安全保障方案模板

XXX数据分析系统安全保障方案1需求分析1.1XXX数据分析系统概述某单位拟建设一套数据分析平台，通过与第三方数据源对接，达到查询用户信息的目的，数据来源可能包括多个目标资源库（如用于案件分析等，可能包括阿里云如淘宝信息等）。该软件预计会完成两种场景功能：1）预置查询：按预计规则实现定时检索信息推送，2）按需查询：终端用户登录后按指定条件查询搜索。因数据敏感且数据量大，计划不在管理服务端存储数据，只在需要时从数据源端获取；具体查询后生成的数据或报表存储另行设计方案。1.2用户安全保障需求数据传输需求，分析平台需要与数据源通过专线连接；平台访问者暂定都是本单位体系员工，需要考虑移动端安全可靠的接入需求，需考虑纯专网（不允许移动端访问）和专网+公网（PC走专网，移动走公网）两种接入方法；系统管理需求，需要实现统一授权管理，能定义哪些用户能查询哪些数据;业务流方面，希望能有统一的用户管理认证中心；安全审计需求：需要能够记录访问行为，同时访问日志能防止被删除或篡改;网络隔离需求：计划部署在专用机房、虚拟网络，与其它本单位业务隔离;入侵检测需求：要能防止攻击和黑客入侵，记录所有访问行为，能识别有风险的行为；安全可用平衡：前期数据量小，暂时不用关注性能，以安全性为首要目标。2设计原则2.1统一授权，实现用户的集中管理分析平台涉及信息源数量大、最终用户分布广，对于系统使用和数据查询如果不能有效控制其权限和范围，就可能带来极大的安全隐患。实现全网统一授权管理和用户身份认证，是该系统建设所需解决的首要问题。本项目中，建议采用建设集中授权和统一身份认证中心的方式实现，采取强制访问控制和基于角色访问控制结合的方式实现最终用户管理。2.2纵深防御，检测与防护能力并重系统包括数据分析平台、信息采集端、用户终端、远程接入端等多个模块和跨地域跨部门业务协同，需要统筹考虑其安全防护和入侵检测的体系建设。本方案拟通过传输链路安全、信息交换安全、防御和入侵检测、终端接入安全、操作行为审计、信息数据安全六个层面进行建设。2.3数据核心，全程可控可管可追溯数据分析平台的核心是“查询过程安全、查询记录保密、信息传输可控、分发范围可管、使用记录可追”，需要对整个查询申请提交、平台生成查询票据、数据提供者进行内部检索、平台获取查询结果、结果反馈至申请终端的全过程进行统一考虑。3总体设计思路本项目安全保障的主要挑战是多单位协同、跨部门跨地域交互的系统安全防护和保密传输，也就是2.2节所述的信息交换安全，我们建议参照国家电子政务内网建设模型，将传输链路安全、集中授权、统一身份认证和信息安全交换整合为底层服务接口，对应用层提供安全的基于身份标识的信息安全交换服务，解决跨地域跨部门的互信和信息传递。对于应用系统来说，原来是基于IP网络实现互联，与被查询数据源不可避免会产生逻辑交互关系（存在交互API接口被攻击的可能行），且数据传输安全除了底层隧道加密外只能自行考虑；现在是面向一个对其提供接口的信息交换系统，应用系统（数据分析平台）将查询信息写入特定格式的文件，进行签名后标明需进行查询的数据源身份，底层交换系统基于公钥证书认证体系，实现安全可靠可追溯的文件交换，就像邮局收到信件在确认封装可靠地址清晰的前提下，将信件安全传递到目的地的邮箱。根据保障级别要求，可以考虑在每个数据源机房内部署一台前置设备，承担这个“邮箱”的角色，数据源系统经过身份认证后可在特定目录获取查询文件，导入自身系统查询（系统日志只是系统自有的查询请求，无法追溯到交换箱）后将查询结果签名投入该“邮箱”即可完成交换，对该系统管理人员来说“邮箱”始终是黑盒，谁提交查询、为何查询、数据去哪里了都无法获取。4技术保障体系4.1传输链路安全物理传输链路：建议采取专线配置和隧道加密（如IPSecVPN）的方式实现双重安全保障，确保通讯链路安全。对于部分数据传输频繁、信息敏感度高的关键链路，可采取包括网络密码机和应用负载的方式提供增强防护。4.2信息交换安全信息交换体系的基本思路参见第3节，其主要目标是将数据分析平台、信息安全交换和目标数据源系统进行隔离，同时又通过多重身份认证机制实现了信息的安全可靠跨地区跨系统交互。具体建设内容包括：＞基于公钥密码体系的统一身份授权和认证系统，实现系统、用户和数据源身份的统一管理和认证，为高敏感度的操作和数据配置强制访问控制权限，即使有管理员授权，低密级用户也无法访问超限信息；＞基于上述身份认证体系的电子文件交换系统，提供安全的查询信息交换和管理，需内置基于证书身份的审计记录模块，并实时同步至统一的审计中心；＞数据分析平台系统对接应用接口，数据源端提供身份认证和文件共享服务无需专用接口。4.3防御和入侵检测防御和入侵检测系统建设基于传统安全防护技术，结合最新的业务数据可视、攻击行为关联和威胁情报分析实现：＞建设贯穿安全事件的事前、事中和事后的防护检测和响应能力；＞以安全可视为基础，实现看得见异常、看得清威胁和安全现状；＞边界防御把控传统威胁入口，持续检测漏网之鱼，及时发现高级威胁；＞发生安全事件提供快速定位，及时处置服务，将威胁影响面降至最低；＞基于可视、检测的结果形成各类自动化安全报表，让领导重视安全、让技术人员理解安全。4.4终端接入安全需要考虑纯专网PC安全接入方法和移动端安全可靠的接入需求。专网PC接入：建议配置专用终端，采取云桌面的方式，本地不留存数据仅作为信息录入接口和获取服务器端的图像显示接口；终端用户使用该专用PC时需插入个人Key，PC身份与个人身份双重认证通过后方可访问平台，拔Key自动锁定终端。（可以实现行为审计到人到物理设备）移动终端接口：移动端接入需要充分考虑身份认证、设备安全、链路安全、数据安全等多个领域的问题，同样建议采取个人Key加设备码均认证通过后，建立安全的加密隧道实现数据传输，查询操作和数据访问需要通过隔离于手机系统的安全加密环境实现；同时需要由相应的技术对移动设备自身安全进行管控，包括设备脆弱性检测、安全沙盒运行环境以及设备丢失后支持远程数据擦除。4.5操作行为审计操作行为审计分为两个层面的内容，即系统层面和用户层面，需要进行集中管理和综合展示：系统层：配置网络、主机和数据库审计系统和堡垒机，对网络通讯、主机进程和数据库访问进行审计；用户层：基于全网统一授权和身份认证，可以实现将行为审计定位到物理的人和设备层面，真正通过审计日志实现追责，辅助管理制度实现安全可靠。4.6信息数据安全数据生命周期安全是本系统安全体系建设的重中之重，整个防护措施融入了上述所有技术保障措施当中，包括查询文件的生成、签名、加密、传输、获取、检索，查询结果的签名、导入、传输、录入、分发，需要再各安全系统和数据分析平台建设过程中进行细致的统筹考虑和联合测试。由于采取了全生命周期的加密、签名和数据不落地管控，辅助各个层面的审计日志，基于关键字检索的DLP软件无法分析数据也没有专门配置的必要。5管理维护体系完善的技术保障体系离不开职责清晰的管理制度和有效运行的维护体系，建议在项目建设过程中，就以下两个方面进行统筹考虑：5.1职责边界清晰，符合知必所需原则考虑到系统的敏感性，在内部管理边界清晰的基础上，与各数据提供单位同样需要划定责任边界和保密职责，根据知必所需的原则，签订数据共享协议和安全保密协议，除核心管理层人员外，数据提供单