业务系统数据安全技术方案文献

1、 业务系统数据安全技术方案 TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 业务数据安全平台建设总体方案3业务系统数据安全解决方案 示范要点 3建设内容 3 HYPERLINK l bookmark10 o Current Document 技术设计方案12业务数据安全平台建设总体方案业务系统数据安全解决方案示范要点探索建立企业信息系统数据分级分类体系： 研究系统化的数据分类分级保护。建立信息安全管理体系，建立企业信息系统保护规范、保护基线和检查办法、人员行为规范、信息安全事件应急响应规范，建立信息保护意识培训与宣贯机制和相关材料。

2、建立新一代信息系统业务数据敏感标记策略和打标机制。建立企业信息系统保护的整体安全架构，其中整体安全策略、安全架构、安全基础设施和安全措施的设计,以及安全构件库的实现具有很大的参考性和推广价值，值得各相关机构借鉴，有利于形成信息保护的信息安全技术标准。信息保护相关安全设计、 开发与测试知识库具有通用性，可以进行推广和培训，提升业系统研发人员的安全素质。建设内容数据分类分级策略建立企业信息系统数据分类分级体系：对业务数据进行梳理和识别，制定数据分类分级框架， 形成数据分类分级列表， 识别出重要业务敏感数据的类型、所属部门、 CIA 保护级别、存储方式、期限以及应采取的保护措施建议等。信息安全管理体

3、系建立信息安全管理规范， 确定信息保护方面的总体安全策略、信息安全交换管理机制和信息安全技术防护与安全管理要求。建立信息保护基线与检查管理办法，确定信息保护最低技术要求和最低管理要求，以及相应检查项、检查方法和整体评估打分机制。(3)建立人员安全行为规范，规范信息操作运维人员的行为，并建立相关个人信息保护奖励与处罚机制数据敏感标记策略和打标机制根据现有的敏感数据传输、处理与存储机制，建立数据敏感标记策略，使 得数据标记可以反映数据类别，CIA安全保护级别等。建立敏感标记附加机制, 绑定数据与标记，方便执行安全策略。企业信息系统总体安全架构设计和安全架构策略企业信息系统整体安全架构实现过程中需要

4、考虑如下方面：企业信息系统业务数据【旅客数据】分类分级策略企业信息系统整体安全架构设计实现需要遵循的策略企业信息系统整体安全架构设计需要简单化和有一定的经济性，将所有 安全措施实现切分为通用安全措施实现和个性化安全措施实现，前者应 归纳到安全基础设施中，后者作为嵌入到各子系统，单独编码实现。企业信息系统安全基础设施及其支撑安全运行的方式企业信息系统主要安全措施及其与安全基础设施之间的关系图3-1-1企业信息系统整体安全架构设计示意图一应用分区分层安全策略安全 指连品隹管理与身份认证基E出设旅全理施安基设权限管理与访问控制基础设旅 . 加解密基础谩端民航商务信息系统系疣安全管理、监控与审计基础设

5、施 高可用与灾奋基础设施图3-1-2企业信息系统整体安全架构设计不意图二关注应用分区分层、纵深防御、差异化部署和安全访问策略，企业信息系 统群的运行环境安全设计和自身安全设计。(1)安全架构设计策略1)企业信息系统的分区分层。分区是为了横向隔离各 web前端，如各航 空公司的专属系统，为了保证相互操作不会产生干扰，某个航空公司系统被 攻击或沦陷后不影响其他航空公司的系统，需要采取有效设计对子系统系统 以及子系统数据进行解耦，进行必要的子系统间的隔离。企业信息系统分层是为了建立系统的整体纵深层次，在各个不同层次上添加不同的安全措施， 使得同一威胁，有多个安全防护措施同时进行针对性防御。目前已知的

6、企业 信息系统的网络安全层次为Internet区域、DMZ Web服务器区域和内网应用 服务器层次，信任度逐渐升高，项目执行过程中可能会根据实际情况和安全 需要划分更多的网络层次，使得不同网络层次专注不同网络威胁，并为后续 的纵深防御打下基础。对于数量庞大的web应用，将会根据其数据敏感属性、 用户敏感属性、访问链路的安全级别进行归类分区，形成合理的基于云计算 的web网站群分布格局，尽量缩小网络出口的数量，以利于后续的统一监测、 统一管理和统一防范。I nt巳met安全域后台安全域图3-1-3企业信息系统安全域划分示意图纵深防御策略。单一安全防御措施经常因为设计不当、 维护不当、硬件失效等原

7、因无法永久有效的应对某类网络威胁，这种情况需要针对某类 威胁具有多层次的防御措施，比如 SQL注入攻击，可以在DMZ区域web服 务器前端用接部署WAF设备，同时在应用程序内采取防 SQL注入手段和报 警与日志审计手段，如果前端的 WAF安全功能失效，应用程序自身仍然可以 抵御和发现该类攻击。针对具体威胁的防护手段具有多种形式，主要可分为 防御、检测和审计等形式，为了防御安全威胁，第一选择是防御措施，使得 该攻击不产生不良后果；第二选择是检测措施，发现攻击的行为，及时报警、 及时响应、及时阻断，也能够做到攻击影响最小化；第三选择是审计措施， 通过对攻击行为和过程记录日志，并进行事后分析，还原攻

8、击过程，确定攻 击者身份，找出内部脆弱性，并追究攻击者法律责任，在某种程度上也能起 到威慑和挽回损失的效果。企业信息系统纵深防御会根据风险分析的结果，在多个网络层次上部署不同安全措施，形成全方位和立体化的防御体系。攻击面最小化。 企业信息系统包含了不同安全级别的数据， 并且面对了不同敏感度的用户。从用户的体验角度出发，为用户提供全方位的接入方式和访问方式，如全天候的 BYOD 的支持，但从安全角度出发，需要对接入方式、访问方式进行限制，如某航空公司的 Web 应用，覆盖了航空公司所有业务操作内容，如航班控制、座位控制、用户管理、授权管理等内容，为了保证总体的安全性，并减少总体安全成本，总体设计

9、要求用户管理和授权管理等操作需要VPN 接入到内网进行操作，而那些不敏感的查阅操作，或影响较小的操作可以提供 Internet 访问方式。 通过这种方式规避了敏感业务暴露在Internet 中产生的高风险。 为了实现攻击面最小化策略， 需要对 企业信息系统功能细分，根据其数据、业务和用户的敏感性，区别发布与部署，进而提供差异化的安全访问方式，而减少整体安全风险。对于一些敏感的查询，需要控制每次的查询量和查询范围，有效降低数据泄露造成的影响面。企业信息系统在整体设计中包含的主要控制措施如下：身份管理，企业信息系统中包含了众多的用户， 如航空公司用户、机场用户、代理商用户、以及越来越多的旅客用户和

10、与航空公司形成战略合作关系的酒店、出租车、旅游景点用户等，用户，对这些用户进行全生命周期管理，不仅可以增加其对航空公司的价值，还能显著提高系统的安全性。身份管理应至少支持身份创建、修改、挂失、激活、查询、冻结、备份、删除等功能。应至少支持集中管理模式、自助管理模式和外部其他大客户自助管理模式。 企业信息系统的访问者还包括对端的服务器或客户端，此类机器或软件的身份也应纳入到身份管理范围。权限管理，权限与用户关联，因为用户具有不稳定特征，权限时常发生变化。通常权限的生命周期短于用户的生命周期，一个用户经常与多个权限关联，造成权限管理工作量远超过身份管理的工作量，权限管理的相关设计显得尤为重要， 业

11、界较为通用的 RBAC 权限管理模式具有适用范围广，高可扩展， 并且可大幅降低权限管理的工作量。 系统将会采取RBAC 权限管理模式，进行灵活授权。权限管理也应该支持集中管理模式、公司自助管理模式和外部其他大客户自助管理模式。身份认证，用户在使用系统前必须通过身份验证，由于 web 用户的类别复杂性和网络位置不确定性， 企业信息系统将会提供多种身份认证模式，以适应这些复杂情况。身份认证的脆弱性将会产生极高的安全风险，因此身份认证方式的多样性应该以不能影响 企业信息系统的整体安全强度为前提。企业信息系统中计划支持身份认证方式至少包括：口令认证、 U 盾【数字证书】认证、短信认证、及其三者之间的复

12、合认证方式。访问控制，未来的企业信息系统将会基于用户的角色进行访问控制，权限管理系统提供角色权限信息，应用功能负责调用通用的权限匹配决策接口进行访问控制。访问控制将会从三个层次开展工作。第一个层次为DMZ区web服务器层，通过配置防火墙策略、WAF策略、IPS策略、蜜罐策略、防篡改策略以及web 服务器安全策略，应对该层次的主要威胁。 第二层为应用服务器层，通过应用自身安全设计实现、应用服务器安全策略、前端路由器和防火墙策略、防篡改策略、加解密策略、监控与日志审计策略和防火墙策略等，应对该层次的安全威胁，第三个层次为数据层，通过部署数据库自身安全策略，数据库审计策略、数据库多级备份策略等方式，

13、应对本层次安全威胁，数据层还包括另外一个分支，即后台系统，主要是通过准入控制策略和数据安全策略应对本层次的安全威胁。安全传输，安全传输需要防范各航空公司敏感数据外泄，同时还需要隔离各航空公司相关数据，防范相互干扰。安全传输可能会涉及到各种不同技术，如 HTTPS/SSL， VPN ，应用层加密，专线等技术。安全传输设计会根据不同场景运用不同技术，实现安全传输目标。企业信息系统确立的安全传输策略为：所 有跨不安全等级网络连接均需要进行安全连接， 如 ALG 访问后端系统。所有Internet连接均需要进行安全连接，如对 ALG和APG的访问。所 有外部相关机构的连接， 在合规的前提下， 应尽量考

14、虑安全连接。如 CITA 、公安部等单位的访问。所 有共用物理信道的各航空公司的数据流，应进行逻辑隔离。安全存储， 企业信息系统的安全存储需要实现以下目的：黑 客即使窃取了数据也无法加以利用保 护内部运维人员，防范其意志不坚定，发生倒卖敏感数据的情况对 不同公司的数据实现逻辑隔离安全存储可能会涉及到加解密相关技术， 还可能涉及到账户权限管理与访问控制，物理存储设备的物理隔离和逻辑存储的逻辑隔离。安全存储设计内容只包括数据存储的隔离与加解密相关设计。日志审计与监控，系统的日志审计能力应具有如下能力：可 还原用户各种访问会话，具有跨系统的日志信息整合能力，对用户行为可进行全方位的监控与审计。可 掌

15、握所有系统的状态信息，并可对系统运行状态进行实时显示和报警可 根据用户和系统的状态信息，判断是否发生的违规行为和攻击行为，并能引导运维或应急人员进行实时分析、快速阻断、及时恢复和完整取证。抗抵赖，主要是指企业信息系统用户或运维人员对自己的操作行为负责，将会采取如下两种手段进行抗抵赖设计：日 志记录，通过对用户行为记录日志，并采取措施保障日志信息的完整性。主体日志信息为文本信息，另外一种补充日志信息为视频信息，主要是针对一些极端重要场合，如运维人员的敏感操作。数 字签名，用户的所有操作行为进行数字签名，前提是用户具有系统颁发的数字证书。数字签名抗抵赖主要运用在财务相关操作上，如用户购买机票的在线

16、付款操作。系统完整性防护。该项措施主要是保护信息系统的完整性，包括应用、操作系统和网络，主要是防止系统被篡改，注入病毒木马，或者恶意调整了系统结构。当发现企业信息系统被恶意篡改时，系统应及时报警，通知运维人员及时响应。系统完整性防护中包含了若干重要的技术：代 码数字签名，特别是各种专属前端系统及其下载到客户端运行的代码，系统要求应进行数字签名，这种措施只能发现篡改行为，无 法预防。防 篡改软硬件设备，这种设备具有发现代码篡改和快速修复代码的能力防 病毒网管或统一威胁管理设备，拒病毒木马于网络之外安全基础设施设计统一用户管理和身份认证、 RBAC 授权管理与访问控制、统一加解密，统一日志审计中主

17、要包括的安全基础设施如下：( 1) 身份管理与身份认证基础设施。企业信息系统计划使用统一身份管理IAM 作为身份管理的基础设施， IAM 的核心是 LDAP 服务器， 具有复杂组织分支管理能力和快速查询响应能力， 符合企业信息系统的用户组成复杂特点， IAM的认证代理可以支持用户名口令认证方式， 具备口令的复杂度检查、 长度检查，以及口令生命周期控制能力。另外企业信息系统已引入 PKI 体系和硬件身份认证载体 U 盾，这将会形成企业信息系统身份认证的主要组成部分。另外已经租用了中国联通的短信网关，部分应用已经开始使用短信身份认证方式，为了保证短信认证。 因此企业信息系统将会具备统一身份管理的能

18、力， 以及口令认证、数字证书认证和短信认证等三种安全身份认证方式。授权管理和访问控制基础设施。企业信息系统授权管理将会采取RBAC 基于角色的权限管理方式，前期的权限管理将会基于统一身份管理系统，将各种角色权限标识与身份绑定，并在用户访问各子系统时，由 IAM 将角色标识推送到各子系统，由子系统调用标准接口进行授权。加 解密基础设施。加密系统的安全性取决于加密算法强度、加密密钥长度以及密钥本身的存储和传输安全性。企业信息系统计划支持国际所有主流的对称/非对称加密算法以及中国保密局要求的各种算法，以满足国际国内的加密合规要求。企业信息系统系统将会定义安全密钥的最低长度和生成方式， 并将加密算法、

19、 密钥生成算法、 密钥规范要求统一封装到开发库中，供各子系统调用，形成统一的加密强度。企业信息系统目前已引入 PKI 体系，作为加密体系的信任根，通过PKI 证书，形成密钥的安全存储和安全传输方式。另外将会采取U 盾和加密机等硬件，形成密钥安全存储的核心支持部件。(4)系统安全管理、监控与审计基础设施。系统未来将会形成自己的SOC平台，形成生产环境安全策略统一分发执行、日志信息实时采集分析、安全状况实时动态形象展示、安全态势感知预警、用户全会话行为还原、聚合与跟踪审计能力。5) 高可用与灾备基础设施。 为了满足与各航空公司签署的 SLA 服务水平协议，计划建立多层次的高可用服务能力。在存储备份

20、能力上，形成本地RAID磁盘、数据库本地同步备份、同城备份和异地灾难恢复备份。在信息处理能力上，服务器采取多核CPU 、双机热备、集群、和异地灾备集群方式，由于采用了虚拟化技术，处理能力可以实施扩展，有力的保证了处理备份能力。另外在网络能力上，远程传输租用不同运营商的光纤线路，具有不同的物理信道，并进行周期性测试，保障远程传输能力的高可用，在生产环境内部网络， 采用了关键节点和关键线路采取热备方式保证其高可用性。安全构件库身份认证构件库：用户名口令认证、 U 盾认证、短信认证、基于IAM 的认证。加解密构件库：加解密web service 服务、对称加密、非对称加密、 Hash算法、数字签名和

21、数字信封，支持国际通用标准算法和国内 SM2/3/4 算法。各构件库示例代码与使用说明手册2.技术设计方案企业信息系统网络安全设计基本方案如下:付桎*1e州I”卜DD05j.lrl|K：-J融-N巨榴ADiiiLift-* SjL 111 L.前懦Hh H图3-2-1企业信息系统网络安全设计方案ADS流量清洗中心，主要用于部署相关策略防范流量类型的 DDOS网络攻 击。DDoS流量清洗解决方案由异常流量分析系统和流量清洗系统组成，异常 流量分析系统使用Netflow等方式对出口路由器流量数据进行采集，并对采集 到的数据进行深入分析，发现 DDoS异常流量后，将触发告警，并通知流量清 洗系统。流

22、量清洗系统接收到异常流量分析系统发送的通知后，通过路由技术 （如BGP、OSFP等）对攻击流量进行牵引，然后对攻击流量进行识别与清洗， 将攻击流量过滤，最后再使用路由技术（如策略路由、 GRE等）将清洗后的正 常流量回注到网络中，由此实现对 DDoS异常流量的清洗和过滤。WAF设备主要是针对应用层攻击进行阻断，如 SQL注入、命令行注入、 路径遍历等攻击。云安全中心主要是基于云端强大的安全分析能力，对互联网 疑似攻击流量进行分析，并下发安全策略给 WAF设备和IDP设备，进行联动 阻断。服务器端实施抗篡改设计，并针对漏洞进行周期性扫描，发现漏洞，及时 报警，及时修复。在数据库端实施数据加密和完整性保护策略，保证数据的安 全性，实现数据拿走了也看不懂的效果。信息系统安全设计方案如下:应用1 应用2身份管理身份认证M安主传辄.M日葬计系际整性防护安全策珞安全措施身份管理与身份认证基础设