原则、恶意代码软件的安装、更新以及统一管理 l 资源控制方面:终端接入方式、网络地址范围
10、定义、操作超时处理、单个用户对资源的最大及最小使用限度控制2) 等保三级要求l 身份鉴别方面:静态口令的更换期限设定、必须采用两种或两种以上组合的鉴别技术、主机对相连服务器及终端设备的身份标识和鉴别、使用加密技术防止鉴别信息传输中被窃听,重要信息资源设置敏感标记并根据安全策略进行访问l 访问控制方面:用户最小权限原则 l 安全审计方面:审计数据的分析及报表的形成、审计进程的保护避免受到中断;具体采用的操作审计产品型号及数量,部署位置,部署目的,主要的配置策略。具体采用的数据库审计产品型号及数量,部署位置,部署目的,主要的配置策略l 剩余信息保护方面:对鉴别信息、系统文件、目录和数据库记录等资源
11、所在的存储空间,被释放或再分配给其他用户时,得到完全清除l 入侵防范及恶意代码防范方面:入侵行为的检测、记录和报警,对重要程序的完整性检测以及破坏后的恢复措施,主机恶意代码库必须独立网络恶意代码库 l 资源控制方面:对重要服务的监视、对系统服务服务水平最小值进行设置、检测和报警3) 商密增强要求(补充)l 限制访问应用的用户数量l 限制访问应用的时间间隔4.2.3. 中间件4.2.3.4.2.3.1. 安全基线配置系统依据安全需求分析及公司基线要求所采用身份鉴别、访问控制、入侵防范、资源控制、剩余信息保护策略,根据系统等保级别的不同采用以下不同的设计,商密增强要求作为补充要求。1) 等保二级要
12、求l 身份鉴别方面:对数据库用户身份的标识和唯一性、静态口令的组成要求策略、登录失败处理、管理用户鉴别信息传输安全性; l 访问控制方面:安全控制策略制定、权限分离原则、多余和过期账号的处理默认账号限制; l 安全审计方面:审计覆盖范围、审计内容、审计记录的保护及保存时间设定;系统具体采用的操作审计产品型号及数量,部署位置,部署目的,主要的配置策略。 l 入侵防范及恶意代码防范方面:操作系统的最小安装原则、恶意代码软件的安装、更新以及统一管理; l 资源控制方面:终端接入方式、网络地址范围定义、操作超时处理、单个用户对资源的最大及最小使用限度控制。2) 等保三级要求l 身份鉴别方面:静态口令的
13、更换期限设定、必须采用两种或两种以上组合的鉴别技术、主机对相连服务器及终端设备的身份标识和鉴别、使用加密技术防止鉴别信息传输中被窃听,重要信息资源设置敏感标记并根据安全策略进行访问; l 访问控制方面:用户最小权限原则; 安全审计方面:审计数据的分析及报表的形成、审计进程的保护避免受到中断; l 剩余信息保护方面:对鉴别信息、系统文件、目录和数据库记录等资源所在的存储空间,被释放或再分配给其他用户时,得到完全清除; l 入侵防范及恶意代码防范方面:入侵行为的检测、记录和报警,对重要程序的完整性检测以及破坏后的恢复措施,主机恶意代码库必须独立网络恶意代码l 资源控制方面:对重要服务的监视、对系统
14、服务服务水平最小值进行设置、检测和报警。4.3. 应用安全设计4.3.4.3.1. 身份鉴别防护设计为了对服务器区域和其他区域提供更多控制,建议采用有防火墙功能和过滤路由器分隔这些区域,或者用定义良好的交换VLAN分隔。建议采用防火墙技术孤立服务器和DMZ区域。1) 等保二级要求l 防火墙规则只允许接收可接收的包,其他包予以拒绝l 必须明确不可信网络2) 等保三级要求l 外部防火墙主要保护DMZ区域,为了提高访问效率,过滤规则相对内部防火墙简单l 内部防火墙主要保护内部网络,为了确保安全性,过滤规则比较复杂3) 商密增强要求(补充)4.3.2. 访问控制防护设计l 有效的网络环境访问控制策略必
15、须腹肌四个层面:客户端、邮件服务器、其他服务器,网关。1) 等保二级要求l 服务器和终端部署防病毒软件l 在邮件服务器上安装邮件服务器防病毒软件。用来清除邮件中的病毒。2) 等保三级要求l 在服务器上安装WINNT/UNIX服务器防病毒软件。用作服务器上的病毒清除工作。3) 商密增强要求(补充)4.3.3. 自身安全防护设计4.3.4.3.1.4.3.2.4.3.3.4.3.3.1. 注入攻击防护设计为了防止XSS、SQL等非法注入,在开发过程中避免了一切外部的JS语言、符号。4.3.3.2. 漏洞利用防护设计部署防火墙、VPN、病毒网关等方式,达到安全指标。4.3.3.3. 防篡改设计UTM
16、在一台设备上集成了防火墙、防病毒、IDP、反垃圾邮件、VPN、内容过滤等功能,在网络中部署这样一台设备即减省了成本,又提高了网络处理效率。因此,把防火墙、防病毒网关、VPN设备整合在一起,换成部署一台UTM设备,达到防篡改防护。4.3.4. 应用审计设计要求本系统的审计对象,达到审计日志实时保存、防删改的要求。1) 等保二级要求l 审计功能覆盖到每个用户l 审计记录不可以删除、修改和覆盖2) 等保三级要求l 审计进程独立不可终端l 审计记录保存时间设定不少于半年l 审计记录数据地统计、查询、分析及生成审计报表的功能设计l 每次登录时应显示上次升高登陆的记录3) 商密增强要求(补充)除了符合等保
17、要求外,需要符合商密增强要求的设计,包括集中审计数据存储、传输、外方使用、打印等行为的审计、外放内容审计。4.3.5. 通信完整性防护设计本系统采用的通信完整性防护技术有:使用消息摘要、SSL。根据系统等保级别的不同采用以下不同的设计,商密增强要求作为补充要求:1) 等保二级要求l 保证通信过程中数据的完整性所采用的校验码技术2) 等保三级要求l 保证通信过程中数据的完整性所应采用的密码技术3) 商密增强要求(补充)除了符合等保要求外,需要符合商密增强要求的设计。4.3.6. 通信保密性防护设计本系统采用的通信保密性防护技术有:使用SSL、数据加密。根据系统等保级别的不同采用以下不同的设计,商
18、密增强要求作为补充要求:1) 等保二级要求l 初始化验证时采用密码技术l 敏感信息通信过程中进行加密设计2) 等保三级要求l 对于通过互联网对外提供服务的系统,在通信过程中整个保温和会话过程使用专用通信协议和加密方式3) 商密增强要求(补充)除了符合等保要求外,需要符合商密增强要求的设计。4.3.7. 防抵赖设计本系统采用的通信防抵赖防护技术有:日志、数字签名。根据系统等保级别的不同采用以下不同的设计,商密增强要求作为补充要求:1) 等保三级要求l 实现为数据原发着及接收者提供数据原发及接收证据功能2) 商密增强要求(补充)l 实现为数据原发着及接收者提供数据原发及接收证据功能的设计,包括日志
19、和数字签名4.3.8. 系统交互安全设计4.3.4.4.3.5.4.3.6.4.3.7.4.3.8.4.3.8.1. 本系统设计的相关系统说明本系统传输的数据类型,采用的传输方式。4.3.8.2. 系统交互安全性设计本系统间交互采用的方式是接口,采用的安全设计,包括:设备部署、传输协议、数据佳佳、边界访问控制、授权、审计。4.3.8.3. 系统安全监控和检测设计本系统交互采用的安全监控和检测设计,包括:协议分析和流量统计、操作审计、数据库审计、集中审计监控、边界访问控制、授权、审计。4.4. 数据及备份安全设计4.4.4.4.1. 数据的保密性设计本系统采用的数据保密性设计包括:访问限制、身份
20、鉴别、数据采集的保密性、数据传输的保密性、数据使用的保密性、数据存储的保密性、数据删除的保密性。跟胡系统等保级别的不同采用以下不同的设计,商密增强要求作为补充要求。1) 等保二级要求l 实现鉴别信息存储的保密性所采用的加密或其他保护措施设计2) 等保三级要求l 实现系统管理数据、鉴别信息和重要业务数据采集、传输、使用和存储过程和保密性所采用加密或其他有效措施设计3) 商密增强要求(补充)除了符合等保要求外,符合符合商密增强要求的设计,包括数据的分级、密级标识及防护策略设计,数据存储类型及防护策略的设计。4.4.2. 数据的完整性设计本系统采用了数据完整性设计,包括:数据采集的完整性、数据传输的
21、完整性、数据处理的完整性、数据使用的完整性、数据导出的完整性。根据系统等保级别的不同采用以下不同的设计,商密增强要求作为补充要求。1) 等保二级要求l 鉴别信息和重要业务数据在传输古城中完整性受到破坏时采用检测技术2) 等保三级要求l 鉴别信息和重要业务数据在传输古城中完整性受到破坏时采用检测技术,以及检测到完整性错误时采取必要的恢复措施3) 商密增强要求(补充)实现系统管理数据、鉴别信息和重要业务数据在传输古城中完整性受到破坏时采用检测技术,以及检测到完整性错误时采取必要的恢复措施。4.4.3. 数据的不可否认性设计本系统采用了数据的不可否认性设计,包括:数据采集的可用性、数据传输的可用性、
22、数据处理的可用性、数据使用的可用性、数导出的可用性。1) 商密增强要求(补充)此处描述系统除了以上设计外,需要符合的商密增强要求的设计,包括数据传输黑白名单的设计,数据使用用户与使用权限的关联设计。备份和恢复设计。4.4.4.4.1.4.4.2.4.4.3.4.4.4.4.4.5.4.4.5.1. 系统存储设计本系统针对存储介质的要求,数据不同则分类存储。4.4.5.2. 系统备份和恢复设计1.2.3.4.4.1.4.2.4.3.4.4.4.4.1.4.4.2.4.4.3.4.4.4.4.4.5.4.4.5.1.4.4.5.2.4.4.5.2.1. 系统备份1.2.3.4.4.1.4.2.4.
23、3.4.4.4.4.1.4.4.2.4.4.3.4.4.4.4.4.5.4.4.5.1.4.4.5.2.4.4.5.2.1.4.4.5.2.1.1. 备份数据类型本系统使用到的系统备份的数据类型,包括:系统文件、应用软件、业务数据、日志信息、历史数据。4.4.5.2.1.2. 备份方式本系统中各种数据类型的备份方式,包括:硬盘文件、磁带。4.4.5.2.1.3. 备份策略针对联机事务处理系统、信息管理系统、决策支持分析系统描述备份的具体策略。根据系统等保级别的不同采用以下不同的设计,商密增强要求作为补充要求:1) 等保二级要求l 对重要信息进行 备份的策略设计l 数据处理系统的冗余设计2) 等保三级要求l 实时备份和异步备份、增量备份与完全备份的设计l 异地数据备份的要求及设计l 备份技术的可行性验证测试设l 异地数据备份中心的可用性设计3) 商密增强要求(补充)系统除了符合等保要求外,需要符合商密增强要求的设计,包括实时备份和异步备份、完全备份的设计,异地数据备份的要求及设计,异地数据备份中心的可用性设计。12
