应用系统平台三级等保解决方案

应用系统平台三级等保解决方案V3.0第页应用系统平台三级等保解决方案 目录TOC\o"1-4"\h\z\u1 安全系统设计 42 应用系统安全保护等级定级 43 安全系统建设原则 44 安全防护目标 65 安全防护设计 75.1 XXX网安全防护设计 75.1.1物理层安全 75.1.2网络层安全 85.1.3数据层安全 85.1.4应用层安全 9 nginx缓存机制 9 数据权限控制 9 数据防护机制 11 日志和备份机制 11 系统用户控制 12 系统授权管理 125.2 XXX外网云平台安全防护设计 135.2.1物理层安全 14 机房环境安全 14 基础设施的可用性 145.2.2网络层安全 15 安全域划分 15.1 接入方式 16 VLAN区域划分 16 行为审计系统 17 WEB防火墙 17 漏洞扫描系统 19 入侵防御系统 20 VPN系统 215.2.3主机层安全 225.2.4数据层安全 220 数据库审计 231 数据库安全策略 242 数据库审计安全 253 数据及备份恢复 285.2.5应用层安全 294 WEB应用安全加固 295 nginx缓存机制 306 数据权限控制 307 数据防护机制 318 日志和备份机制 329 多证书安全认证 320 系统用户控制 331 系统授权管理 332 数据传输安全管理 346 安全管理方案 346.1 安全组织体系建设 356.2 安全管理原则 356.3 安全管理与安全服务 376.3.1安全管理制度 376.3.2安全教育和培训 386.3.3安全评估服务 397 APP安全防护和监控 408 应用系统三级等保 40 安全系统设计XXX平台是7×24小时在线运行的系统，牵涉到的部门和企业众多，覆盖地域广，数据处理量大，系统安全问题非常重要，需要制定详细周密的安全制度，建立有效的应急预案和应对工作机制，保障XXX平台的安全稳定运行。根据国家有关管理规范和《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008），系统保护等级确定为三级。本项目云平台是按照等保三级建设的，物理层、网络层、应用层的安全内容完全可以满足本系统的要求。XXX平台信息安全保障综合采用防护、检测、响应和恢复等多种安全措施和手段，覆盖安全保障各个环节，对系统进行动态的、综合的保护，在攻击者成功地破坏了某个保护措施的情况下，其它保护措施仍然能够有效地对系统进行保护。安全体系主要包括安全技术体系和安全管理保障体系和安全容灾体系。应用系统安全保护等级定级根据国家有关管理规范和《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008），应用系统保护等级确定为三级。安全系统建设原则按照《xxxx建设指南》中的“XXX信息网和XXX外网接入系统安全建设”进行设计，在“以需求为导向，以应用为发展，统一规划，共同建设，加强协调，讲究实效，资源共享，安全保密”的指导思想下，遵循以下原则：(1)符合标准的原则安全方案设计将严格遵循电子XXX领域的相关国家标准，以使业务系统建设符合国家相关法规的要求，同时保证系统的开放性。(2)策略性、综合性和整体性建立业务专网安全与统一应用管理平台，需要先制定完整的、一致性的信息安全策略体系，并且将安全策略体系和其他相关策略相协调，建立完整的业务网安全防范体系。(3)系统先进性和实用性原则在保证满足应用系统业务需求的同时，体现出整体系统的先进性。将先进的技术与现有的成熟技术和标准结合起来，充分考虑到省司法厅信息业务应用的现状和未来发展趋势。(4)系统可靠性和稳定性原则整体设计中将选用成熟、高可靠性安全产品，合理设计系统架构，同时制定可靠的备份和容灾策略。(5)系统可扩展性和可伸缩性原则采用模块化、标准化设计，可以根据未来业务性能及安全需求的变化而变化，实现平滑的扩容和升级。(6)系统安全性和可管理性原则综合采用各种先进的安全技术和产品，加上制度和管理的保证，保证XXX平台的安全稳定运行。对于大规模部署的系统，采用集中管理平台，对系统中的网络设备、安全产品、应用软件等进行集中的管理和部署。(7)合理整合的原则对原有的业务系统、网络及安全等设施进行合理整合。尽量减少对原有网络、系统性能的影响。并在安全与性能间作出权衡。(8)需求、风险、成本折衷原则在设计信息系统安全时，要在安全需求、安全风险和安全成本之间进行平衡和折衷。安全防护目标作为增强系统安全防护能力的一项重要措施，等级保护制度是一项综合性的社会系统工程。国家通过制定统一的信息安全等级保护管理规范和技术标准，对网络系统实施基于社会化组织原则的有效管理，而对此，云计算与传统的网络信息系统没有区别，依然需要通过等级保护的方式加以保障。安全防护是个长期持续的工程，依照《信息安全技术-信息系统安全等级保护基本要求》安全要求，本期工程按三级等保要求进行设计，从物理安全、网络安全、主机安全、安全管理制度健全等各方面形成一套有机的安全策略，实现以下安全防护目标。用户数据安全和隐私保护：保证端到端的用户数据完整性、机密性；保护用户数据的隐私性；保障虚拟机镜像文件的安全；业务服务可持续性：保障云计算服务在遭受内部或外部网络攻击时，利用云计算资源的虚拟性和弹性特性，透明地将受损虚拟机和网络连接替换为新的虚拟机和网络连接，及时地控制攻击源对云平台的访问，持续为用户供应服务；安全风险可控制：针对不同服务模式下的安全风险，采用相应的控制措施，将安全风险控制在可接受范围内；安全事件可追溯：当发生安全事件、事故时，能通过虚拟机日志等审计记录，追踪事件发生的全过程，以便于找到导致安全事件的根本原因。安全防护设计XXX网安全防护设计XXX网为SM网，其安全防护采用分级保护制。5.1.1物理层安全本项目由XXX网运维单位负责机房及基础设施安全。保证各种设备的物理安全是整个信息系统安全的前提。该层次的安全主要指物理设备的安全，机房的安全等。包括物理层的软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障等等。保护计算机网络设备、设施及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。5.1.2网络层安全本项目在此区域建设的是XXX网。根据调研，由XXX网运维单位负责安全系统建设。5.1.3数据层安全数据层安全主要从数据存储、数据备份两方面进行安全建设：(1)数据存储在业务系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类，对纯粹数据信息的安全保护，以数据库信息的保护最为典型，而对各种功能文件和应用终端数据安全保护也很重要。(2)数据备份随着信息系统数据量的增长、历史数据对业务的重要性的不断增强，建立和采用全面、可靠、安全和多层次的数据备份以保证在灾难突发时的系统及业务的有效恢复。不同用户对灾难发生后数据的恢复程度有着不同的要求，通常要求越严格，花费越高，一般是按照威胁半径、数据更新要求、恢复时间要求对丢失数据的容忍程度来备份，对数据量大，更新较少的数据采用差异备份，对数据量小，更新较多的数据采用完全备份。5.1.4应用层安全应用层安全的主要目的是保证业务应用系统的信息访问合法性，确保用户根据授权合法地访问数据。nginx缓存机制随着门户规模的变大，访问量提升，门户服务器越来越不堪重负，WEB服务器的缓存有很多中，可以放在数据库和Web应用程序之间，也可以放在Web应用程序和Web服务器之间，还可以放在Web服务器和用户浏览器之间，甚至可以直接放在浏览器端。本项目采用nginx作为页面输出的缓存（页面静态化）的设计方案，可以实现高效透明的缓存机制。Nginx采用基于事件机制的I/O多路复用思想设计，能有效支持高并发情况下用户的访问。数据权限控制（1）功能权限控制功能限制给予国际通用的RBAC(基于权限的访问控制)方式，一个人可以拥有若干角色，每个角色拥有若干功能。人员有调动，更改此人的角色。功能有增加，调整某角色对应的功能。用简单明了且尽可能少的方式进行控制。不但系统本身可以高效鉴权。并且由于它的直观性，可以有效的减少人员操作错误。成员成员1成员2成员3成员4成员5管理员机构审批专员调动审批专员数据交换专员一般登录用户人员维护机构维护人员调动审批日志查看我的待办………………（2）据权限控制严格依照权限控制的数据，所有重要的数据都有一个数据归属的标识。该标识与XXX组织机构的标识一致，为一个13位的文本。该标识拥有严格的格式，上下级之间是包含关系。不同的数据，属于哪个机构，哪些人员有权限操作，可以非常简单直接的判定，保证数据不会扩散。拥有较高权限的成员，一样也不能操作不属于自己相关XXX组织机构的数据。************************************数据防护机制（1）防攻击技术使用统一的数据访问框架，并同一以启用自动高级别数据访问规则，有效的防止SQL注入等攻击手段。严格的信息过滤，不允许可能产生WEB攻击的脚本进入系统(可能会限制部分功能)，使得普通用户的行为的得到规约。提高安全性。（2）数据分离机制数据划分为9地市+市+省直机关，共11个域，需要跨域处理的数据，再通过数据交换中心进行交换。即使某个域管理与操作不当，出现意外，造成较为严重的后果。也不容易蔓延到其他域。日志和备份机制数据变更有一套完善的日志机制，并且该机制和数据交换中心是紧密相连的。所有数据除了原始记录外，变更情况也会被记录，如果出现问题，可以回溯和恢复。数据存在物理备份机制。保证数据的安全性。同时由于数据存在上报。即使XXX外网上数据遭受毁灭性的损失，因为最重要的数据都有上报，可以从XXX工网恢复。系统用户控制按照三员管理的原则，系统设立系统管理员、系统安全管理员和安全审计员。按照业务范畴，系统设立普通监管员和领导角色。系统管理员：负责维护监管系统用户信息、网站注册、配置监管策略。安全管理员：根据不同用户，分别授予访问、查看及操作监管系统中网站注册管理、监管策略配置、通断状态监管、安全状态监测、服务内容监测、访问情况监测、报表管理等部分或全部功能模块的权限。安全审计员：负责审计所有用户的各种操作行为。普通监管员：负责每日监管，关注过程信息，负责处理监管过程的各种事件并向领导汇报。系统授权管理按照三员分立的原则，设立系统管理员、系统安全管理员和安全审计员，将系统的常规管理与安全有关的管理以及审计管理分解管理，并按最小授权原则分别授予它们为完成各自承担任务所需的最小权限，还应在相互间形成制约关系。系统管理员：负责维护监管系统用户信息、配置监管策略等。安全管理员：根据不同用户，分别授予访问、查看及操作监管系统中网站注册管理、监管策略配置、通断状态监管、安全状态监测、服务内容监测、访问情况监测、报表管理等部分或全部功能模块的权限。安全审计员：负责审计系统和安全管理员的各种操作行为。本级应用资源认证和授权管理系统授予监管系统访问本地区已注册门户网站的权限。XXX外网云平台安全防护设计市XXX外网云平台包含三个区域：公共服务区、专网区和互联网区，云平台的架构按照私有云模式并参照等保三级标准进行建设，提供IAAS层的专有安全云服务，IAAS提供的安全服务设备包括：防火墙、入侵检测防御系统、网闸、WEB防火墙、漏洞扫描系统、数据库安全审计系统、堡垒机、服务器云防护、云备份、动态口令及身份认证系统、网页防篡改服务等。基础云安全服务主要面向云平台IaaS基础设施提供安全服务，主要包括安全设备的安全运行、云业务日常开通、巡检以及IaaS故障处理等。本项目在此区域部署的业务系统为XXX“XXX教育管理综合服务平台”，部署在市XXX外网云平台互联网区。5.2.1物理层安全物理安全由云平台提供服务，物理安全包括机房环境安全和基础设施的可用性两部分设计。具体方案如下：机房环境安全物理与环境安全，是指保护云计算平台免遭地震、水灾、火灾等事故以及人为行为导致的破坏。主要措施包括物理位置的正确选择、物理访问控制、防盗窃和防破坏、防雷、防火、防静电、防尘、防电磁干扰等。XXX教育管理综合服务平台将部署在市XXX外网云平台。该机房已严格按照国家相关标准，提供UPS电源、监控等场地设施和周围环境及消防安全，并能满足24小时不间断运行的要求。基础设施的可用性对于数据中心和网络基础，包括核心交换机、骨干线路等采用主备冗余设计，以保证云计算平台的可靠性。骨干线路冗余防护骨干线路冗余防护应符合以下要求：骨干线路或重要的节点与省电子XXX网相连，应有冗余线路和环形路由措施；骨干线路的网络设备应有冗余电源配置，保障线路正常运转。核心设备防雷击措施通信线路骨干线路和核心设备，具备防雷击的措施。5.2.2网络层安全网络安全由云平台提供服务，在XXX教育管理综合服务平台建设云安全防护。安全域划分针对网络内部不同的业务部门及应用系统安全需求，对其进行安全域划分，并按照这些安全功能需求设计和实现相应的安全隔离与保护措施。安全区域的划分主要规定了各个安全区域的重要级别和重点防护对象，同时将各区域之间的安全边界严格制定。本项目结合项目需要，将在XXX外网的互联网区接入区进行部署：互联网接入区：是各级XXX部门通过逻辑隔离手段安全接入互联网的网络区域，满足各级XXX部门公共服务业务应用的需要。平台安全域之间边界策略要求如下：互联网区与专用网络区、公用网络区不允许通信，互联网区与互联网接入区之间需要通过防火墙进行逻辑隔离和IPS进行入侵防护；互联网接入骨干网区和互联网用户接入区之间需要通过防火墙进行逻辑隔离。XXX和XXX支部管理人员直接通过互联网访问XXX外网互联网区。对于有县级以上（含县级）管理员权限的账户，需要通过互联网VPN加密通道访问XXX外网互联网区的管理后台。接入方式考虑到系统的安全性和稳定性，访问接入方式将采用以下二种方式部署：XXX采用互联网直接访问XXX外网云平台XXX教育管理综合服务平台业务系统。省市县乡无XXX外网专线的XXX组织采用互联网VPN方式拨号访问XXX外网云平台XXX教育管理综合服务平台业务系统。VLAN区域划分包括基于端口VLAN以及基于TAG的VLAN都在所有IT架构系统中被广泛使用。XXX外网云计算平通过VLAN隔离不同服务区内不同业务系统的二层网络。对于用于虚拟机管理使用的网络，包括专用网络区、公共网络区、互联网接入区内不同业务系统都需要划分独立的VLAN。本方案使用虚拟化平台，通过在虚拟交换机上对不同虚拟机划分VLAN，在动态迁移过程中，VLANID会随虚拟机一同迁移，从基础网络上保证虚拟机迁移过程的透明化。行为审计系统行为审计系统完善的访问审计和监控功能能够完整记录所有上网活动，有效防止信息通过互联网泄漏，减少内部泄密的行为。具体如下：控制功能：细致的访问控制功能，有效管理用户上网。监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏。审计功能：强大的数据报表中心，提供直观的上网数据统计。带宽及流量管理功能：强大的QOS功能及流量分析。安全准入：实现可信客户端的认证接入，并支持设备处理性能为千兆，提供不少于4个千兆口，支持硬件BYPASS功能，支持透明、路由、旁路等方式部署。WEB防火墙本项目在互联网接入链路上和XXX外网及专线接入链路上分别部署WAF防火墙。在WEB应用服务器前端部署WAF防火墙，防止木马注入、网页防篡改等等攻击行为，确保对WEB应用服务器的安全性、可靠性和稳定性，由于市云平台已部署WAF防火墙，因此可复用市云平台的WAF防火墙。部署防火墙设备，将不同安全区进行有效的隔离，只允许应用端口通过，并对通过的流量进行检测，确保各区域服务器、应用的安全。不同区域的安全级别通过0～100的数字表示，数字越大表示安全级别越高。只有当数据在分属于两个不同安全级别的区域（或区域包含的接口）之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。通过汇聚层防火墙实现对可同一网络区中不同业务系统的安全隔离。针对本项目公共平台具体情况，得到的防火墙的需求包括以下几个方面：先进的安全理念：支持基于安全域的策略设定，让用户能够更好的理解防火墙的应用目的。访问控制：防火墙必须能够实现网络边界的隔离，具有基于状态检测的包过滤功能，能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制，能够实现网络层的内容过滤，支持网络地址转换等功能。高可靠性：由于防火墙是网络中的重要设备，意外的当机都会造成网络的瘫痪，因此防火墙必须是运行稳定，故障率低的系统，并且要求能够实现双机的热备份，实现不间断的网络服务。日志和审计：要求防火墙能够对重要关键资源的使用情况应进行有效的监控，防火墙系统应有较强的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能，同时希望支持第三方的日志软件，实现功能的定制。身份认证：防火墙本身必须支持身份认证的功能，在简单的地方可以实现防火墙本身自带数据库的身份认证，在大型的情况下，可以支持与如RADIUS等认证服务器的结合使用。易管理性：防火墙产品必须支持集中的管理，安全管理员可以在一个地点实现对防火墙的集中管理，策略配置，日志审计等等。系统的安装、配置与管理尽可能的简洁，安装便捷、配置灵活、操作简单。高安全性：作为安全设备，防火墙本身必须具有高安全性，本身没有安全漏洞，不开放服务，可以抵抗各种类型的攻击。针对防火墙保护的服务器的拒绝服务攻击，防火墙可以进行阻挡，并且在阻挡的同时，保证正常业务的不间断。高性能：作为网络的接入设备，防火墙必须具有高性能，不影响原有网络的正常运行。可扩展性：系统的建设必须考虑到未来发展的需要，系统必须具有良好的可扩展性和良好的可升级性。支持标准的IP、IPSEC等国际协议。支持版本的在线升级。易实现性：防火墙可以很好的部署在现有的网络当中，最小改变网络的拓扑结构和应用设计。防火墙要支持动态路由、VLAN协议、H.323协议等。漏洞扫描系统部署漏洞扫描系统，对应用服务器和数据库服务器进行定时的安全扫描，确保在第一时间发现系统和应用存在的漏洞，并第一时间进行系统和应用漏洞的修复，确保对应用服务器和数据库服务器的安全性、可靠性和稳定性，由于市云平台已部署漏洞扫描系统，因此可复用市云平台的漏洞扫描系统。入侵防御系统在边界区域部署IPS，对访问内部应用服务器的流量进行扫描和分析，确保内部应用服务器的安全性和可靠性，由于市云平台已经部署IPS，因此可复用市云平台的IPS。防火墙的功能侧重在于边界划分，边界互访策略的制定，安全控制的颗粒度较大，随着来自互联网动态的、有害的攻击譬如DDoS病毒、特洛伊木马、蠕虫等已经不能通过防火墙的方式譬如UDP端口或者TCP端口的限制来防护，因此我们在XXX平台的核心交换机和防火墙之间配置专用的入侵防御系统IPS。入侵防御系统可以提供多种的部署方式，如SNIFFER方式，采用旁路侦听的模式，可以利用交换机的镜像功能、HUB或者网络TAP，将网络流量复制到IPS系统。同时IPS系统还可以提供多种方式的在线部署，如桥接模式、透明模式、ARP代理模式、路由模式等等，可以根据网络和业务的实际情况，在不改变原有拓扑结构的前提下，对网络进行攻击的阻断。本项目需部署2台入侵防御系统，对网络当中的攻击进行检测，阻断检测到的外部和内部攻击，达到保护网络的目的。入侵防御系统采用桥接模式部署，保障网络的高可用性，当出现单点故障或断电的情况下自动跳转到二层转发（bypass），保证网络的畅通。对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。入侵防御系统安全策略启用如下：蠕虫病毒/DoS/IPSpoofing/应用层漏洞攻击的检测与阻断，确保双向安全；通过入侵防御系统的防病毒模块，实现在IPS层就将大部分病毒查杀；对未知攻击探测及阻断（自学习功能）；流量控制QoS:RateLimit（协议，网段）；实时流量监控，可根据流量大小进行排名，根据病毒或攻击源排名，并自定义规则进行阻断。VPN系统本项目将采购一台VPN设备和一套3A认证平台，部署在XXX外网云平台互联网区内，采用L2TP联动3A认证方式部署，为无XXX外网专线的管理口机构提供VPN拨号方式访问XXX外网云平台XXX教育管理综合服务平台业务系统，实现访问的安全性和可靠性。新增设备清单：序列号项目性能数量1VPN设备整机吞吐率：≥40Gbps;最大并发连接数：≥400万;每秒新建连接数：≥26万;IPSec加密吞吐率：≥1.2Gbps；默认10个SSLVPN并发用户许可，VPN隧道数12000条；123A认证软件账号认证组件，授权1W个认证账号133A认证服务器8核CPU，32G内存，2T硬盘15.2.3主机层安全主机安全方面由云平台提供服务，主要进行操作系统安全策略和防病毒保护，其中：部署漏洞扫描系统，实现系统漏洞和补丁管理；部署防病毒软件。5.2.4数据层安全数据层安全主要从数据存储、数据备份两方面进行安全建设：(1)数据存储在业务系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类，对纯粹数据信息的安全保护，以数据库信息的保护最为典型，而对各种功能文件和应用终端数据安全保护也很重要。(2)数据备份随着信息系统数据量的增长、历史数据对业务的重要性的不断增强，建立和采用全面、可靠、安全和多层次的数据备份以保证在灾难突发时的系统及业务的有效恢复。不同用户对灾难发生后数据的恢复程度有着不同的要求，通常要求越严格，花费越高，一般是按照威胁半径、数据更新要求、恢复时间要求对丢失数据的容忍程度来备份，对数据量大，更新较少的数据采用差异备份，对数据量小，更新较多的数据采用完全备份。数据库审计部署数据库审计系统，对数据库进行安全审计功能，确保数据库的安全性和可靠性，由于市云平台已部署数据库审计系统，因此可复用市云平台的数据库审计系统。数据安全由云平台提供服务，就是要保障存储数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。通常可以将数据类型分为结构化数据、半结构化数据和非结构化数据。对于存在Oracle、MSSQL、MySQL等关系型数据库中的结构化数据，可通过数据库安全审计系统实现数据存取安全；对于半结构化数据和非结构化数据可通过数据加密实现数据安全。云计算平台配备安全代理服务器、PKI应用服务器，结合CA中心颁发的数字证书可以实现应用数据的加解密，保障接口数据的安全。其中：制定数据库安全策略；部署数据库审计系统；部署安全代理服务器。数据库安全策略由于涉及的数据库和数据库管理系统服务器较多，数据量庞大，用户种类和权限各异，这就要求加强对整个数据库的安全策略设计。数据库安全主要采用两方面策略，一方面是安全级别和安全控制策略，另一方面是建立数据备份机制。安全级别和安全控制策略加强行政管理，既要保证整个系统的稳定可靠运行，还要加强保密管理，严禁泄露超级用户密码、各级业务系统的操作员密码，严禁随意更改用户的权限，严禁更改数据信息和管理信息；用户分组管理，权限分级规划，方便用户的权限更改；加强数据库日志管理，及时检查用户操作日志严防非法登陆；权限管理必须集中，必须使用专用软件进行管理，严管权限管理软件的发放，安装完后，收回母盘，软件安装后，保证拷贝不能用；定期打印和检查数据库的权限报告。数据备份机制数据备份涉及两种类型的备份内容：系统中关键应用系统及运行的操作系统的备份；系统中数据的备份。对于应用软件及系统软件的备份恢复，由于应用及系统软件稳定性较高，可采用一次性的全备份，以防止当系统遭到任何程度的破坏，都可以方便快速地将原来的系统恢复出来。对于数据的备份，由于数据的不稳定性，可分别采用定期全备份、差分备份、按需备份和增量备份的策略，来保证数据的安全。配置数据备份系统，以实现本地关键系统和重要数据的备份。数据库审计安全数据库系统及其数据是IT系统中的核心资产，应用系统操作的本质是基于数据库的操作，数据库系统的安全性受到各单位日益重视。面对目前数据库和应用系统在逻辑和技术上层出不穷的安全漏洞，以及管理层制定的监督管理制度缺乏有效执行保障的现状，云计算平台将建立完善的数据库安全审计平台，从根本上杜绝任何技术手段或违规操作对数据的非法获取和篡改。数据库安全审计系统通过监听方式，实时第三方获取、保留网络中所有数据库用户端和服务器间的用户对数据库系统的访问操作，对各种违规行为或高危行为进行综合审计，并以通知、报表形式提交给安全管理人员，真正实现对数据库资源的有效管理。数据库系统主要存在以下几种安全风险，缺乏监控手段和追查依据。非授权访问数据库，内部或外部用户绕过表现层、应用层(中间处理层)，对数据服务层进行非授权的直接访问，如直接非法获取数据库数据。非法修改和删除数据库数据，如发生绕过应用系统，直接对数据库应用系统数据进行非法修改和删除，破坏关键应用数据，将导致业务的疏漏、混乱、停顿甚至直接造成机密信息泄露，甚至导致直接经济损失。非授权调整数据库配置，数据库系统的合理配置是保证数据库正常运行的基本条件，如发生管理员或入侵者非授权调整数据库配置，造成数据库系统异常，审计系统应提供有效的配置操作记录。异常数据库权限管理，正常运行的应用系统极少需要进行数据库用户权限调整，入侵者可通过赋予普通用户特殊的权限来建立系统的后门。数据库敏感数据访问跟踪，非正常用途情况下对数据库中的特定敏感数据如用户资料、XXX内部文件等数据访问。云计算平台除了通过身份认证系统提供的用户身份认证、用户访问权限控制外，还为数据库配置数据库审计系统，有效应对上面数据库安全风险。非授权访问数据库内部或外部用户绕过表现层、应用层(中间处理层)，对数据服务层进行非授权的直接访问，如直接非法获取数据库数据。绝大多数应用系统（包括C/S应用及内部B/S系统）都没有考虑到因为管理、应用层或数据库漏洞导致黑客或者内部非授权用户非法访问数据库的巨大风险，这是架设防火墙也无法解决的问题。管理员无法主动发现数据库里的机密信息是否已被泄露。非法修改和删除数据库数据如发生绕过应用系统，直接对数据库应用系统数据进行非法修改和删除，破坏关键应用数据，将导致业务的疏漏、混乱、停顿甚至直接造成机密信息泄露，甚至导致直接经济损失。非授权调整数据库配置数据库系统的合理配置是保证数据库正常运行的基本条件，如发生管理员或入侵者非授权调整数据库配置，造成数据库系统异常，审计系统应提供有效的配置操作记录。异常数据库权限管理正常运行的应用系统极少需要进行数据库用户权限调整，入侵者可通过赋予普通用户特殊的权限来建立系统的后门。数据库敏感数据访问跟踪非正常用途情况下对数据库中的特定敏感数据如客户资料、XXX内部文件等数据访问。云计算平台除了通过身份认证系统提供的用户身份认证、用户访问权限控制外，还为数据库配置数据库审计系统，有效应对上面数据库安全风险。数据库安全审计系统可以旁路部署在数据库接入交换机上，监视并记录对数据库服务器的各类操作行为，在交换机上将需要监控的数据库系统连接端口镜像到数据库审计系统上进行分析。数据及备份恢复首先，使用数据库自身的备份机制，可以通过“热备份”技术，可对7*24不间断的应用服务的数据进行自动的定时备份，备份时需选择非业务高峰期的时间点进行。在出现数据异常时，可直接利用数据库的数据恢复技术，直接进行时间点的恢复。该技术主要可应对库内数据异常、数据错误操作的场合。其次，考虑统一建设数据备份点和备份系统，并提倡互为备份，提供两地数据灾难备份服务。备份系统设计应遵循以下的原则：安全性原则：在方案设计上充分保证系统的安全性和高可用性。备份服务器可以确保按计划成功实施备份，若备份失败则有警告和自动重试功能，确保有限时间内再次备份成功。备份数据存储在可靠的介质上，数据能被正确恢复。备份时点选择和备份过程对现有的生产系统的影响减至最低。同时，备份存储管理软件安全性能应在数据的传输，全寿命周期管理和应用存储系统管理员和操作员各个层次得到体现。可管理性与系统高效原则：为保证数据存储的可管理性，减少管理的复杂性。采用先进的备份技术和先进的备份系统软件，采用统一的管理机制，保证大数据量的一致性备份和高速切换。必须提供高效的存储设备的管理能力和数据备份功能。可扩展性原则：存储管理软件需采用先进技术，以利于整个系统的平滑升级。同时，必须考虑到今后存储环境的变化和灾难恢复系统建立的需要。系统完整性原则：作为数据存储系统的组成部分，本系统的各项设计从整体考虑，协调各子系统构成完整的数据存储管理系统。系统成熟性原则：存储管理软件必须稳定可靠，不能存在单点故障。投资有效原则：系统方案应具有高性能价格比，具有较高实用性。5.2.5应用层安全应用层安全的主要目的是保证业务应用系统的信息访问合法性，确保用户根据授权合法地访问数据。WEB应用安全加固云计算服务推动了Internet的Web化趋势。与传统的操作系统、数据库、C/S系统的安全漏洞相对，多用户、虚拟化、动态、业务逻辑服务复杂、用户参与等，这些web2.0和云服务的特点，对网络安全来说意味着巨大的挑战，甚至面临灾难性威胁。因此，在云计算中，对于应用安全，尤其需要注意的是web应用安全。Web系统漏洞层出不穷，主要包括两个方面。一是web应用漏洞，即web应用层的各项漏洞，包括web应用主流的安全漏洞、网页挂马、恶意代码利用的漏洞等；二是web代码漏洞，即web应用系统在开发阶段遗留下来的代码漏洞，包括SQL注入漏洞、跨站脚本漏洞、CGI漏洞和无效链接等。云计算平台SaaS应用在开发之处，充分考虑到安全性，制定并遵循适合SaaS模式的SDL(安全开发生命周期)规范和流程，从整个生命周期上去考虑应用安全。对于web应用系统，其防护是一个复杂问题，包括应对网页篡改、DDoS攻击、导致系统可用性问题的其他类型黑客攻击等各种措施；云计算平台采用的技术防护措施有身份认证访问控制、web应用配置加固、漏洞管理等。nginx缓存机制随着网站规模的变大，访问量提升，网站服务器越来越不堪重负，WEB服务器的缓存有很多中，可以放在数据库和Web应用程序之间，也可以放在Web应用程序和Web服务器之间，还可以放在Web服务器和用户浏览器之间，甚至可以直接放在浏览器端。本项目采用nginx作为页面输出的缓存（页面静态化）的设计方案，可以实现高效透明的缓存机制。Nginx采用基于事件机制的I/O多路复用思想设计，能有效支持高并发情况下用户的访问。数据权限控制（1）功能权限控制功能限制给予国际通用的RBAC(基于权限的访问控制)方式，一个人可以拥有若干角色，每个角色拥有若干功能。人员有调动，更改此人的角色。功能有增加，调整某角色对应的功能。用简单明了且尽可能少的方式进行控制。不但系统本身可以高效鉴权。并且由于它的直观性，可以有效的减少人员操作错误。（2）据权限控制严格依照权限控制的数据，所有重要的数据都有一个数据归属的标识。该标识与XXX组织机构的标识一致，为一个13位的文本。该标识拥有严格的格式，上下级之间是包含关系。不同的数据，属于哪个机构，哪些人员有权限操作，可以非常简单直接的判定，保证数据不会扩散。拥有较高权限的成员，一样也不能操作不属于自己相关XXX组织机构的数据。数据防护机制（1）防攻击技术使用统一的数据访问框架，并同一以启用自动高级别数据访问规则，有效的防止SQL注入等攻击手段。严格的信息过滤，不允许可能产生WEB攻击的脚本进入系统(可能会限制部分功能)，使得普通用户的行为的得到规约。提高安全性。（2）数据分离机制数据划分为9地市+市+省直机关，共11个域，需要跨域处理的数据，再通过数据交换中心进行交换。即使某个域管理与操作不当，出现意外，造成较为严重的后果。也不容易蔓延到其他域。日志和备份机制数据变更有一套完善的日志机制，并且该机制和数据交换中心是紧密相连的。所有数据除了原始记录外，变更情况也会被记录，如果出现问题，可以回溯和恢复。数据存在物理备份机制。保证数据的安全性。同时由于数据存在上报。即使XXX外网上数据遭受毁灭性的损失，因为最重要的数据都有上报，可以从XXX工网恢复。多证书安全认证多证书安全认证是指通过统一的安全认证服务，为XXX和基层XXX组织手中持有的多种数字证书提供安全认证。通过多证书应用客户端软件来支持USBKey数字证书为用户提供的数字证书。（1）安全认证示意：（2）安全认证流程：用户登录XXX教育管理综合服务平台；将持有的数字证书设备（USBKey、数字证书）接入计算机，输入正确的数字证书启动口令；点击XXX教育管理综合服务平台上的“安全登录”按钮；应用系统将用户登录请求指向到安全认证服务器；安全认证服务器验证用户数字证书的有效性。如果验证不通过则拒绝用户登录，如果验证通过则将验证结果发送给应用系统；应用系统根据安全认证服务器的验证结果，取得验证结果中的数字证书信息。根据数字证书信息判断用户身份，并将用户登录到应用系统。系统用户控制按照三员管理的原则，系统设立系统管理员、系统安全管理员和安全审计员。按照业务范畴，系统设立普通监管员和领导角色。系统管理员：负责维护监管系统用户信息、网站注册、配置监管策略。安全管理员：根据不同用户，分别授予访问、查看及操作监管系统中网站注册管理、监管策略配置、通断状态监管、安全状态监测、服务内容监测、访问情况监测、报表管理等部分或全部功能模块的权限。安全审计员：负责审计所有用户的各种操作行为。普通监管员：负责每日监管，关注过程信息，负责处理监管过程的各种事件并向领导汇报。系统授权管理按照三员分立的原则，设立系统管理员、系统安全管理员和安全审计员，将系统的常规管理与安全有关的管理以及审计管理分解管理，并按最小授权原则分别授予它们为完成各自承担任务所需的最小权限，还应在相互间形成制约关系。系统管理员：负责维护监管系统用户信息、配置监管策略等。安全管理员：根据不同用户，分别授予访问、查看及操作监管系统中网站注册管理、监管策略配置、通断状态监管、安全状态监测、服务内容监测、访问情况监测、报表管理等部分或全部功能模块的权限。安全审计员：负责审计系统和安全管理员的各种操作行为。本级应用资源认证和授权管理系统授予监管系统访问本地区已注册门户网站的权限。数据传输安全管理客户以https的方式访问主机系统管理平台，从而保证了数据传输的安全性。安全管理方案管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。XXX平台安全组织体系建设为实现统一领导和分级管理的原则，安全管理必须设立专门的管理机构，配备相应的安全管理人员，并实行“第一把手”责任制。XXX平台的安全管理机构，将根据国家的有关信息网络安全的法规、方针、政策等，承担所属系统的各项安全管理工作，具体为：拟定并组织实施所属计算机信息系统安全管理的各项规章制度；监督、指导所属计算机信息系统安全保护工作，定期组织检查计算机信息系统安全运行情况，及时排除各种安全隐患；贯彻国家安全主管部门的规章制度和要求，组织落实安全技术措施，保障计算机信息系统的运行安全；组织宣传计算机信息系统安全方面的法律、法规和有关政策，开展计算机信息系统的安全培训和教育；负责联系和协调所属计算机信息系统的各项安全工作；在结合现有组织和人员配置情况下，组织结构及岗位职责设置要充分体现统一领导和分级管理的原则，主要内容包括：管理机构的建立，管理机构的职能、权限划分，人员岗位、数量、职责定义。安全管理原则多人负责原则每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动：信息处理系统使用的媒介发放与回收；处理保密信息；硬件和软件的维护；系统软件的设计、实现和修改；重要程序和数据的删除和销毁等。任期有限原则一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开。敏感资料的接收和传送；安全管理和系统管理；应用程序和系统程序的编制；计算机操作与信息处理系统使用媒介的保管等。

安全管理与安全服务6.3.1安全管理制度安全管理制度是保证网络系统安全的基础，需要通过一系列规章制度的实施，来确保各类人员按照规定的职责行事，做到各行其职、各负其责，避免责任事故的发生和防止恶意的侵犯。安全管理制度包括：安全技术规范、人员安全管理制度、设备安全管理制度、运行安全管理制度、安全操作管理制度、安全等级保护制度、有害数据防治管理制度、敏感数据保护制度、安全技术保障制度、安全计划管理制度等。安全技术规范包括：日常操作管理办法(针对网络安全管理员)安全事件的分析主要集中在网络安全管理员，因此日常操作规范主要是对不同级别安全管理员的日常工作职责、内容、操作流程所做的规定，从而实现安全防护的程序化和统一化管理。安全策略配置管理办法根据安全问题潜在环境的差异和对环境关注程度的不同，选择相应的网络安全策略是网络安全建设非常重要的一步，突出重点、兼顾一般的策略配置能够降低风险。数据备份管理办法鉴于重要的数据文件存在着对文件破坏后难以恢复性的特点，出于对数据安全性、可恢复性的考虑，必须适时的进行数据备份，以实现安全防范的目的，同时能够提高遭破坏后的数据恢复速度。更重要的是对备份数据是否存在安全隐患，确保备份数据的真正安全可靠，这是数据备份管理规范区别于传统数据备份的重大区别所在。攻击事件预警管理办法预警是对出现攻击事件的报警，其主要内容包括：安全事件报警形式(电子邮件、LAN即时消息等)、预警结果传送渠道、预警结果的处理。日志管理办法(针对网络安全管理员)日志是软件对安全防护系统工作运行结果进行的记录，是管理员进行统计分析和发现问题的一种方式。其主要内容包括：日志生成、统计分析、重要情况通报。定期报告办法把安全事件等情况向相关领导逐级进行定期或不定期的总结统计汇报，为领导决策提供依据。其主要内容包括：报告形式、报告对象、报告程序及频率、报告内容。6.3.2安全教育和培训为了将安全隐患减少到最低，需要对安全管理员进行专业性的安全技术培训，提高用户的安全意识和技术防范水平，确保网络系统的安全运行。安全巡检服务安全专项巡检是针对最新的安全风险（如：网络安全、应用安全、病毒、木马、arp攻击、机器狗等），和各类安全管理问题（如弱口令等）进行专项的检查，针对所有的系统进行完整的、全面的巡查，排除风险。巡检方式对指定的业务系统进行巡检，提供专项检查工具、脚本、方法，并指导协助系统维护人员进行检查。巡检内容描述针对以下重点的安全风险进行专项检查：WEB服务安全配置专项检查弱口令安全专项检查（操作系统、应用、数据库等）、操作系统、应用系统补丁检查Arp攻击安全检查操作系统配置脆弱性专项检查每年执行两次安全风险专项巡检，根据最新的安全风险制定专项巡检内容。6.3.3安全评估服务安全评估服务是利用各种主流的攻击技术对网络做模拟攻击测试，以发现系统中的安全漏洞和风险点。从攻击者的角度将有助于发现并识别出一些隐性存在的安全漏洞和风险点，从收益的角度来说，尤而在进行安全项目之前进行渗透测试，信息系统主管可以对信息系统的安全性得到较深的感性认知，有助于进行后续的工作。在进行了安全项目之后进行渗透测试，则可以用于验证经过安全保护后的网络是否真的达到了安全目标。应用系统渗透测试完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。APP安全防护和监控通过代码混淆技术、APP下载唯一入口等方式增强APP应用系统的安全防护。用户实名制，对课程的评论、问题、微博等交互性内容，系统统一记录在后台；对用户评论、问题答疑、微博等进行关键字过滤；对部分课程的讨论等可以开启审核机制，问题只有经过后台管理员的审核才能显示。运营管理人员对后台巡查制，发现非法言论，及时删除，并追究相关发贴人。应用系统三级等保分类子类等保安全要求平台安全实现应用安全身份鉴别1.应提供专用的登录控制模块对登录用户进行身份标识和鉴别2.提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；3.对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；4.提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；5.启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。平台通过UserCenter实现对登陆用户的身份唯一识别和鉴定，并可配置安全策略，限制非法登陆，具体采用了账号密码和mactoken协议机制。访问控制1.应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；2.访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；3.应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；4.授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。5.具有对重要信息资源设置敏感标记的功能。6.依据安全策略严格控制用户对有敏感标记重要信息资源的操作。1.在线学习教育及移动互联网应用系统平台分别内建访问控制功能，根据不同用户级别、权限并根据安全策略控制用户对文件、数据库表的访问，同时采用最小权限原则，所有操作均需认证鉴权。2.对重要信息和敏感数据进行安全加密，并根据安全策略记录对敏感数据进行的操作。安全审计1.覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；2.提供对审计记录数据进行统计、查询、分析及生成审计报表的功能；3.审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；4.提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。平台独立部署ELK数据分析系统，在服务器上部署ELK客户端，用于应用访问日志、应用事件、用户异常等重要的安全相关事件的记录、分析、告警，并根据需要生成审计报表。通信完整性采用密码技术保证通信过程中数据的完整性采用SSL技术保证通信过程中数据的完整性。通信保密性应对通信过程中的整个报文或会话过程进行加密通过HTTPS、SSL技术对通信过程中的整个报文或会话过程进行加密软件容错1.应提供数据有效性检验功能，保证通过人机接口输入，或通过通信接口输入的数据格式或长度符合系统设定要求；2