收单posp系统安全管理制度手册.docx

收单系统安全管理制度手册文档名称收单系统安全管理制度手册说明本文档为收单posp系统安全管理制度手册，为安全管理人员提供的管理制度。适用对象本文档适用于所有与本项目安全管理处理相关人员。保密级别公开 内部 机密 极机密版权声明本文档版权归收单所有，并保留一切权利。除了保密级别为公开的文件外，未经书面许可，任何公司和个人不得将此文档中的任何部分公开、转载或以其他方式散发给第三方。否则，必将追究其法律责任。发放部门收单电子支付 技术部变更记录版 本类 型 日 期作 者说 明Version1.0创建2013/10/9何李目录一、引言5二、网站、网页出现非法言论时的紧急处置措施5三、黑客攻击时的紧急处置措施6四、病毒安全紧急处置措施6五、软件系统遭受破坏性攻击的紧急处置措施7六、数据库安全紧急处置措施8七、广域网外部线路中断紧急处置措施8八、局域网中断紧急处置措施9九、设备安全紧急处置措施10十、人员疏散与机房灭火预案10十一、外电中断后的设备11十二、发生自然灾害后的紧急处置措施11十三、关键人员不在岗的紧急处置措施12十四、机房及运维体系12十五、主机设备安全措施14十六、网络安全措施16十七、数据库的安全配置17十八、数据存储安全措施18十九、应用系统安全措施19二十、代码安全管理23二十一、办公环境的的保密性管理制度23一、 引言为确保系统安全，收单网上平台采用主机安全、网络安全、数据安全、应用安全等措施，并制定与系统运作相关的一系列管理规章制度。二、 网站、网页出现非法言论时的紧急处置措施1、网站、网页由办公室的具体负责人员随时密切监视信息内容。每天早、中、晚三次不少于一小时。2、发现网上出现非法信息时，负责人员应立即向信息安全组组长通报情况；情况紧急的应先及时采取删除等处理措施，再按程序报告。3、信息安全组具体负责的技术人员应在接到通知后十分钟内赶到现场，作好必要的记录，清理非法信息，强化安全防范措施，并将网站网页重新投入使用。4、网站维护员应妥善保存有关记录及日志或审计记录。5、网站维护员工作人员应立即追查非法信息来源。6、工作人员会商后，将有关情况向安全领导小组领导汇报有关情况。7、安全领导小组召开安全领导小组会议，如认为情况严重，应及时向有关上级机关和公安部门报警。三、 黑客攻击时的紧急处置措施1、当有关负责人员网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网络安全员通报情况。2、网络安全员应在十分钟内赶到现场，并首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，同时向信息安全领导小组副组长汇报情况。3、网络安全员和网络管理员负责被破坏系统的恢复与重建工作。4、网络安全员协同有关部门共同追查非法信息来源。5、安全领导小组会商后，如认为情况严重，则立即向公安部门或上级机关报警。四、 病毒安全紧急处置措施1. 采用麦咖啡杀毒软件进行杀毒处理，定期一星期使用线上更新恶意代码库。2. 当发现计算机感染有病毒后，应立即将该机从网络上隔离出来。3. 对该设备的硬盘进行数据备份。4. 启用反病毒软件对该机进行杀毒处理，同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。5. 如发现反病毒软件无法清楚该病毒，应立即向安全小组负责人报告。6. 信息安全小组相关负责人员在接到通报后，应在十分钟内赶到现场。7. 经技术人员确认确实无法查杀该病毒后，应作好相关记录，同时立即向信息安全领导小组副组长报告，并迅速联系有关产品商研究解决。8. 安全领导小组经会商后，认为情况极为严重，应立即向公安部门或上级机关报告。9. 如果感染病毒的设备是服务器或者主机系统，经领导小组组长同意，应立即告知各下属单位做好相应的清查工作。五、 软件系统遭受破坏性攻击的紧急处置措施1、重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日备份，并将它们保存于安全处。2、一旦软件遭到破坏性攻击，应立即向网络安全员、网络管理员报告，并将系统停止运行。3、网络安全员和网站维护员负责软件系统和数据的恢复。4、网络安全员和网络管理员检查日志等资料，确认攻击来源。5、安全领导小组认为情况极为严重的，应立即向公安部门或上级机关报告。六、 数据库安全紧急处置措施1、各数据库系统要至少准备两个以上数据库备份，平时一份放在机房，另一份放在另一安全的建筑物中。2、一旦数据库崩溃，应立即向网络安全员报告，同时通知各下属单位暂缓上传数据。3、信息安全员应对主机系统进行维修，如遇无法解决的问题，立即向上级单位或软硬件提供商请求支援。4、系统修复启动后，将第一个数据库备份取出，按照要求将其恢复到主机系统中。5、如因第一个备份损坏，导致数据库无法恢复，则应取出第二套数据库备份加以恢复。6、如果两个备份均无法恢复，应立即向有关厂商请求紧急支援。七、 广域网外部线路中断紧急处置措施1、广域网主、备用线路中断一条后，有关人员应立即启动备用线路接续工作，同时向网络安全员报告。2、网络安全员接到报告后，应迅速判断故障节点，查明故障原因。3、如属我方管辖范围，由网络管理员协同网络安全员立即予以恢复。如遇无法恢复情况，立即向有关厂商请求支援。4、如属电信部门管辖范围，立即与电信维护部门联系，请求修复。5、如果主、备用线路同时中断，网络安全员应在判断故障节点，查明故障原因后，尽快与其他相关领导和工作人员研究恢复措施，并立即向安全领导小组汇报。6、经安全领导小组同意后，应通告各商户相关原因，并暂缓网站的使用。八、 局域网中断紧急处置措施1、局域网中断后，网络管理员和网络安全员应立即判断故障节点，查明故障原因，并向网络安全领导小组副组长汇报。2、如属线路故障，应重新安装线路。3、如属路由器、交换机等网络设备故障，应立即与设备提供商联系更换设备，并调试畅通。4、如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试畅通。如遇无法解决的技术问题，立即向上级单位或有关厂商请求支援。5、如有必要，应向总体负责小组组长报告。九、 设备安全紧急处置措施1、小型机、服务器等关键设备损坏后，有关人员应立即向网络管理员和网络安全员汇报。2、网络管理员和网络安全员应立即查明原因。3、如果能够自行恢复，应立即用备件替换受损部件。4、如果不能自行恢复的，立即与设备提供商联系，请求派维修人员前来维修。5、如果设备一时不能修复，应向安全领导小组领导汇报，并告知各下属单位，暂缓上传上报数据。十、 人员疏散与机房灭火预案1、一旦机房发生火灾，应遵照下列原则：首先保人员安全；其次保关键设备、数据安全；三是保一般设备安全。2、人员疏散的程序是：机房值班人员立即按响火警警报，并通过119电话向公安消防请求支援，所有人员戴上防毒面具，所有不参与灭火的人员按照预先确定的线路，迅速从机房中撤出。3、人员灭火的程序是：首先切断所有电源，启动自动喷淋系统，灭火值班人员戴好防毒面具，从指定位置取出泡沫灭火器进行灭火。十一、 外电中断后的设备1、外电中断后，机房值班人员应立即切换到备用电源。2、机房值班人员应立即查明原因，并向值班领导汇报。3、如因机房内部线路故障，请机房服务人员迅速恢复。4、如果是供电局的原因，应立即与供电局联系，请供电局迅速恢复供电。5、如果供电局告知需长时间停电，应做如下安排：（1）预计停电3小时以内，由UPS供电。（2）预计停电24小时，关掉非关键设备，确保各主机、路由器、交换机供电。（3）预计停电超过24小时，白天工作时间关键设备运行，晚上所有设备停电。（4）预计停电超过72小时，应联系小型发电机自行发电。十二、 发生自然灾害后的紧急处置措施1、一旦发生自然灾害，导致设备损坏，相关负责人应在24小时内抢修设备。2、重新构建新的系统和网络，并将相关数据予以恢复。3、经测试符合要求后，相关负责人才能撤离。十三、 关键人员不在岗的紧急处置措施1、对于关键岗位平时应做好人员储备，确保一项工作有两人能操作。2、一旦发生关键人员不在岗的情况，首先应向值班领导汇报情况。3、经值班领导批准后，由备用人员上岗操作。4、如果备用人员无法上岗，请求上级重新安排值班员。5、上级在接到请求后，应立即派遣人员进行支援 十四、 机房及运维体系A. 生产机房公司现有生产系统位于深圳市罗湖区深南东路2002号中国物贸大厦五楼西侧。机房内部装修、防火、防静电、供配电系统、空调系统、火灾报警和消防设施等。UPS电源、冗余的机房恒温恒湿精密空调系统、气体灭火系统，同时配备环境监控系统，对整体设施进行7*24小时不间断监控，保证了机房基础设施的高可用性。在网络方面，保障网络安全。部署2台应用负载均衡服务器,能极大地提高核心应用和业务平台的可用性、性能以及安全性。在系统方面，使用监控平台对所有系统进行实时监控。在安保方面，进行机房进出登记，保障机房出入安全，并有视频实时监控，定期进行审计。在人员配置方面，运行部门系统、网络、应用、监控、机电等运维人员实行24小时值班制度，保障系统运行安全。在变更管理方面，生产系统及网络变更经审批后，一律在下班后18：0005:00进行实施，一人操作，一人复核;变更结束后，进行交易测试，以验证变更是否成功。在监控方面，对交易、主机、网络、机房运行主机实时监控，若发生异常，监控系统通过短信及时通知技术、运维以及相关人员。在应急保障方面，每季度对系统、网络、线路、UPS等核心设备进行切换演练，保障运维安全。在关键数据存放及保护方面，进出存放关键数据的生产机房必须经过审批，并有专人陪同；客户身份信息和支付业务信息等资料存放于数据库，并且在数据库中建只读用户，防止意外删除和修改，数据库每天都有全备数据，发生意外时也能及时恢复，生产数据不得带出机房；损坏的硬盘必须经消磁处理后销毁。数据库保留五年供随时查询。B. 灾备中心公司目前在龙岗机房中设置有应急系统，通过引入最低系统设备，采用定期备份恢复关键业务数据，在应急系统中同步的方式，保持业务连续性，达到应用级灾备要求。灾备中心的容灾系统可以保证数据零丢失和远程集群支持十五、 主机设备安全措施一、主机及操作系统安全措施包括：A. 系统数据库服务器双机热备方式运行：主备数据库之间通过HADR方式实现同步，发生故障时数据库之间能进行秒级切换，不影响前端应用。B. 应用服务器通过前端部署的应用负载均衡设备实现集群化运行，降低单台服务器负载，避免单点故障。C. 根据系统运行/维护的要求，对系统、应用及数据库等设置不同的用户账号，并只分配必须的最小权限。D. 建立了完善的日志体系，对远程访问及操作记录均有详细的日志记录，且由专人每天检查并分析运行日志。E. 在服务器安装时即取消了默认口令和配置，关闭不必要的远程登录权限，特别是超级用户。F. 口令安全：口令是操作系统安全策略的核心，任何对于口令安全的威胁都是重大事件。所有主机及网路设备每2个月改一次密码功能。G. 持续更新：系统安全性总是相对的，不断有新的漏洞被发现，所以必须定期检查系统发布的安全补丁，及时升级系统，在攻击者瞄准系统漏洞之前打好补丁。H. 机器物理位置：有敏感数据的机器放置在限制访问的地方。I. 每3个月需要请网路设备商来上补丁一次。主机补丁也是3个月需要人工操作的方式上补丁，上补丁前需要做一次完整的系统备份。J. 网路设备需要关闭http ssh telnet等协定，需要管理主机的话，一定要有人员亲自到机方接console port才有办法对主机进行管理。二安全接入堡垒机方案技术特点跨域安全访问保障沟通安全接入堡垒机方案基于可信路径(Trusted Path)技术、强制访问控制技术、高等级的保障技术，是一种可证明的安全技术文件安全传输通道在移动办公访问相关应用系统的时候,会涉及到把本地的文件传到应用系统中,比如发送邮件的时候,需要带上附件,鉴于安全考虑,必须对上传的文件进行相关的审核,针对这一情况,在低安全域设置一台从文件服务器，在高安全域增加一台主文件服务器,并对文件服务器进行策略设置,使移动办公人员只能看到自己的文件夹，沟通安全接入堡垒机仅调用高安全域的主文件服务器。访问控制访问控制：基于角色、权限分配，设置细粒度访问控制策略，达到非法用户不能访问，合法用户不能越权访问的目的权限管理可以根据边界接入的需要，设置角色，指定相应的资源访问权限，防止非授权访问和越权访问安全审计管理审计服务：记录终端用户在其安全接入堡垒机平台上运行的各部件的有关事件，包括用户登录、验证、数据传输等，审计信息可以通过WEB界面查询。应用集中管理应用集中于沟通安全接入堡垒机平台统一管理和部署，低安全域用户无需关注应用的升级维护和部署，实现了应用的集中管控和统一部署。登陆认证管理SSL VPN认证系统:只有拥有SSL VPN客户端以及账号和密码才能够拨入;通过沟通安全接入堡垒机策略，对客户端身份进行双因子认证;通过沟通安全接入堡垒机策略，绑定移动办公人员PC的硬件信息;专有的沟通安全接入堡垒机客户端控件。安全接入堡垒机安全策略首先，配置管理平台有自己独有的管理账号,负责添加用户(所创建的用户,全分布在虚拟应用服务器上)、设置用户策略、应用策略以及发布应用;其次，用户权限管理,实行权限分立，加强沟通安全接入堡垒机安全可靠性。具体的策略包括：配置管理实行了三权分立，不存在超级权限的管理员，管理员分为三角色，配置管理员、操作系统管理员、审计管理员;移动办公人员的账号创建在虚拟应用服务器上，且为匿名用户;堡垒机没有移动办公人员账号，只有配置管理员、操作系统用户;堡垒机配置管理认证需通过配置管理员和操作系统两层身份认证;应用系统用户(如OA协同办公系统)是内部网管理，完全与沟通安全接入堡垒机的用户无关，且沟通安全接入堡垒机与内部网有网闸进行隔离，使移动办公人员无法通过沟通安全接入堡垒机篡改应用系统用户权限。操作系统安全加固，包括：系统最小化安装，除安装最基本的系统组件与本应用平台组件，不安装任何其它组件与模块;系统最小化服务，最对外仅提供应用平台一个服务，不对外提供任何其它服务，包括任何其它TCP/IP服务和端口;配制自动的系统灾难备份与恢复检查机制。沟通安全接入堡垒机方案彻底解决了客户双网改造过程中遇到的保密性(Confidentiality)和可用性(Availability)之间矛盾，找到了最佳平衡点，既保障了安全性同时有效解决了双网数据实时传输问题参照国家信息化领导小组关于加强信息安全保障工作的意见的各项要求，安全接入堡垒机平台各项技术特征符合相关要求条款;沟通安全接入堡垒机平台结合vpn隧道加密、网闸、端点安全认证、网络行为管理等技术构建了由应用环境安全、应用区域边界安全和网络通信安全组成的三重防护体系。十六、 网络安全措施网络防火墙对外部用户访问进行严格的地址和端口控制，对内部WEB层、应用层、数据库层进行严格的安全访问控制。外部网络通过互联网双线路接入，部署互备的链路负载均衡设备实现用户网络请求的智能导向，提高用户访问网站的响应速度并均衡线路流量；在安全防范上，分别部署防DDOS攻击系统、入侵防御系统，其中防DDOS攻击系统部署在电信线路的入口端，防范和抵御DDOS攻击行为；入侵保护系统将对流经的每个报文进行深度检测、统计关联分析等，发现隐藏于其中的攻击，可以立即采取抵御措施并告警。内部网络通过划分VLAN的方式结合三层系统架构进行分层处理，将WEB、应用、数据库完全分离，部署应用负载均衡器实现各WEB服务器和应用服务器的负载分担；在安全防范上通过部署WEB应用防火墙系统，监测流进内部的数据报文，提供应用层的防SQL注入、防页面篡改、防cookie篡改、防跨站脚本注入等安全保护。十七、 数据库的安全配置 对超级用户SA的修改工作n 修改密码的难度，密码难度为n 密码难度：大小写字母 + 数字 + 特殊字符，长度大于16位 在安全性的登录名中把系统帐号“Administrator”删除 管理扩展存储过程n 删除不必要的存储过程， xp_cmdshell、xp_cmdshelln 丢弃OLE自动存储过程，这些过程包括如下： sp_OACreate、sp_OADestroy、sp_OAGetErrorInfo、sp_OAGetProperty、sp_OAMethod、sp_OASetProperty、sp_OAStopn 去掉不需要的注册表访问的存储过程，如下： xp_regaddmultistring、xp_regdeletekey、xp_regdeletevalue、xp_regenumvalues、xp_regread、xp_regremovemultistring、xp_regwrite 远程网络连接时使用SSL来加密协议 对远程网络连接进行IP限制 在服务器的属性安全中启用登录审核中的失败与成功登录十八、 数据存储安全措施预付卡支付平台需要保留完整的交易数据，必须保证交易数据的正确性、可靠性、不可抵赖性，为用户提供可信的历史交易数据。支付结果及签名等各环节的关键交易数据采用数据库存储，保存在交易数据库中。数据库服务器采用两台IBM 小型机，部署DB2高可用性灾难恢复（HADR）系统，当数据库发生故障时，能够进行实时切换，保证数据库的高可用性。数据库服务器使用独立网段，用物理设备进行隔离，增加数据的安全性。定期对数据库主库和备库数据实施同步，可以动态、快速的进行主备库应急切换，加强了业务数据的可用性。同时定期对操作系统数据、数据库和日志进行备份，保障业务运行的连续性。并将重要的备份数据存放在异地。在数据备份恢复方面，同机房数据备份采用数据库全备，存放在联机服务器和后线服务器中，并将数据备份到磁带设备，保存三份备份数据，防止备份数据损坏。当生产数据库发生意外损坏时及时用备份数据进行恢复，每季度进行一次备份数据恢复演练。同城应用备份在宝安机房放置与生产机房应用系统相同的设备，包括应用级备份主机、应用级备份备机、磁盘阵列。在同城备份机器上部署与生产相同的应用，在生产系统