XX信息系统安全防护方案

PAGEPAGE5附件3XX系统信息安全防护方案申请部门：申请日期：目录29429目录 2141951系统概述 472721.1系统概览 4116931.2总体部署结构 5294771.3系统安全保护等级 5189011.4责任主体 6224442方案目标 689272.1防护原则 691652.2防护目标 6305603防护措施 7163223.1总体防护架构 727423.2物理安全 8136283.3边界安全 10277673.3.1边界描述 10224183.3.2边界安全 1010993.4应用安全 1247913.5数据安全 15198663.6主机安全 16160423.6.1操作系统安全 16188773.6.2数据库系统安全 188783.7网络安全 1893553.7.1网络设备安全 19311923.7.2网络通道安全 1998493.8终端安全 19224473.8.1移动作业终端 20104153.8.2信息采集类终端 20107433.8.3办公类终端 2188883.8.4其他业务终端 22

系统概述系统概览本次XX系统需强化信息安全防护，落实信息安全法相关规定，满足国家、国网公司的信息安全相关要求，不发生各类信息安全事件，保证研发的软件在安全防护方面达到国家信息化安全等级保护的相关要求，保障数据和业务安全。以下没有特别说明，均特指XX系统建设的方案和内容。本系统系统具备以下功能：功能模块一：XXXXXXXXXXXXXXXX功能模块二：XXXXXXXXXXXXXX本方案不涉及：（1）物理安全防护建设。由于本系统的服务器部署在XX公司现有的数据中心机房，完全满足三级系统的物理安全防护需求。对本系统的物理安全防护措施可参照机房现有的物理安全防护措施执行，不需要采取额外的防护措施。因此本方案不再对此进行描述。总体部署结构XX公司部署系统安全保护等级XX系统安全保护等级为二级。责任主体XX单位负责组织系统建设、制定系统安全防护技术措施及系统、网络、主机、办公类终端的安全运维管理。方案目标防护原则XX系统信息安全防护依据GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》对系统的物理安全、边界安全、网络安全、主机安全、终端安全、应用安全及数据安全进行安全防护设计，最大限度保障系统的安全、可靠和稳定的运行。防护目标（1）保障系统安全可靠运行，满足国家信息安全保护要求；（2）确保系统数据安全可靠接入公司信息网络，保证系统数据不被篡改；（3）保障系统与其他系统之间数据交互和存储的机密性、完整性和安全性，对数据访问进行严格的控制，防止越权或滥用；（4）保障系统应用安全，杜绝仿冒用户、敏感信息泄露、非授权访问、病毒攻击等。

防护措施总体防护架构本方案设计思路是基于项目的总体安全要求、安全原则，在已有安全措施的基础上，结合当前安全标准进行安全层次划分，给出每层次的安全防护策略，并基于P2DR模型方法进行总体分析从而形成安全方案的层次设计，如下图图1SEQ图\*ARABIC\s11安全层次设计如上图所示，本项目安全层次结合项目实际情况，在安全分析基础上按照《信息系统安全防护总体方案》、《信息系统安全等级保护定级工作指导意见》、中的安全标准规范等进行设计，并用P2DR模型方法从对安全从策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）四个方面进行了分析，在动态防范中做到尽可能增加保护时间，尽量减少检测时间和响应时间。（1）物理层防护。确保物理设备及基础运行环境不受有意或无意破坏的防护措施，确保设备的运行安全。（2）网络层防护。确保系统各网络区域间的隔离防护采取的访问控制、入侵检测及防御、防火墙等措施。（3）系统层防护。确保主机系统安全的系统安全扫描及修复、主机入侵检测及病毒防范等措施。（4）数据层防护。确保系统数据在存储及应用时的安全性。（5）应用层防护。确保系统本身的安全，包括使用过程和结果的安全性，应从用户身份、权限等方面确保关键业务操作的安全性。（6）安全管理规范。需要通过一系列规章制度的实施，来确保各类人员按照规定的职责行事，做到各行其责、避免责任事故的发生，防止恶意的侵犯。物理安全物理安全防护的主要目的是使服务器、网络设备、信息系统设备和存储介质免受物理环境损害、自然灾害以及人为的操作失误和恶意损害等。系统部署于XX公司机房，机房选址、装修满足以下安全要求：安全要求是否遵从/不涉及实现方式及措施机房位置选择遵从机房周围禁止用水设备穿过。机房所在的建筑物具有防震、防风和防雨等自然灾害的能力。机房电力稳定可靠，用电负荷等级及供电要求按GB50052-1995的规定执行，符合国家机房设计规范中机房照明标准及消防安全要求。机房出入口通道，机房的安全出口，不少于两个（总部）。机房出入控制遵从进出机房需经过授权审批流程，并对人员进入机房后的活动进行控制。按照设备机房、人员操作间划分机房物理区域；按网络、主机、存储的设备类别放置不同机柜。(总部)机房部署门禁系统，进出机房需使用IC卡;机房门禁IC卡具有不同权限。进出日志（进出时间，人员身份）保存在机房监控系统内。(总部)防盗窃和防破坏遵从主要设备放置在机房内。设备或主要部件进行固定，并设置明显的不易除去的标记。电力线缆、通信线缆采用架空桥架走线。对介质进行分类标识，磁介质放在介质库、纸介质统一归档存放档案柜。机房关键区域安装视频摄像头、红外线感应装置。（总部）防雷击遵从机房建筑配备了防雷、避雷装置。机房设置交流电源地线。机房设置防雷保安器，防止感应雷。（总部）防火遵从机房采用火灾温感烟感报警系统，配备七氟丙烷自动气体灭火装置。机房采用耐火的建筑材料。（总部）设置重点防火区域，实施隔离防火。（总部）防水和防潮遵从机房避开水源，室内水管采取两套管的方式。在关键节点部署漏水检测设备。（总部）机房墙壁和层顶经过防渗处理。防静电遵从机房均铺设了防静电地板。（总部）机柜及主要设备安全接地。机房采用静电消除器防止静电产生。（总部）恒温恒湿空调防止空气干燥产生静电。（总部）温度、湿度控制遵从采用精密空调对温湿度进行自动控制，温度控制在22±1度，湿度控制在40%~60%。电力供应遵从在机房供电线路上配置稳压器和过电压防护设备，电力控制在10%以内的波动范围，并采用稳压器和过电保护装置控制电力波动。提供短期的备用电力供应，满足主要设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电。（总部）建立备用供电系统。（总部）电磁防护遵从采用接地方式防止外界电磁干扰和设备寄生耦合干扰。（总部）电源线和通信线缆隔离铺设，避免互相干扰。对关键设备和磁介质实施电磁屏蔽。（总部）边界安全3.3.1边界描述系统边界类型包括：信息内网横向域间边界、信息内网纵向域间边界二类。边界类型边界描述数据流分析信息内网横向域间边界信息内网网站与其他专业系统之间的边界数据类型：指标信息数据格式：XML格式数据流向：单向流动实时性：定时传输信息内网纵向域间边界信息内网省公司、地市公司之间的系统边界数据类型：新闻数据数据格式：XML格式数据流向：双向流动实时性：实时传输3.3.2边界安全边界类型安全要求是否遵从/不涉及实现方式及措施信息内网第三方边界网络访问控制网络入侵检测日志记录与审计不涉及无对于采用无线通道或第三方线路接入公司内网应遵循：接入终端身份认证终端安全准入数据安全交换业务访问控制不涉及无信息外网第三方边界网络访问控制网络入侵检测日志记录与审计不涉及无对外发布服务的web页面内容安全、病毒防范不涉及无远程办公及系统远程维护要求：设备采用安全接入方式远程用户接入身份认证不涉及无信息内网横向域边界网络访问控制网络入侵检测不涉及无信息内外网边界逻辑强隔离网络入侵检测不涉及无信息内网纵向边界网络访问控制网络入侵检测边界流量监测不涉及无应用安全本系统的应用层安全是从系统应用层面确保信息被安全地传输和使用，在本层采用的手段通常有：身份认证、授权、输入输出验证、配置管理、会话管理、加密技术、参数操作、异常管理等。安全要求是否遵从/不涉及实现方式及措施身份认证遵从对系统用户采用用户名、口令认证等方式进行认证，用户口令不得以明文方式出现在程序及配置文件中；通过Base64将用户密码存储在数据库中；不在cookie中保存登录密码，当浏览器被关闭后所有的认证信息均被销毁；采用Base64密文传输用户登录信息及身份凭证；密码长度下限不少于8位，上限不低于20位；大小写字母、数字和符号混合；按照《应用软件通用安全要求》增设口令复杂度检测功能，口令复杂度功能检测模块按《信息系统口令管理规定》进行设计；设计统一错误提示页面；连续3次输入密码失败，锁定用户账户，直至管理员手工解锁；授权遵从采用基于角色访问控制模型控制访问权限，提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；访问控制的覆盖范围应包括与资源访问相关的主体、客体及他们之前的操作；应授予不同账户为完成各自承担任务所需要的最小权限，并在他们之间形成相互制约的关系。输入输出验证遵从系统通过过滤器对URL的请求参数以及表单的GET、POST等数据中包含javascript脚本等非法字符进行过滤；输入输出策略方面提供GET数据、POST数据验证格式，其余由WEBSERVICE框架验证；对输入内容进行规范化处理后再进行验证，如文件路径、URL地址等；在服务器端和客户端都进行输入验证；系统业务功能基于一定的正则表达式进行输入验证，以满足不同场景的需要；系统对用户登录等过程中的输入进行特殊字符的检测，包括：单引号、1=1、or等，防止SQL注入攻击。配置管理遵从使用基于角色的授权策略控制配置管理角色，控制配置权限粒度，配置管理功能只能由经过授权的操作员和管理员访问；配置使用最少特权进程和服务帐户，各项配置信息对非管理员账户不可读；配置管理界面只能从本地登录，配合服务端的业务逻辑检查，通过强认证检查控制后方可配置；禁止通过web页面直接浏览服务端的目录和文件；制定严格的配置变更管理流程，系统关键信息例如数据库连接、运行参数、模板信息等发生配置变更时，需由相关负责人进行审批确认；设置配置信息的保存及版本控制规则，避免发生版本丢失或混淆；数据库连接、系统运行参数等配置交由中间件进行统一管理，模板配置信息进行加密存储。会话管理遵从当登录成功后清除旧的会话创建新会话；用户登录成功后创建新的会话，会话ID以随机36位GUID保存在系统中，绑定当前IP地址、机器名等信息；将会话认证信息和会话有效期等会话数据保存在服务端，避免非法访问，并进行严格的输入数据验证，避免非法篡改；采用Base64加密处理会话数据；采用Base64密文传输用户登录信息及身份凭证；仅允许使用HTTPPOST方式进行会话令牌提交，并且对Cookie和HTTP的相关属性进行了安全设置；用户登录后界面提供登出、注销功能；用户注销或关闭浏览器后，服务端自动清除用户会话;当用户登出或关闭浏览器的时候，系统会提示用户并彻底清除会话信息，确保会话的安全终止;设置会话存活时间为15分钟，超时后自动销毁用户会话，删除会话信息；在程序中判断当通信双方中的一方在一段时间内未作任何响应，另一方能够自动结束会话;系统可设置最大并发会话连接数量，可对单个账号的多重并发会话进行限制。加密技术遵从密码通过Base64加密保存，使用168位密钥长度；报文采用HTTPS安全协议传输；敏感数据采用Base64（168位密钥长度）算法加密保存和传输。参数操作遵从对输入参数进行严格验证，避免使用包含敏感数据或者影响服务器安全逻辑的查询字符串参数；使用会话凭证和账户IP来标识客户端，并在业务加载的过程中将敏感信息加载到会话内存中使用，不直接传输到客户端；仅使用HTTPPOST方式提交页面表单；避免使用GET方式进行信息提交，防止用户请求数据明文出现在URL；对客户端输入信息进行格式化、客户端验证、服务端验证等多重检查，并且控制敏感参数只能从服务端获取。异常管理遵从基于统一的出错页面，向服务或应用程序的客户发送最少量的异常信息，如一般性错误消息和自定义错误日志ID；程序发生异常时，将在日志中记录详细的错误消息；对全部异常信息均记录详细日志。日志与审计遵从对用户的关键操作进行审计操作；敏感数据强制审计，非敏感数据通过配置方式来开启审计功能；根据具体需要可配置审计日志的记录格式；支持系统的启动和停止审计、登录信息审计、用户密码变更审计、系统账户操作审计、用户操作敏感数据的审计；审计记录的内容至少包括事件日期、时间、发起者信息、类型、描述和结果等；审计日志存储业务日志直接写进数据库，日志保存期限可配置，若检测到有过期日志生成警报日志；系统无法删除、修改或覆盖审计记录日志与审计遵从应用交互安全遵从与本系统交互的系统包括营销SG816系统；基于XML格式的结构化数据，通过WebService方式传输；通过省级企业服务总线（ESB）对接口服务进行管理；按日期将业务系统使用过程中输入输出、错误等进行存储。数据安全本系统级敏感数据包含：采集弱口令、系统配置信息。业务级敏感数据包含本系统从用电信息采集系统、营销业务应用系统中获取的用电用户的档案、用电量等，从数据存储安全、数据传输安全和数据备份安全等方面进行数据安全防护。安全要求是否遵从/不涉及实现方式及措施数据存储安全遵从用户口令信息采用Base64算法处理后，在数据库中加密存储；不在客户端做任何形式的存储；系统配置信息存储在专用配置文件中，采用DES加密后存储；使用数据库表的形式存储接口汇总数据，数据库服务器采用双机RAC部署拓扑。数据传输安全遵从用户口令信息采用Base64加密算法处理后进行传输；系统配置信息传输过程中需要保证数据的完整性，使用DES加密算法处理；通信协议采用标准的HTTPv1.1协议方式，使用加密技术对传输的敏感信息进行机密性保护。数据备份安全遵从实时备份（有修改即备份）；定时备份（增量备份）。主机安全主机安全主要包括了操作系统安全和数据库安全防护方案。对服务器的操作系统进行安全防护，主要包括安全加固，设置相关安全策略、安装补丁以消除系统层面的安全漏洞，同时，按照权限最小原则设置系统权限，合理的设置系统用户。本系统采用Oracle数据库，针对Oracle故障、数据丢失损坏风险，主要在身份认证、访问控制、漏洞扫描、安全审计方面上加强了相应措施。3.6.1操作系统安全安全要求是否遵从/不涉及实现方式及措施身份认证不涉及访问控制遵从在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权限；关闭操作系统开启的默认共享，对于需开启的共享及共享文件夹设置不同的访问权限，对于操作系统重要文件和目录需设置权限要求；设置不同的管理员对服务器进行管理，分为系统管理员、安全管理员、安全审计员等，以实现操作系统特权用户的权限分离，并对各个帐户在其工作范围内设置最小权限，如系统管理员只能对系统进行维护，安全管理员只能进行策略配置和安全设置，安全审计员只能维护审计信息等；当对服务器进行远程管理时，对于UNIX类服务器，用当前稳定版本的SSH等安全工具取代明文传输的telnet，并及时升级，保证传输数据的安全性；对于windows类服务器，关闭不必要的telnet服务，采用加密或认证的方式保证数据网络传输过程中的保密性、完整性和可用性。病毒、入侵防范遵从及时更新病毒库，增强防病毒软件的恶意代码防护能力以保证信息系统的安全稳定运行；操作系统需遵循最小安装的原则，仅安装需要的组件和应用程序。漏洞扫描遵从采用漏洞扫描工具定期或重大变更时对系统进行安全扫描，并对于扫描的漏洞及时进行处理，处理方式包括安装补丁、配置网络访问控制策略和监测黑客利用漏洞行为数据流。更新安全补丁遵从遵从公司统一要求开展系统补丁更新；通过设置升级服务器等方式保持系统补丁及时得到更新。资源控制遵从在核心交换机与防火墙上配置详细的访问控制策略，限制终端的接入方式、网络地址范围及其与其他网络间的访问控制；根据安全策略设置登录终端的操作超时锁定；限制单个用户对系统资源的最大或最小使用限度。根据用户的工作需求，在满足其工作需求范围内，修改用户权限，并设置资源使用范围。安全审计遵从审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；保护审计记录，避免受到未预期的删除、修改或覆盖等。数据备份遵从对操作系统、数据库系统的数据进行备份，在操作环境发生变更时进行备份恢复测试。安全加固遵从在应用系统上线前和重大变更时进行安全加固。采用漏洞扫描工具定期或重大变更时对系统进行安全扫描，并对于扫描的漏洞及时进行处理。3.6.2数据库系统安全安全要求是否遵从/不涉及实现方式及措施身份认证遵从使用用户名/口令实现访问控制遵从采用数据库系统账号唯一性机制对登录数据库的用户身份进行身份识别和鉴别；采用结束会话、限制非法登录次数和非法登录自动退出等措施，限制同一用户连续失败登录；禁止特权账号远程管理使用，日常操作中采用非特权用户，仅在必要时切换特权账号进行操作；设置不同特权用户管理操作数据库，实现权限分离；限定各类服务内置默认账号的访问权限，禁用业务非必需账号；禁止系统默认账号使用默认口令，定期删除无用的过期账号。漏洞扫描遵从采用漏洞扫描工具定期或重大变更时对系统进行安全扫描，并对于扫描的漏洞及时进行处理，处理方式包括安装补丁、配置网络访问控制策略和监测黑客利用漏洞行为数据流；选择非业务高峰时段进行扫描，并制定系统回退计划；安全审计遵从采用数据库内部审计机制进行数据库审计。更新补丁遵从遵从公司统一要求开展数据库补丁更新。网络安全本系统运行在公司信息内网中，需借助公司统一的安全防护体系和措施。对于数据的接入，需遵循国网安全相关规范执行。网络安全主要对网络基础互联设施的安全防护，如提供网络运营支撑的路由器、交换机以及防火墙、安全网关、入侵检测等安全设备自身的安全防护。3.7.1网络设备安全安全要求是否遵从/不涉及实现方式及措施设备安全管理遵从本地或远程进行设备管理必须进行身份认证；口令设置应满足复杂度要求，并定期修改密码；制定设备管理策略，包括限定管理IP地址、制定登录超时及帐号锁定策略；采用较为安全的SSH、HTTPS进行远程管理。设备链路冗余遵从采用硬件双机等方式保证关键网络及安全设备、通信线路在发生故障或安全事件时的冗余可用。网络设备处理能力保证遵从保证关键网络设备的业务处理能力具备冗余空间，保证网络带宽满足业务高峰期需要；采用网管系统等方式对关键网络设备的处理能力、网络