无线城市平台安全保障方案.docx

无线城市平台安全保障方案第1章 安全保障要求1.1 网络安全域划分和等级保护要求1、根据系统具体业务和服务器分布，合理规划组网结构与安全域划分，符合集团公司安全域划分和防护规范要求。2、系统资源均纳入4A统一管理，应用资源纳入4A统一管理，实现帐号/角色/权限管理接口，认证接口（实现通过4A单点登录），授权管理接口，审计接口。具体接口要求参见集团公司业务支撑系统4A技术规范。1.2 帐号角色权限和口令管理1、应用系统帐号角色权限模型，必须采用角色作为唯一的授权方式，不允许直接将权限赋予用户。2、应用系统及采用的平台软硬件设备都必须支持强制密码策略，包括密码长度、复杂度、有效期等，支持生效时间、失效时间设置、首次登录必须修改密码等。 (帐号口令要求长度至少8位，大写字母、小写字母、数字、符号中至少3类)3、所有帐号口令均应加密存放，应采用不可逆的加密算法，也不应在日志文件中明文打印帐号密码。4、系统必须支持方便的帐号密码修改，包括所有前台帐号与后台帐号（含程序帐号），所有帐号密码的修改均不应要求修改程序代码。对于使用到程序帐号的应用，应实现自动的动态加载帐号口令配置文件，不应必须重启业务。5、应用系统应提供短信二次密码强认证机制。1.3 系统及应用代码安全1、所有软硬件设备配置均应符合集团安全配置基线要求。2、所有硬件微码、系统和软件补丁均应不存在已知漏洞。3、WEB应用不应存在SQL注入、跨站脚本等OWSAP TOP10的漏洞。4、WEB应用应采用HTTPS加密方式。4、应用代码不应留有后门或存在局方未知的帐号口令，不应存在严重的业务漏洞。5、应用代码应提供局方进行代码安全审计。6、系统内部、及系统与其他系统间的接口必须采用严格的认证机制，确保接口不被非法利用。7、系统内部、及系统与其他系统间的接口必须采用加密机制，确保系统间传输的数据不被非法截获。8、系统应支持对所管理数据价值的分等级管理，如分为高价值、中价值、低价值，并对不同价值的数据实施分级的安全访问控制措施。9、应用系统批量操作、涉及客户敏感信息的操作应支持金库式管理方式，如向提取数据人员的上级发送二次授权短信密码等方式。1.4 日志要求及安全审计1、应用系统应对帐号角色权限、授权、密码修改、密码重置等管理类操作均保留完整的日志，确保日志具备可追踪性和可溯源性。并通过与4A的审计接口发送至4A平台供集中审计。2、应用系统应对批量增、删、改、查等批量操作均保留完整的日志，确保日志具备可追踪性和可溯源性。并通过与4A的审计接口发送至4A平台供集中审计。3、应用系统应涉及客户敏感信息的增、删、改、查等所有操作均保留完整的日志，确保日志具备可追踪性和可溯源性。并通过与4A的审计接口发送至4A平台供集中审计。4、系统与其他系统间的接口应保留完整的日志，并确保日志具备可追踪性和可溯源性。对所有的请求处理步骤、错误消息都必须被记录。5、所有操作原始日志（包括主动短信下发记录）应至少在线保存6个月，离线保存2年。1.5 开发测试环境要求1、开发测试环境必须与生产环境通过防火墙进行隔离。2、测试数据必须进行模糊化处理，模糊化程度必须满足公司相关要求。第2章 安全保障目标对于系统安全的保证，分为两个方面：系统级（硬件设备安全、软件系统安全和网络系统安全）和应用级。系统级安全: 对于操作系统、数据库和网络分别有各自的安全保证措施。（1） 掉电保护：系统掉电后，用户设置和当前状态不会丢失；再次通电时可做到状态恢复；（2） 断网恢复：系统断网后，用户设置和当前状态不会丢失；并可报告网络故障，网络重连后可做到状态恢复；（3） 系统在高负荷下保证5,000 小时无故障。2.1 硬件设备安全（1） 服务器和终端均采用电信级产品；（2） 保证系统不间断运行；（3） 关键系统采用冗余方式；（4） 计算机系统采用现在成熟的计算机安全方案；具有高可用，可冗余。（5） 系统主机设备的MTBF（系统平均无故障时间）应大于30000小时。2.2 软件系统安全（1） 核心服务器采用双机热备方式运行，消除单点故障；（2） 主机系统和数据库系统的用户密码应由各自的管理员专人掌握，密码要能够灵活更换；（3） 只有系统管理员可以使用超级用户登录；（4） 操作系统用户要定期清理服务器中的垃圾文件；（5） 开发、测试系统与生产系统要严格分开；（6） 数据传输、处理具备检验，核对功能和较强的纠错功能；（7） 主机操作系统和数据库系统应定期做备份；（8） 系统日志详尽清晰，便于故障定位。2.3 网络系统安全（1） 本系统原则上应与外部计算机系统隔离；（2） 对非法的外部登录系统应能告警；（3） 网络登录应受到监控，对反复试验密码的行为系统应能告警；（4） 系统的各级登录密码要严格管理，远程拨号功能应严格控制；（5） 网络登录密码要能灵活更换。2.4 数据安全（1） 数据库本身具备较强的安全机制；（2） 数据库的用户名和密码应与操作的用户名和密码不同；（3） 在数据库级，系统应用级数据应按照数据备份制度定期备份；（4） 数据库有较强的故障恢复能力；（5） 异种数据库的数据共享与传送应保证准确、安全；各种原始计费数据均应保留备份；（6） 操作系统应定期备份；（7） 内部数据查询应对不同的人员设定不同的级别，每人只能查询与自己相关的数据。2.5 应用级安全（1） 提供基于业务规则控制的系统应用安全措施；（2） 支持根据业务的要求设置功能控制点，对每一个功能控制点实施权限控制；（3） 支持根据计费帐务应用的具体情况，对于应用系统的某些处理模块和某些功能的使用权限、登录用户对于数据字典的访问权限、应用系统操作人员不同角色的处理权限等，实施权限控制；（4） 提供操作日志和审计功能，记录操作员进入和进出的时间，记录每项重要的操作。第3章 安全保障组成安全保障体系由安全手段、安全机制和安全环境三部分组成，其结构如图所示：安全保障体系图系统安全手段包括计算机设备、支撑软件及系统数据的安全保障；业务安全手段包括业务处理和业务数据的安全手段。第4章 安全保障建立4.1 安全手段支撑 设备安全服务器采用阵列盘或镜像盘技术；采用CLUSTER技术；采用双机或多机热备份容错系统；生产服务器和开发测试服务器分离；提供光盘备份库；保证24小时不间断运行；建立异地备用服务器。工作站及终端具有防病毒功能；保证24小时不间断运行。网络设备采用多传输媒介组成多路由制；结驳简单、可靠；保证24小时不间断运行。 支撑软件安全 操作系统 符合C2级安全标准,提供完善的操作系统监控、报警和故障处理。 数据库系统符合C2级安全标准,提供完善的数据库监控、报警和故障处理。大型关系数据库有如下的安全机制以保证数据库的安全： 数据库级（Database-Level）的安全性，对整个数据库起作用。 表级（Table-Level）的安全性，只对相关的表起作用。 列级（Column -Level）的安全性，只对相关的列起作用。 行级（Row-Level）的安全性，只对相关的行起作用。 类级（Type-Level）的安全性。只对使用的隐含的类（opaque Type）， distinct type和complextype起作用。管理和使用用户权限的另一种方法是使用角色（Roles）。在数据库环境中角色的概念相当于UNIX操作系统中的组（Group）的概念。在数据库系统中角色的目的是让DBA对数据库的权限进一步细化。数据库系统的审计策略是数据库安全性的重要组成部分之一。大型关系数据库系统提供的审计机制符合 Trusted Computer System Evaluation Criteria（CSC-STD-001-83，即橘皮书）C2级标准及Trusted Database Interpretation（NCSC-TG-021）标准。对每一个选择出的用户的活动，大型关系数据库系统提供的审计功能将产生一条记录。这些记录将用于以下用途： 发现非法用户及可疑用户的行为并指出其执行的操作。 发现未授权的访问企图。 评价潜在的损害安全机制的因素。 假如需要，为调查提供证据。 审计不是一种用于重建数据库的跟踪事物的机制而是通过对系统事件的记录，或者一个重要活动及操作者的记录，检测正常的或可疑的活动。 网络系统支持鉴别、接入控制、数据机密等一组安全功能；与其它系统的连接必须建立防火墙隔离；提供完整的网络监控、报警和故障处理。我们组建的是一个企业的内部网，同时各个系统的主机的连接都采用了前置机通讯的方式，前置机实际上起了一定的防火墙作用，增加了非法用户企图通过某台主机攻击网内其它主机的难度。其次，我们的企业网在与外界主机相连时，都将采用国产的防火墙产品，将有效的防止外界非法用户对网内主机的入侵。对于通过广域网连接上线的用户，可以通过路由器加密等手段保证数据在广域网（特别是公用数据交换网）传输时数据的保密性和完整性，但会占用一定网络带宽。如果远程用户是通过DDN专线连接，应该说数据传输过程是比较安全的。对于局域网上的用户，我们认为最好的方法是将业务应用的子网和公网隔开，当然物理上完全断开不大可能，我们建议通过在总部局域网交换机上设置业务专用的虚拟子网VLAN。这样可利用现有设备，无须额外的资金投入。 应用系统提供完善的问权限的识别和控制功能，提供多级密码口令保护措施。我们的应用系统的安全性建立在数据库管理系统的安全性之上，为保证系统的安全性，本系统对操作员实行严格的分级权限管理，每一个操作员均拥有各自的工号（帐号）、登录密码和权限等级。特定的权限等级只能进入特定的功能模块进行授权操作。除对系统的查询操作外，任何一个对系统的“写”操作（如录入、修改、删除资料）均将在系统中留下完整的记录，包括该“写”操作发生的日期、时间、操作员工号以及对系统进行了何种操作，以备日后追查。为了保证密码的可靠性，对于操作员的密码，用户的密码，均以密文的方式在数据库中存放，这些密码只能修改而不能够直接读取。 系统数据安全系统数据备份与恢复要求：系统数据可进行联机备份；系统数据可进行联机恢复；被恢复的数据必须保持其完整性和一致性；提供完整的系统数据监控、报警和故障处理。系统数据的传送与接受要求；保证系统数据的传送完整；保证系统数据的传送机密；提供完整的系统数据传送监控和报警处理。4.2 安全环境支撑 配套设备安全F 配套先进的、完善的供电系统和应急报警系统。 机房环境安全F 机房要防火、防尘、防雷、防磁；F 机房温度、湿度、电压应符合计算机环境要求；F 要进行定期维护保养。 安全机制支撑 系统安全机制F 系统应具备访问权限的识别和控制功能，提供多级密码口令或使用硬件钥匙等选择和保护措施。F 系统应能提供操作日志记录功能，以便即时掌握运行状况。F 系统应具备完善的检测功能，确保综合自营平台处理的准确性。系统每个环节的检测实行闭环管理。F 建立校验结果和安全逻辑异常情况报警系统。 业务安全机制F 建立严格的管理制度和开发、维护、运行管理机制。F 有鉴别权限与访问控制功能，对系统管理员、数据库管理员、数据管理员、操作员必须授予各种访问权限，包括人员身份、人员的通行字、所属的地理位置及指令的控制，进行权限分割、责任分割。F 要保证未授权的人员不能访问系统，在系统安全性受到破坏时必须产生告警。F 保证只有授权的人员或系统可以访问某种功能，获取某种数据。 环境安全机制F 建立严格的机房安全管理制度；F 及时审查日志文件；F 非工作人员不准入机房。任何人不得将有关自营平台数据资料泄密、任意抄录或复制。1、 第三方接口安全：业务接入模式 不同业务应用接入 需进行加密 安全验证方面 平台多业务模式 业务级别进行不同验证单点登录模式 参数加密 业务管理安全机制 用户信息安全(BOSS实名验证接口、用户信息同步)07-181、 业务接入： 与移动一起与第三方进行业务流程沟通；本周开始进行现状：- 编写框架1、 目前业务如下2、 无线城市A、各个业务平台信息安全