信息系统安全防护方案

附件3XX系统信息安全防护方案申请部门：申请日期：目录29429目录 2141951系统概述 472721.1系统概览 4116931.2总体布署构造 5294771.3系统安全保护等级 5189011.4责任主体 6224442方案目的 689272.1防护原则 691652.2防护目的 6305603防护方法 7163223.1总体防护架构 727423.2物理安全 8136283.3边界安全 10277673.3.1边界描述 10224183.3.2边界安全 1010993.4应用安全 1247913.5数据安全 15198663.6主机安全 16160423.6.1操作系统安全 16188773.6.2数据库系统安全 188783.7网络安全 1893553.7.1网络设备安全 19311923.7.2网络通道安全 1998493.8终端安全 19224473.8.1移动作业终端 20104153.8.2信息采集类终端 20107433.8.3办公类终端 2188883.8.4其它业务终端 22

系统概述系统概览本次XX系统需强化信息安全防护，贯彻信息安全法有关规定，满足国家、国网公司的信息安全有关规定，不发生各类信息安全事件，确保研发的软件在安全防护方面达成国家信息化安全等级保护的有关规定，保障数据和业务安全。下列没有特别阐明，均特指XX系统建设的方案和内容。本系统系统含有下列功效：功效模块一：XXXXXXXXXXXXXXXX功效模块二：XXXXXXXXXXXXXX本方案不涉及：（1）物理安全防护建设。由于本系统的服务器布署在XX公司现有的数据中心机房，完全满足三级系统的物理安全防护需求。对本系统的物理安全防护方法可参考机房现有的物理安全防护方法执行，不需要采用额外的防护方法。因此本方案不再对此进行描述。总体布署构造XX公司布署系统安全保护等级XX系统安全保护等级为二级。责任主体XX单位负责组织系统建设、制订系统安全防护技术方法及系统、网络、主机、办公类终端的安全运维管理。方案目的防护原则XX系统信息安全防护根据GB/T22239-《信息安全技术信息系统安全等级保护基本规定》对系统的物理安全、边界安全、网络安全、主机安全、终端安全、应用安全及数据安全进行安全防护设计，最大程度保障系统的安全、可靠和稳定的运行。防护目的（1）保障系统安全可靠运行，满足国家信息安全保护规定；（2）确保系统数据安全可靠接入公司信息网络，确保系统数据不被篡改；（3）保障系统与其它系统之间数据交互和存储的机密性、完整性和安全性，对数据访问进行严格的控制，避免越权或滥用；（4）保障系统应用安全，杜绝仿冒顾客、敏感信息泄露、非授权访问、病毒攻击等。

防护方法总体防护架构本方案设计思路是基于项目的总体安全规定、安全原则，在已有安全方法的基础上，结合现在安全原则进行安全层次划分，给出每层次的安全防护方略，并基于P2DR模型办法进行总体分析从而形成安全方案的层次设计，以下图图1SEQ图\*ARABIC\s11安全层次设计如上图所示，本项目安全层次结合项目实际状况，在安全分析基础上按照《信息系统安全防护总体方案》、《信息系统安全等级保护定级工作指导意见》、中的安全原则规范等进行设计，并用P2DR模型办法从对安全从方略（Policy）、防护（Protection）、检测（Detection）和响应（Response）四个方面进行了分析，在动态防备中做到尽量增加保护时间，尽量减少检测时间和响应时间。（1）物理层防护。确保物理设备及基础运行环境不受故意或无意破坏的防护方法，确保设备的运行安全。（2）网络层防护。确保系统各网络区域间的隔离防护采用的访问控制、入侵检测及防御、防火墙等方法。（3）系统层防护。确保主机系统安全的系统安全扫描及修复、主机入侵检测及病毒防备等方法。（4）数据层防护。确保系统数据在存储及应用时的安全性。（5）应用层防护。确保系统本身的安全，涉及使用过程和成果的安全性，应从顾客身份、权限等方面确保核心业务操作的安全性。（6）安全管理规范。需要通过一系列规章制度的实施，来确保各类人员按照规定的职责行事，做到各行其责、避免责任事故的发生，避免恶意的侵犯。物理安全物理安全防护的重要目的是使服务器、网络设备、信息系统设备和存储介质免受物理环境损害、自然灾害以及人为的操作失误和恶意损害等。系统布署于XX公司机房，机房选址、装修满足下列安全规定：安全规定与否遵从/不涉及实现方式及方法机房位置选择遵从机房周边严禁用水设备穿过。机房所在的建筑物含有防震、防风和防雨等自然灾害的能力。机房电力稳定可靠，用电负荷等级及供电规定按GB50052-1995的规定执行，符合国家机房设计规范中机房照明原则及消防安全规定。机房出入口通道，机房的安全出口，不少于两个（总部）。机房出入控制遵从进出机房需通过授权审批流程，并对人员进入机房后的活动进行控制。按照设备机房、人员操作间划分机房物理区域；按网络、主机、存储的设备类别放置不同机柜。(总部)机房布署门禁系统，进出机房需使用IC卡;机房门禁IC卡含有不同权限。进出日志（进出时间，人员身份）保存在机房监控系统内。(总部)防盗窃和防破坏遵从重要设备放置在机房内。设备或重要部件进行固定，并设立明显的不易除去的标记。电力线缆、通信线缆采用架空桥架走线。对介质进行分类标记，磁介质放在介质库、纸介质统一归档寄存档案柜。机房核心区域安装视频摄像头、红外线感应装置。（总部）防雷击遵从机房建筑配备了防雷、避雷装置。机房设立交流电源地线。机房设立防雷保安器，避免感应雷。（总部）防火遵从机房采用火灾温感烟感报警系统，配备七氟丙烷自动气体灭火装置。机房采用耐火的建筑材料。（总部）设立重点防火区域，实施隔离防火。（总部）防水和防潮遵从机房避开水源，室内水管采用两套管的方式。在核心节点布署漏水检测设备。（总部）机房墙壁和层顶通过防渗解决。防静电遵从机房均铺设了防静电地板。（总部）机柜及重要设备安全接地。机房采用静电消除器避免静电产生。（总部）恒温恒湿空调避免空气干燥产生静电。（总部）温度、湿度控制遵从采用精密空调对温湿度进行自动控制，温度控制在22±1度，湿度控制在40%~60%。电力供应遵从在机房供电线路上配备稳压器和过电压防护设备，电力控制在10%以内的波动范畴，并采用稳压器和过电保护装置控制电力波动。提供短期的备用电力供应，满足重要设备在断电状况下的正常运行规定。设立冗余或并行的电力电缆线路为计算机系统供电。（总部）建立备用供电系统。（总部）电磁防护遵从采用接地方式避免外界电磁干扰和设备寄生耦合干扰。（总部）电源线和通信线缆隔离铺设，避免互相干扰。对核心设备和磁介质实施电磁屏蔽。（总部）边界安全3.3.1边界描述系统边界类型涉及：信息内网横向域间边界、信息内网纵向域间边界二类。边界类型边界描述数据流分析信息内网横向域间边界信息内网网站与其它专业系统之间的边界数据类型：指标信息数据格式：XML格式数据流向：单向流动实时性：定时传输信息内网纵向域间边界信息内网省公司、地市公司之间的系统边界数据类型：新闻数据数据格式：XML格式数据流向：双向流动实时性：实时传输3.3.2边界安全边界类型安全规定与否遵从/不涉及实现方式及方法信息内网第三方边界网络访问控制网络入侵检测日志统计与审计不涉及无对于采用无线通道或第三方线路接入公司内网应遵照：接入终端身份认证终端安全准入数据安全交换业务访问控制不涉及无信息外网第三方边界网络访问控制网络入侵检测日志统计与审计不涉及无对外公布服务的web页面内容安全、病毒防备不涉及无远程办公及系统远程维护规定：设备采用安全接入方式远程顾客接入身份认证不涉及无信息内网横向域边界网络访问控制网络入侵检测不涉及无信息内外网边界逻辑强隔离网络入侵检测不涉及无信息内网纵向边界网络访问控制网络入侵检测边界流量监测不涉及无应用安全本系统的应用层安全是从系统应用层面确保信息被安全地传输和使用，在本层采用的手段普通有：身份认证、授权、输入输出验证、配备管理、会话管理、加密技术、参数操作、异常管理等。安全规定与否遵从/不涉及实现方式及方法身份认证遵从对系统顾客采用顾客名、口令认证等方式进行认证，顾客口令不得以明文方式出现在程序及配备文献中；通过Base64将顾客密码存储在数据库中；不在cookie中保存登录密码，当浏览器被关闭后全部的认证信息均被销毁；采用Base64密文传输顾客登录信息及身份凭证；密码长度下限不少于8位，上限不低于20位；大小写字母、数字和符号混合；按照《应用软件通用安全规定》增设口令复杂度检测功效，口令复杂度功效检测模块按《信息系统口令管理规定》进行设计；设计统一错误提示页面；持续3次输入密码失败，锁定顾客账户，直至管理员手工解锁；授权遵从采用基于角色访问控制模型控制访问权限，提供访问控制功效，根据安全方略控制顾客对文献、数据库表等客体的访问；访问控制的覆盖范畴应涉及与资源访问有关的主体、客体及他们之前的操作；应授予不同账户为完毕各自承当任务所需要的最小权限，并在他们之间形成互相制约的关系。输入输出验证遵从系统通过过滤器对URL的请求参数以及表单的GET、POST等数据中包含javascript脚本等非法字符进行过滤；输入输出方略方面提供GET数据、POST数据验证格式，其它由WEBSERVICE框架验证；对输入内容进行规范化解决后再进行验证，如文献途径、URL地址等；在服务器端和客户端都进行输入验证；系统业务功效基于一定的正则体现式进行输入验证，以满足不同场景的需要；系统对顾客登录等过程中的输入进行特殊字符的检测，涉及：单引号、1=1、or等，避免SQL注入攻击。配备管理遵从使用基于角色的授权方略控制配备管理角色，控制配备权限粒度，配备管理功效只能由通过授权的操作员和管理员访问；配备使用最少特权进程和服务帐户，各项配备信息对非管理员账户不可读；配备管理界面只能从本地登录，配合服务端的业务逻辑检查，通过强认证检查控制后方可配备；严禁通过web页面直接浏览服务端的目录和文献；制订严格的配备变更管理流程，系统核心信息例如数据库连接、运行参数、模板信息等发生配备变更时，需由有关负责人进行审批确认；设立配备信息的保存及版本控制规则，避免发生版本丢失或混淆；数据库连接、系统运行参数等配备交由中间件进行统一管理，模板配备信息进行加密存储。会话管理遵从当登录成功后去除旧的会话创立新会话；顾客登录成功后创立新的会话，会话ID以随机36位GUID保存在系统中，绑定现在IP地址、机器名等信息；将会话认证信息和会话使用期等会话数据保存在服务端，避免非法访问，并进行严格的输入数据验证，避免非法篡改；采用Base64加密解决睬话数据；采用Base64密文传输顾客登录信息及身份凭证；仅允许使用HTTPPOST方式进行会话令牌提交，并且对Cookie和HTTP的有关属性进行了安全设立；顾客登录后界面提供登出、注销功效；顾客注销或关闭浏览器后，服务端自动去除顾客会话;当顾客登出或关闭浏览器的时候，系统会提示顾客并彻底去除会话信息，确保会话的安全终止;设立会话存活时间为15分钟，超时后自动销毁顾客会话，删除会话信息；在程序中判断当通信双方中的一方在一段时间内未作任何响应，另一方能够自动结束会话;系统可设立最大并发会话连接数量，可对单个账号的多重并发会话进行限制。加密技术遵从密码通过Base64加密保存，使用168位密钥长度；报文采用HTTPS安全合同传输；敏感数据采用Base64（168位密钥长度）算法加密保存和传输。参数操作遵从对输入参数进行严格验证，避免使用包含敏感数据或者影响服务器安全逻辑的查询字符串参数；使用会话凭证和账户IP来标记客户端，并在业务加载的过程中将敏感信息加载到会话内存中使用，不直接传输到客户端；仅使用HTTPPOST方式提交页面表单；避免使用GET方式进行信息提交，避免顾客请求数据明文出现在URL；对客户端输入信息进行格式化、客户端验证、服务端验证等多重检查，并且控制敏感参数只能从服务端获取。异常管理遵从基于统一的出错页面，向服务或应用程序的客户发送最少量的异常信息，如普通性错误消息和自定义错误日志ID；程序发生异常时，将在日志中统计具体的错误消息；对全部异常信息均统计具体日志。日志与审计遵从对顾客的核心操作进行审计操作；敏感数据强制审计，非敏感数据通过配备方式来启动审计功效；根据具体需要可配备审计日志的统计格式；支持系统的启动和停止审计、登录信息审计、顾客密码变更审计、系统账户操作审计、顾客操作敏感数据的审计；审计统计的内容最少涉及事件日期、时间、发起者信息、类型、描述和成果等；审计日志存储业务日志直接写进数据库，日志保存期限可配备，若检测到有过期日志生成警报日志；系统无法删除、修改或覆盖审计统计日志与审计遵从应用交互安全遵从与本系统交互的系统涉及营销SG816系统；基于XML格式的构造化数据，通过WebService方式传输；通过省级公司服务总线（ESB）对接口服务进行管理；按日期将业务系统使用过程中输入输出、错误等进行存储。数据安全本系统级敏感数据包含：采集弱口令、系统配备信息。业务级敏感数据包含本系统从用电信息采集系统、营销业务应用系统中获取的用电顾客的档案、用电量等，从数据存储安全、数据传输安全和数据备份安全等方面进行数据安全防护。安全规定与否遵从/不涉及实现方式及方法数据存储安全遵从顾客口令信息采用Base64算法解决后，在数据库中加密存储；不在客户端做任何形式的存储；系统配备信息存储在专用配备文献中，采用DES加密后存储；使用数据库表的形式存储接口汇总数据，数据库服务器采用双机RAC布署拓扑。数据传输安全遵从顾客口令信息采用Base64加密算法解决后进行传输；系统配备信息传输过程中需要确保数据的完整性，使用DES加密算法解决；通信合同采用原则的HTTPv1.1合同方式，使用加密技术对传输的敏感信息进行机密性保护。数据备份安全遵从实时备份（有修改即备份）；定时备份（增量备份）。主机安全主机安全重要涉及了操作系统安全和数据库安全防护方案。对服务器的操作系统进行安全防护，重要涉及安全加固，设立有关安全方略、安装补丁以消除系统层面的安全漏洞，同时，按照权限最小原则设立系统权限，合理的设立系统顾客。本系统采用Oracle数据库，针对Oracle故障、数据丢失损坏风险，重要在身份认证、访问控制、漏洞扫描、安全审计方面上加强了对应方法。3.6.1操作系统安全安全规定与否遵从/不涉及实现方式及方法身份认证不涉及访问控制遵从在交换机和防火墙上设立不同网段、不同顾客对服务器的访问控制权限；关闭操作系统启动的默认共享，对于需启动的共享及共享文献夹设立不同的访问权限，对于操作系统重要文献和目录需设立权限规定；设立不同的管理员对服务器进行管理，分为系统管理员、安全管理员、安全审计员等，以实现操作系统特权顾客的权限分离，并对各个帐户在其工作范畴内设立最小权限，如系统管理员只能对系统进行维护，安全管理员只能进行方略配备和安全设立，安全审计员只能维护审计信息等；当对服务器进行远程管理时，对于UNIX类服务器，用现在稳定版本的SSH等安全工具取代明文传输的telnet，并及时升级，确保传输数据的安全性；对于windows类服务器，关闭不必要的telnet服务，采用加密或认证的方式确保数据网络传输过程中的保密性、完整性和可用性。病毒、入侵防备遵从及时更新病毒库，增强防病毒软件的恶意代码防护能力以确保信息系统的安全稳定运行；操作系统需遵照最小安装的原则，仅安装需要的组件和应用程序。漏洞扫描遵从采用漏洞扫描工具定时或重大变更时对系统进行安全扫描，并对于扫描的漏洞及时进行解决，解决方式涉及安装补丁、配备网络访问控制方略和监测黑客运用漏洞行为数据流。更新安全补丁遵从遵从公司统一规定开展系统补丁更新；通过设立升级服务器等方式保持系统补丁及时得到更新。资源控制遵从在核心交换机与防火墙上配备具体的访问控制方略，限制终端的接入方式、网络地址范畴及其与其它网络间的访问控制；根据安全方略设立登录终端的操作超时锁定；限制单个顾客对系统资源的最大或最小使用程度。根据顾客的工作需求，在满足其工作需求范畴内，修改顾客权限，并设立资源使用范畴。安全审计遵从审计范畴覆盖到服务器和重要客户端上的每个操作系统顾客和数据库顾客；审计内容涉及重要顾客行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全有关事件；审计统计涉及事件的日期、时间、类型、主体标记、客体标记和成果等；保护审计统计，避免受到未预期的删除、修改或覆盖等。数据备份遵从对操作系统、数据库系统的数据进行备份，在操作环境发生变更时进行备份恢复测试。安全加固遵从在应用系统上线前和重大变更时进行安全加固。采用漏洞扫描工具定时或重大变更时对系统进行安全扫描，并对于扫描的漏洞及时进行解决。3.6.2数据库系统安全安全规定与否遵从/不涉及实现方式及方法身份认证遵从使用顾客名/口令实现访问控制遵从采用数据库系统账号唯一性机制对登录数据库的顾客身份进行身份识别和鉴别；采用结束会话、限制非法登录次数和非法登录自动退出等方法，限制同一顾客持续失败登录；严禁特权账号远程管理使用，日常操作中采用非特权顾客，仅在必要时切换特权账号进行操作；设立不同特权顾客管理操作数据库，实现权限分离；限定各类服务内置默认账号的访问权限，禁用业务非必需账号；严禁系统默认账号使用默认口令，定时删除无用的过期账号。漏洞扫描遵从采用漏洞扫描工具定时或重大变更时对系统进行安全扫描，并对于扫描的漏洞及时进行解决，解决方式涉及安装补丁、配备网络访问控制方略和监测黑客运用漏洞行为数据流；选择非业务高峰时段进行扫描，并制订系统回退计划；安全审计遵从采用数据库内部审计机制进行数据库审计。更新补丁遵从遵从公司统一规定开展数据库补丁更新。网络安全本系统运行在公司信息内网中，需借助公司统一的安全防护体系和方法。对于数据的接入，需遵照国网安全有关规范执行。网络安全重要对网络基础互联设施的安全防护，如提供网络运行支撑的路由器、交换机以及防火墙、安全网关、入侵检测等安全设备本身的安全防护。3.7.1网络设备安全安全规定与否遵从/不涉及实现方式及方法设备安全管理遵从本地或远程进行设备管理必须进行身份认证；口令设立应满足复杂度规定，并定时修改密码；制订设备管理方略，涉及限定管理IP地址、制订登录超时及帐号锁定方略；采用较为安全的SSH、HTTPS进行远程管理。设备链路冗余遵从采用硬件双机等方式确保核心网络及安全设备、通信线路在发生故障或安全事件时的冗余可用。网络设备解决能力确保遵从确保核心网络设备的业务解决能力含有冗余空间，确保网络带宽满足业务高峰期需要；采用网管系统等方式对核心网络设备的解决能力、网络带宽进行监测；按照业务服务的重要次序来指定带宽分派优先级别，采用QoS或专用流量整形设备等手段确保在网络发生拥堵的时候优先保护重要业务信息流传输畅通。漏洞扫描遵从进行扫描之前需将弱点扫描系统特