数据管理平台安全管理方案

数据管理平台安全管理方案目录TOC\h\z\u1.1.1安全管理体系建设的目标 31.1.2信息安全管理原则 31.1.3安全管理总体框架 41.1.4安全管理体系技术 51.1.5安全管理体系内容建设 71.1.6安全管理体系措施 71.1.6.1物理环境安全防护 71.1.6.2通信网络安全防护 71.1.6.3区域边界安全防护 81.1.6.3.1边界防护 81.1.6.3.2访问控制 91.1.6.3.3入侵防范 101.1.6.3.4恶意代码防范 111.1.6.3.5安全审计 121.1.6.4计算环境安全防护 131.1.6.4.1身份鉴别 131.1.6.4.2访问控制 141.1.6.4.3安全审计 161.1.6.4.4入侵防范 171.1.6.4.5恶意代码防范 181.1.6.4.6数据完整性 191.1.6.4.7数据保密性 191.1.6.4.8数据备份和恢复 191.1.6.5应用信息安全防护 211.1.6.5.1信息应用身份认证 211.1.6.5.2访问控制 221.1.6.5.2.1账号权限范围 221.1.6.5.2.2账号安全认证 221.1.6.5.2.3账户风险控制 231.1.6.5.3安全审计 261.1.6.5.4剩余信息保护 271.1.6.5.4.1敏感信息保护 271.1.6.5.4.2数据分级分类 291.1.6.6物联网安全防护 301.1.6.6.1接入控制 301.1.6.6.2入侵防范 311.1.6.6.3感知节点设备安全防范 311.1.6.6.4网关节点设备安全防范 311.1.6.6.5抗数据重放 321.1.6.6.6数据融合处理 321.1.6.6.7感知节点设备运维管理 321.1.7安全管理策略建设 331.1.8安全组织体系建设 351.1.9安全教育和培训 35管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。安全管理体系建设的目标安全管理是安全系统的重要组成部分，没有健全的安全管理，系统的安全性是很难保证。任何网络系统仅在技术上无法达到完整的安全。为此，需要建立一套科学、严密的网络安全管理体系。通过有效的安全管理体系的建设，最终要实现的目标是：采取集中控制、分级管理的模式，建立由专人负责安全事件定期报告和检查制度，从而在管理上确保全方位、多层次、快速有效的网络安全防护。信息安全管理原则多人负责原则每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动：信息处理系统使用的媒介发放与回收；处理保密信息；硬件和软件的维护；系统软件的设计、实现和修改；重要程序和数据的删除和销毁等。任期有限原则一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假策略，并规定对工作人员进行轮流培训，以使任期有限策略切实可行。职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开。敏感资料的接收和传送；安全管理和系统管理；应用程序和系统程序的编制；计算机操作与信息处理系统使用媒介的保管等。安全管理总体框架按照安全体系总体框架，结合前期的工作，应在三个架构的三个层次分别开展信息安全建设，确保信息安全体系均衡发展，有效提高投资回报率。通过对研究所信息化系统的网络和应用现状、安全现状、面临的安全风险的分析，根据安全保障目标模型，设计了研究所信息安全体系框架，制定该框架的目的在于从宏观上指导和管理信息安全体系的建设和运营。本框架由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。一个系统的、完整的、有机的信息安全体系的作用力远远大于各个信息安全保障要素的保障能力之和。在此框架中，以安全目标为指导，融会了基础安全设施、一体化安全管理和持续性安全提示三个安全核心，达到系统可用性、可控性、抗攻击性、完整性、保密性的安全目标。研究所信息安全体系框架的总体结构如下图所示：研究所信息安全总体框架安全管理体系技术平台在安全性设计上遵循中国现行信息安全技术网络安全标准，平台安全性包括南向接入安全、北向对接安全、门户访问安全、数据存储安全、数据容灾、数据传输安全、数据访问安全以及网络安全等。南向接入安全平台支持用户名密码认证、设备序列号认证、应用平台标识认证、IP地址认证、证书认证等多种接入方式认证，来保证平台接入的安全性。北向对接安全平台和上层应用平台或第三方订阅平台支持双向认证机制，即平台对其他平台身份进行认证和其他平台对平台身份进行认证。门户访问安全平台提供自服务门户和运营管理门户，门户访问具备必要的安全保障措施，包括统一登录页面、短信验证码认证、强密码机制、严格的访问权限控制。数据存储安全数据存储过程中，及时缓存内容到支持层，保证数据完全写入不丢失。同时，通过磁盘阵列、分布式存储系统对数据进行冗余备份，保证节点异常时候数据不丢失。数据传输安全通过客户端和平台之间使用SSL安全连接，保证传输过程中的数据被加密，可以防止中间人攻击。使用双向安全认证客户端带证书连接平台，可以防止非法设备接入网络。数据访问安全1）使用OAuth2.0进行统一登陆授权，引入了授权服务器做为中间件隔离，客户端和应用之间不会进行私密信息的直接传输和交互，保证用户认证信息的安全性和伪造性。2）基于角色的用户权限系统设计。系统分为资源、角色、用户三层概念，可以方便的分级、分域、细粒度的进行权限控制。3）资源自身的认证体系。每个资源被请求访问的时候，均会判断请求者的合法性，只有拥有相应权限的请求者才能得到正常的资源服务，非法的请求直接被拒绝服务。安全管理体系内容建设通过规划安全策略、确定安全机制、明确安全管理原则和完善安全管理措施，建立安全管理机制，制定各种规章、制度和准则，合理地协调法律、技术和管理三种因素，实现对系统安全管理科学化、系统化、法制化和规范化，达到保障网络系统安全的目的。安全管理体系措施物理环境安全防护政务外网云计算平台在物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和带电磁防护等方面都满足三级等保要求。通信网络安全防护网络安全域划分是落实访问控制策略、建立纵深安全防护、执行安全管理政策的物理基石。根据等级保护要求，并依据信息系统实际情况分析，划分互联网接入区、公用网络区等安全域。互联网接入区边界网络：网络边界是安全防护重点区域，部署防火墙、IPS、WEB应用防火墙等安全设备。骨干网络：提供全网网络交换，部署交换机等。服务器：部署应用服务器、数据库服务器等。终端接入：接入互联网有线终端和无线终端等设备。公共网络区骨干网络：提供全网网络交换，部署交换机等。服务器：部署应用服务器、数据库服务器等。安全管理中心：从功能、重要级别角度考虑，建立安全管理中心，承担保障网络运行、安全、维护的工作。安全管理中心内部署堡垒机、日志审计系统、数据库省级、防病毒系统等。区域边界安全防护边界防护通过防火墙系统进行网络边界的安全防护，保障跨越边界的访问和数据流通过边界设备提供的受控接口进行通信，满足等保三级建设安全区域边界——边界防护要求。子项等保要求防护措施边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；防火墙b)应能够对非授权设备私自联到内部网络的行为进行检查或限制；c)应能够对内部用户非授权联到外部网络的行为进行检查或限制；访问控制参照等级保护要求在相关边界部署防火墙系统进行访问控制，通过安全加固服务配置实现进出网络的数据流实现基于应用协议和应用内容的访问控制，将所有不安全的或不符合安全规则的数据包屏蔽，除允许通信外受控接口拒绝所有通信，杜绝越权访问，防止各类非法攻击行为。子项等保要求防护措施访问控制a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；安全策略加固b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；安全策略加固c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；安全策略加固d)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。防火墙入侵防范在各安全域之间，根据安全策略在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为，需要其他具备检测新型的混合攻击和防护的能力相互配合，共同防御来自应用层到网络层的多种攻击类型，建立一整套的安全防护体系，进行多层次、多手段的检测和防护。入侵防御措施就是安全防护体系中重要的一环，它们能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。子项等保要求防护措施入侵防范a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；IPSb)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。恶意代码防范通过防病毒网关系统，对夹杂在网络交换数据中的各类网络病毒进行过滤，对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其它安全域中，截断了病毒通过网络传播的途径，净化了网络流量。子项等保要求防护措施恶意代码防范a)应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；防病毒网关b)应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。安全审计通过日志审计系统针对设备以及主机日志进行统一的收集与审计，审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。满足《网络安全法》要求“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”。子项等保要求防护措施安全审计a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；日志审计系统b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。计算环境安全防护主要是对资源的有效性进行控制，管理和控制不同等级用户对信息资源和服务资源具有什么权限，其安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密，并通过审计和记录机制，确保服务请求和资源访问的防抵赖。针对本项目的信息资源的安全级别的特点，其安全策略主要包括统一的身份认证、权限管理、日记审计等。身份鉴别用户端进行登录认证时，根据用户设备信息、系统版本、终端类型、终端版本等相关信息进行组合并通过加密算法生成的唯一密钥，合法授权后下发登录令牌Token。整个数据交互过程加密，同时发起授权与登录的过程间隔时间服务器严格控制，不管登录成功还是失败，授权码当次有效，保证登录过程不被攻击。通过安全服务加固的方式对用户鉴别信息复杂度、时效性进行加固，配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出进行配置，并采用两种或以上组合的鉴别技术对用户身份进行鉴别，加强用户身份管理。本项目需采用安全服务中主机加固服务来满足等保三级建设安全计算环境——身份鉴别要求。子项等保要求防护措施身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；主机加固访问控制通过安全服务主机加固进行有效的计算环境主机访问控制，保障计算环境安全，加固内容包括但不限于：（1）对登录的用户分配账户和权限；（2）重命名或删除默认账户，修改默认账户的默认口令；（3）及时删除或停用多余的、过期的账户，避免共享账户的存在；（4）授予管理用户所需的最小权限，实现管理用户的权限分离；（5）由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；（6）访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；（7）对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。本项目需采用主机加固服务来满足等保三级建设安全计算环境——访问控制要求。子项等保要求防护措施访问控制a)应对登录的用户分配账户和权限；b)应重命名或删除默认账户，修改默认账户的默认口令；c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；d)应授予管理用户所需的最小权限，实现管理用户的权限分离；e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。主机加固安全审计计算环境安全审计主要从主机安全审计以及数据库系统安全审计两方面来设计。（1）针对主机的安全审计通过启用本地的安全审计功能，针对关键节点的用户行为进行审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。同时利用平台日志审计系统针对主机日志进行统一的收集与审计，审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。（2）针对数据库系统的安全审计，通过数据库审计系统对云平台内数据库进行跟踪，实现对数据库的查询、新增、删除、修改、授权等各种操作行为进行解析、记录和智能分析，审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等，并提供多种灵活方便的查询方法、统计报表，供管理员查询、分析、决策。该数据库安全监测探针还可提供数据库入侵检测功能，对恶意攻击或者误操作等敏感行为进行实时报警。本项目利用日志审计系统进行日志审计，满足等保三级建设安全计算环境——安全审计要求。子项等保要求防护措施安全审计a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)应对审计进程进行保护，防止未经授权的中断。日志审计系统、数据库审计系统入侵防范针对主机的入侵防范，将从多个角度进行处理：（1）在网络层面，通过入侵检测系统可以起到防范网络的攻击行为。（2）采用安全扫描对信息系统主机进行安全性检测，以及漏洞的检测并及时修补漏洞；（3）仅安装需要的组件和应用程序，关闭不需要的系统服务、默认共享和高危端口；（4）针对业务服务器，可通过对操作系统人工加固的方式，来提升服务器的抗攻击能力，保障服务器的安全性，建议对操作系统采取的加固方式。针对应用代码的防范，主要从应用代码审计加固进行处理：（1）采用专业的安全检测工具和人工评审代码相结合的方式，实现业务和测试的分离，保障业务连续性和安全性。（2）根据检测结果，提供详细的代码加固建议，并协助完成代码加固，并提供复查以确保漏洞得到修复。本项目利用防火墙、IPS、漏洞扫描进行入侵防范满足等保三级建设安全计算环境——入侵防范要求：子项等保要求防护措施入侵防范a)应遵循最小安装的原则，仅安装需要的组件和应用程序；安全配置加固b)应关闭不需要的系统服务、默认共享和高危端口；c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；漏洞扫描f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。防火墙、IPS恶意代码防范在所有终端主机和服务器上部署网络防病毒系统，进行了有效的恶意代码防范。同时，防毒系统可以为平台提供关于病毒威胁和事件的监控、审计日志，为全网的病毒防护管理提供必要的信息。本项目利用防病毒系统，满足等保三级建设安全区域边界——恶意代码防范要求：子项等保要求防护措施恶意代码防范应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。防病毒软件数据完整性对操作日志等采用基于SM3国产摘要算法+SM2数字签名技术，将日志数据、信息摘要、签名验证信息一并保存到数据库，用于日志审计与追踪，保证日志数据的完整性、安全性和可用性。数据保密性在通信环境进行加密传输，进行数据安全的多重保护，同时将政务应用与企业应用、个人应用隔离、集成访问权限认证、限制非法访问、提供数据安全传输隧道和安全接口实现企业应用容器的安全隔离。数据备份和恢复参照等级保护基本要求，对重要数据的本地备份，主要应用系统采用双机热备部署，保证其可用性。采用数据备份系统来实现统一、自动化、集中的备份。对于备份软件的选择，不仅要注重使用方便、自动化程度高，还要有好的扩展性和灵活性。同时，跨平台的网络数据备份软件能满足用户在数据保护、系统恢复和病毒防护方面的支持。一个专业的备份软件配合高性能的备份设备，能够使损坏的系统迅速起死回生。目前被采用最多的备份策略主要有完全备份（FullBackup）、增量备份(IncrementalBackup)、差分备份(DifferentialBackup)三种。本方案建议备份策略采用以上三种方式的结合。例如：数据库全备份：选择在周五（或周六）自动进行。数据库增量/差分备份：每晚由主机系统执行，批处理人员触发或由系统自动执行。文件全备份：将主机系统和其它服务器的数据作全备份，选择在周日自动进行。文件增量备/差分备份份：在周一到周四（或周五）之间备份文件的增量。系统全量备份：在月初的周日备份系统及数据库的全量。系统增量/差分备份：在其余的时间仅备份系统和数据库配置的增量。跟踪备份：实时备份系统增量(事务日志备份)。本项目对重要数据的进行备份，以此满足等保三级建设安全计算环境——数据备份恢复要求。子项等保要求防护措施数据备份恢复a)应提供重要数据的本地数据备份与恢复功能；b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；c)应提供重要数据处理系统的热冗余，保证系统的高可用性。数据备份应用信息安全防护信息应用身份认证身份认证是安全系统的基础，可以包括用户密码、数字证书、随机验证码（将一串随机产生的数字上英文字每，生成一幅图片，图片里加上一些干扰象素（防止OCR），由用户肉眼识别其中的验证码信息，输入表单提交验证）等多种模式，防止恶意软件自动登录攻击，实现对各类用户访问访问系统的合法性进行验证。其中数字证书可采用福建省电子政务认证服务平台颁发的数字证书。应用系统开发中，还应提供以下功能要求：（1）提供强制要求修改口令的功能。通过管理端的设置，可要求所有或部分用户必须定期或在符合特定条件的情况下修改口令；（2）具有登录失败处理的功能，锁定登录失败次数超过一定数量的用户账号；（3）具有超时处理的功能，当用户登录后在一段时间内无任何动作，应用系统应锁定界面并清除用户状态，用户必须再次进行身份认证才可恢复。访问控制账号权限范围在系统中，可以按照权限的高低划分账号的等级，也可以以权限大小作为认证程度高低的判断依据。系统的角色采用在业界接受度较高的功能权限模型是RBAC（Role-BasedAccessControl）模型，其基本理念是将“角色”这个概念赋予用户，在系统中用户与权限之间通过角色进行关联，以这样的方法来实现灵活配置。根据业务划分，其主要权限区别分为管理员、一般角色与特殊角色。管理员角色具有：查看较大范围内的数据权限、管理其权值范围内的账号信息权限、更改当前账号信息权限，而一般的账号具有：业务功能使用权限、当前账号信息权限等，另外管理员后台提供角色权限字典表配置功能，支持根据需求创建特殊权限类型的角色。账号安全认证账号安全认证从两方面体现在：账号生成规则、账号实名制认证。严格设定为管理员可新增和修改其管理范围内的用户和信息。这一点只要做好权限范围控制就不会出现账号问题账户风险控制 为了保障用户的账户安全，在系统上会对关键点进行必要的安全保护。因此需要建立一个安全平台中的交互需要针对每一步操作行为行为进行动态打分。每一步操作的分值不是孤立的，具有连贯性，都会基于历史的操作来进行判定。一旦触发了相应的阈值，系统就采取相应的保护机制。为操作设定做风险评估，并设计对应场景解决办法。（1）无风险：正常使用，不存在任何风险；（2）低风险：存在过于频繁请求、过长时间登陆等明显区别于一般账号的行为时，系统会采用告知存在异常的方式保证安全性，一般为：邮件、短信、APP通知；（3）中度风险：存在特殊风险操作，例如多次错误输入口令、弱口令、执行危险操作等，系统会强制用短信验证码、图片验证码、APP验证码等方式进行二次验证；（4）高度风险：操作或使用高风险操作时，系统会强制冻结账号、限制访问IP、限制使用时间等； 系统对每一次账号的完整过程（从登录到活跃）进行评估，达到相应级别，系统采取相应的保护措施，其具体为：1、密码口令风控一般对于用户账号，其登陆账号一般为身份证，口令为统一规则生成，容易发生账号盗用与口令遗忘的情况，针对此类问题需做好密码安全风险控制：（1）口令安全：用户口令采用加密传输，并且由用户关系中心唯一管理，其他系统通过统一认证接口验证用户信息，做到密码统一管理。用户口令保存在核心数据库，口令采用加密算法不可逆破解，杜绝了用户口令被破解的可能性。（2）口令找回：系统实现用户与邮箱、手机绑定，如果用户口令出现遗忘等情况，用户可以通过多种手段找回。（3）弱口令：会强制提示用户更改口令并完成修改。2、登录风控登录是安全保护的第一道防线，这个阶段就可以拦截大量的异常操作。（1）登录失败次数。记录账号短时间内登录失败的次数，防止别人通过大量的测试来获取你的密码，这也是最基本的保护。比如，有的密码输入错误次数达到3次以上后，就会加验证码。有的输入密码错误次数达到阈值后，限制一时间内才能的再试（2）IP地址。一般用做判断登录地点是否为常在城市。另一方面用做辅助信息来做一些异常判断，做进一步限制。比如发现在某个IP存在频繁的指令行为，可以限制该IP的上账号活动。内部系统交互安全，内部系统与管理中心交互采用的是内网限制ip请求，做到外网基本绝缘的情况。外网无法或间接直连管理中心（3）使用设备。辅助信息，识别异常操作信号（4）登录时间。记录用户的活跃情况，画出用户的工作时间分布图，帮助识别异常操作。比如用户一般都是工作时间登录，突然某一天出现凌晨2:00登录的现象，用户在些之前并没有登录连续活跃的记录，这时候就有一定的可疑性（5）登录及活跃地点。辅助信息，识别用户的异常行为，可画出用户活动范围图，减少对异常情况的误判。现在有第三方IP地址库的公司，提供定位服务。所以即使是用PC，在不借助GPS和基站定位的情况下，也能精确地定位到你在某一栋楼里3、验证与请求风控为预防账号被盗、恶意刷号、恶意攻击等风险，需要进一步实现验证与请求的风险控制。一般需要在验证和请求环节可疑行为可能有：大量的下载、导出文件、大量的转发内容、大量的发送信息、发送带有私密信息或敏感关键词的信息或内容、发送之后立即删除等。比如：不法分子利用已经获得的账号资料，通过技术手段，大量验证“用户账号是否存在”，从而知道手里的账号哪些是已经在平台上注册过的账号。账号验证需要向服务器发起请求，因此恶意者可以用技术手段大量发起请求攻击，导致网络、服务器和数据库瘫痪甚至宕机。需要基于以下几点做到：（1）手机账号真实性的风控：为了保证用户输入的手机号是其本人的，通常我们都需要设计短信验证码功能（2）邮箱账号真实性的风控：为了保证用户输入的邮箱是其本人的，通常我们都需要设计邮件验证码功能或者通过邮件进行激活确认的功能（3）短信通道、真实手机号的风控：短信验证码是业务系统利用运营商或者代理商的短信通道，下发验证码，对用户所输入的手机号进行真实验证的功能。为了防止恶意者攻击短信通道，或者随意输入其他人的手机号滥发短信给其他人造成骚扰，这里需要增加两项风控：保护短信通道、减少对其他手机号短信骚扰。（4）注册请求的风控：当用户将所有信息都填写完成，点击“立即注册”按钮即可向服务器发起请求，程序判断用户填写的信息完整无误，则返回注册成功的提示；如果判断某些输入项有问题，则返回对应的错误提示。这里需要增加两项风控：防止用户恶意大量请求攻击服务器，防止用户绕过输入项验证直接提交注册请求。综上所述，在注册功能中，我们需要考虑的风险点和风控目标可以归纳为：禁止非正常的、大量的“验证账号是否存在”的服务器请求；确保输入的手机号是用户本人的、真实的手机号；邮件验证码功能或者通过邮件进行激活确认的功能；保护短信通道不被恶意者大量刷短信，造成堵塞；减少对其他手机号码的短信骚扰；防止恶意用户大量发起注册请求，攻击服务器；防止用户绕过输入项验证，直接发起请求。安全审计对应用系统的操作日志、数据生成日志等采用基于SM3国产摘要算法+SM2数字签名技术，将日志数据、信息摘要、签名验证信息一并保存到数据库，用于日志审计与追踪，保证日志数据的完整性、安全性和可用性。剩余信息保护敏感信息保护系统在使用中不仅要对各项基础信息的安全保证，还要对隐私数据进行严格的划分和保护，隐私数据主要体现在用户在使用中产生的用户姓名、手机号码、邮箱、登录系统日志、操作埋点记录等数据。从数据的生命周期角度来考虑，对数据的产生、存储、流转、使用、废弃等不同阶段涉及介质、系统、终端、人员进行识别，明确不同阶段的使用要求。另外，则是从用户隐私信息涉及到的所有者、管理者、使用者的角度，分别提出不同的要求，基本要求应当包括：用户个人隐私数据的可接受使用，即哪些人通过哪些系统可以访问哪些数据（应当有数据所有者来定义）；用户个人隐私数据的使用流程，即对于批量数据查询、非授权人员对用户隐私数据使用的场景应当如何通过流程进行授权管理，保证披露范围合法、可控，披露过程可追溯（使用者应当遵守的流程）；用户个人隐私数据的管理流程，即从信息系统管理者的角度如何保证用户个人隐私数据不被非授权访问、隐私信息介质被妥善保护、数据访问过程可追溯、废弃数据妥善被销毁等（管理者应当执行的流程）。用户隐私信息范围 项目用户隐私信息保护的前提条件，是明确定义出哪些信息应当作为用户个人隐私信息进行保护。从风险的角度，识别风险场景和信息的相关性，从而明确隐私保护的重点范围，将有限的资源分配到高风险的用户信息字段，将姓名、手机号、邮箱地址、账号密码、联系地址等作为重点隐私数据保护的对象列为隐私数据。用户信息收集的范围和用途规范除了用户隐私信息范围，需要与用户就信息的收集、使用达成一致性的共识，在明显的位置显示系统需要收集的隐私数据内容，服务过程中会收集到哪些信息，以及这些信息将被用于哪些用途以及使用的范围。只有在获得用户许可的前提下，才可以收集相关的信息。系统不会将数据以公告外的方式使用数据，名按照规范严格执行数据保护。用户信息保护根据敏感数据加密的数据类型、数据内容，在数据产生并存储在数据库过程中对所需加密数据进行SM4国产密码算法加密服务，并对所需传输过程的数据进行SM2国产密码算法加密服务，加密完成后再进行数据传输和存储，当需要进行数据解密时，进行SM2数据解密后，将解密后的数据发送至系统。数据泄露的风险来源可以分为三个方面：外部黑客攻击导致、内部的恶意人员的泄露、系统设计漏洞导致数据泄露。对外部黑客攻击而言，一般性的安全工具组合可能会包括：应用防火墙（WAF）、入侵侦测系统（IPS）、数据库审计工具（DBA）、数据库加密工具通过这些工具的组合，试图对可能发生的黑客入侵行为进行预警、阻断和追溯，尽最大可能避免大规模的数据泄露事件发生。对内部恶意人员的泄露，一般性的安全工具组合可能包括终端安全管理工具（对数据传输接口进行限制）、文档加密工具、数据加密工具、数据脱敏工具、数据库审计工具等。通过这些工具的组合，可以实现对数据库管理员、数据工程师、业务运营人员的高危数据操作风险的管理，包括数据导出、下载、外传、批量查询等。系统设计上，完全采用保密传输、暗码等的方式，不在浏览器地址、缓存中有隐私数据，移动互联需要进行协议加密等方式研发，杜绝设计导致的隐私数据泄露。数据分级分类数据分级针对数据的敏感程度或共享范围进行划分，构建合理的数据分级管理体系。数据分类针对数据来源、业务属性、数据类型等进行划分，构建数据的分类管理体系。平台数据越齐全，安全风险也越大，为避免相关用户隐私信息等敏感数据泄露，利用数据处理技术手段，将敏感数据进行屏蔽，包括姓名、身份证、工作单位、职务、手机号、家庭住址等。1、功能设计数据分级分类服务具备以下功能：（1）数据分级分类管理：提供相关管理规定和规范的展示；支持数据敏感级别规则的制定和管理；支持数据资源库、知识库、主题库等分类管理；支持其他分级分规则设定等。（2）数据授权管理：支持对分级分类的数据，按照用户、角色进行授权；支持按照业务角色或类别进行授权。（3）数据分级分类审核：支持分级分类的审核审批管理；经过审批后，平台将根据授权规则提供相应数据访问服务。2、数据分级分类方式（1）要素分类：系统采用人员、事件等要素对主要业务共享结构化信息加以涵盖和抽象。（2）业务性质分类：信息服务类、业务管理类、系统运维类等。（3）敏感等级分类：信息按敏感等级区分（1级、2级、3级、4级）。（4）数据结构分类：按数据结构进行分类，如数据库信息、普通文件、表格等各种内容。物联网安全防护接入控制物联终端设备接入安全，根据安全策略，保障只有被授权的的感知节点（设备）才可以被允许接入。加固内容包括但不限于：（1）对接入的感知节点进行权限分配；（2）重命名或删除默认感知节点，修改默认感知节点的默认口令；（3）及时删除或停用多余的、过期的节点，避免共享节点的存在；（4）授予管理节点所需的最小权限，实现管理节点的权限分离；（5）由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。入侵防范针对物联平台环境的入侵防范，将从终端感知节点及网关节点与平台通信的维度进行处理，防止非法节点或设备连接到平台。加固内容包括但不限于：（1）限制与感知节点通信的目标地址,以避免对陌生地址的攻击行为；（2）限制与网关节点通信的目标地址,以避免对陌生地址的攻击行为；（3）设置访问IP白名单，防止非法IP访问。感知节点设备安全防范应保证感知节点设备上的软件、网关设备、路由节点进行身份唯一性标识及鉴别，确保感知节点设备的安全加固内容包括但不限于：（1）限制只有授权的用户可以对感知节点设备上的软件应用进行配置或变更；（2）对其连接的网关节点设备(包括读卡器)进行身份标识和鉴别；（3）对其连接的其他感知节点设备(包括路由节点)进行身份标识和鉴别。网关节点设备安全防范针对合法连接设备进行标识和鉴别，并确保节点发送数据的合法性验证及关键密钥和配置参数进行在线更新。加固内容包括但不限于：（1）实现对合法连接设备(包括终端节点、路由节点、数据处理中心)进行标识和鉴别；（2）实现过滤非法节点和伪造节点所发送的数据；（3）具备授权用户应能够在设备使用过程中对关键密钥进行在线更新；（4）具备授权用户应能够在设备使用过程中对关键配置参数进行在线更新。抗数据重放应具备数据的最新状态鉴别能力，避免通过修改历史数据进行重放攻击。加固内容包括但不限于：（1）实现鉴别数据的新鲜性,避免历史数据的重放攻击；（2）实现鉴别历史数据的非法修改,避免数据的修改重放攻击。数据融合处理应对来自物联传感网的数据进行数据融合处理,并进行数据标签，使不同种类的数据可以在同一个平台被使用。感知节点设备运维管理为保障终端节点设备的安全及稳定运行，应确保定期巡检对应设备的运行状态，并记录巡检状态记录。