2025年信息系统安全防护方案

附件3

XX系统信息安全防护方案

申请部门:

申请日期：.

目录

目录....................................................................1

1系统概述.................................................................3

1.1系统概览...........................................................3

1.2总体布署构造......................................................3

1.3系统安全保护等级..................................................4

1.4责任主体...........................................................4

2方案目的.................................................................4

2.1防护原则4

2.2防护目的..........................................................4

3防护方法................................................................5

3.1总体防护架构.......................................................5

3.2物理安全...........................................................6

3.3边界安全...........................................................8

3.3.1边界描述.....................................................8

3.3.2边界安全.....................................................8

3.4应用安全..........................................................10

3.5数据安全..........................................................13

3.6主机安全.........................................................14

3.6.1操作系统安全................................................14

3.6.2数据库系统安全..............................................15

3.7网络安全16

3.7.1网络设备安全................................................16

3.7.2网络通道安全................................................17

3.8终端安全..........................................................17

3.8.1移动作业终端................................................17

3.8.2信息采集类终端..............................................18

3.8.3办公类终端..................................................19

3.8.4其它业务终端................................................20

1

系统概述

1.1系统概览

本次XX系统需强化信息安全防护，贯彻信息安全法有关规定，满足

国家、国网公司的信息安全有关规定，不发生各类信息安全事件，确保研

发的软件在安全防护方面达成国家信息化安全等级保护的有关规定，保障

数据和业务安全。下列没有特别阐明，均特指XX系统建设的方案和为容。

本系统系统含有下列功效：

功效模块一：XXXXXXXXXXXXXXXX

功效模块二：XXXXXXXXXXXXXX

本方案不涉及：

(1)物理安全防护建设。由于本系统的服务器布署在XX公司现有的

数据中心机房，完全满足三级系统的物理安全防护需求。对本系统的物理

安全防护方法可参考机房现有的物理安全防护方法执行，不需要采用额外

的防护方法。因此本方案不再对此进行描述。

1.2总体布署构造

XX公司布署

1.3系统安全保护等级

XX系统安全保护等级为二级。

1.4责任主体

XX单位负责组织系统建设、制订系统安全防护技术方法及系统、网络、

主机、办公类终端的安全运维管理。

2方案目的

2.1防护原则

XX系统信息安全防护根据GB/T22239-《信息安全技术信息系统安全

等级保护基本规定》对系统的物理安全、边界安全、网络安全、主机安全、

终端安全、应用安全及数据安全进行安全防护设计，最大程度保障系统的

安全、可靠和稳定的运行。

2.2防护目的

（1）保障系统安全可靠运行，满足国家信息安全保护规定；

（2）确保系统数据安全可靠接入公司信息网络，确保系统数据不被

篡改；

（3）保障系统与其它系统之间数据交互和存储的机密性、完整性和

安全性，对数据访问进行严格的控制，避免越权或滥用；

（4）保障系统应用安全，杜绝仿冒顾客、敏感信息泄露、非授权访

问、病毒攻击等。

3防护方法

3.1总体防护架构

本方案设计思路是基于项目的总体安全规定、安全原则，在已有安全

方法的基础上，结合现在安全原则进行安全层次划分，给出每层次的安全

防护方略，并基于P2DR模型办法进行总体分析从而形成安全方案的层次

设计，以下图

如上图所示，本项目安全层次结合项目实际状况，在安全分析基础上

按照《信息系统安全防护总体方案》、《信息系统安全等级保护定级工作指

导意见》、中的安全原则规范等进行设计，并用P2DR模型办法从对安全从

方略(Policy)、防护(Protection)^检测(Detection)和响应(Response)

四个方面进行了分析，在动态防备中做到尽量增加保护时间，尽量减少检

测时间和响应时间。

(1)物理层防护3确保物理设备及基础运行环境不受故意或无意破

坏的防护方法，确保设备的运行安全。

（2）网络层防护，确保系统各网络区域间的隔离防护采用的访问控

制、入侵检测及防御、防火墙等方法。

（3）系统层防护,确保主机系统安全的系统安全扫描及修复、主机

入侵检测及病毒防备等方法。

（4）数据层防护。确保系统数据在存储及应用时的安全性。

（5）应用层防护，确保系统本身的安全，涉及使用过程和成果的安

全性，应从顾客身份、权限等方面确保核心业务操作的安全性。

（6）安全管理规范。需要通过一系列规章制度的实施，来确保各类

人员按照规定的职责行事，做到各行其责、避免责任事故的发生，避免恶

意的侵犯。

3.2物理安全

物理安全防护的重要目的是使服务器、网络设备、信息系统设备和存

储介质免受物理环境损害、自然灾害以及人为的操作失误和恶意损害等。

系统布署于XX公司机房，机房选址、装修满足下列安全规定：

与否遵从

安全规定实现方式及方法

/不涉及

•机房周边严禁用水设备穿过。

•机房所在的建筑物含有防震、防风和防雨等自然灾害的能

力。

机房位置

遵从・机房电力稳定可靠，用电负荷等级及供电规定按GB

选择

50052-1995的规定执行，符合国家机房设计规范中机房照明

原则及消防安全规定。

•机房出入口通道，机房的安全出口，不少于两个（总部）。

•进出机房需通过授权审批流程，并对人员进入机房后的活动

进行控制。

机房出入

遵从•按照设备机房、人员操作间划分机房物理区域；按网络、主

控制

机、存储的设备类别放置不同机柜。（总部）

•机房布署门禁系统，进出机房需使用IC卡；机房门票IC卡

与否遵从

安全规定实现方式及方法

/不涉及

含有不同权限。进出日志（进出时间，人员身份）保存在机

房监控系统内。（总部）

•重要设备放置在机房内。

•设备或重要部件进行固定，并设立明显的不易除去的标记。

防盗窃和•电力线缆、通信线缆采用架空桥架走线。

遵从

防破坏♦对介质进行分类标记，磁介质放在介质库、纸介质统一归档

寄存档案柜。

・机房核心区域安装视频摄像头、红外线感应装置。（总部）

♦机房建筑配备了防雷、避雷装置。

防雷击遵从•机房设立交流电源地线。

♦机房设立防雷保安器，避免感应雷。（总部）

•机房采用火灾温感烟感报警系统，配备七氟丙烷自动气体灭

火装置。

防火遵从

•机房采用耐火的建筑材料。（总部）

•设立重点防火区域，实施隔离防火。（总部）

•机房避开水源，室内水管采用两套管的方式。

防水和防

遵从•在核心节点布署漏水检测设备。（总部）

潮

♦机房墙壁和层顶通过防渗解决。

•机房均铺设了防静电地板。（总部）

♦机柜及重要设备安全接地。

防静电遵从

•机房采用静电消除器避免静电产生。（总部）

・恒温恒湿空调避免空气干燥产生静电。（总部）

温度、湿度•采用精密空调对温湿度进行自动控制，温度控制在22±1度，

遵从

控制湿度控制在40%"60%o

•在机房供电线路上配备稳压器和过电压防护设备，电力控制

在10%以内的波动范畴，并采用稳压器和过电保护装置控制

电力波动。

电力供应遵从•提供短期的备用电力供应，满足重要设备在断电状况下的正

常运行规定。

•设立冗余或并行的电力电缆线路为计算机系统供电v（总部）

•建立备用供电系统。（总部）

电磁防护遵从•采用接地方式避免外界电磁干扰和设备寄生耦合干扰。（总

与否遵从

安全规定实现方式及方法

/不涉及

部）

•电源线和通信线缆隔离铺设，避免互相干扰。

•对核心设备和磁介质实施电磁屏蔽。（总部）

3.3边界安全

3.3.1边界描述

系统边界类型涉及：信息内网横向域间边界、信息内网纵向域间边界

二类。

边界类型边界描述数据流分析

•数据类型：指标信息

信息内网横向域间信息内网网站与其它专•数据格式：XML格式

边界业系统之间的边界•数据流向：单向流动

•实时性：定时传输

•数据类型：新闻数据

信息内网纵向域间信息内网省公司、地市公•数据格式：XML格式

边界司之间的系统边界•数据流向：双向流动

・实时性：实时传输

3.3.2边界安全

与否遵从/

边界类型安全规定实现方式及方法

不涉及

•网络访问控制

信息内网第

•网络入侵检测不涉及无

三方边界

•日志统计与审计

与否遵从/

边界类型安全规定实现方式及方法

不涉及

对于采用无线通道

或第三方线路接入

公司内网应遵照：

•接入终端身份认

不涉及无

证

•终端安全准入

•数据安全交换

•业务访问控制

•网络访问控制

•网络入侵检测不涉及无

•日志统计与审计

•对外公布服务的

信息外网第web页面内容安不涉及无

三方边界全、病毒防备

远程办公及系统远

程维护规定：

•设备采用安全接入

不涉及无

方式

・远程顾客接入身份

认证

信息内网横•网络访问控制

不涉及无

向域边界•网络入侵检测

信息内外网•逻辑强隔离

不涉及无

边界•网络入侵检测

•网络访问控制

信息内网纵

•网络入侵检测不涉及无

向边界

•边界流量监测

3.4应用安全

本系统的应用层安全是从系统应用层面确保信息被安全地传输和使

用，在本层采用的手段普通有：身份认证、授权、输入输出验证、配备管

理、会话管理、加密技术、参数操作、异常管理等。

与否遵从/

安全规定实现方式及方法

不涉及

，对系统顾客采用顾客名、口令认证等方式进行认证，顾

客口令不得以明文方式出现在程序及配备文献中；

通过Base64将顾客密码存储在数据库中；

不在cookie中保存登录密码，当浏览器被关闭后全部的

认证信息均被销毁；

采用Base64密文传输顾客登录信息及身份凭证：

密码长度下限不少于8位，上限不低于20位；大小写字

身份认证遵从

母、数字和符号混合；

按照《应用软件通用安全规定》增设口令复杂度检测功

效，口令复杂度功效检测模块按《信息系统口令管理规

定》进行设计；

设计统一错误提示页面；

持续3次输入密码失败，锁定顾客账户，直至管理员手

工解锁；

采用基于角色访问控制模型控制访问权限，提供访问控

制功效，根据安全方略控制顾客对文献、数据库表等客

体的访问；

授权遵从访问控制的覆盖范畴应涉及与资源访问有关的主体、客

体及他们之前的操作；

应授予不同账户为完毕各自承当任务所需要的最小权

限，并在他们之间形成互相制约的关系。

系统通过过滤器对URL的请求参数以及表单的GET、POST

等数据中包含javascript脚本等非法字符进行过滤；

输入输出输入输出方略方面提供GET数据、POST数据验证格式，

遵从

验证其它由WEBSERVTCE框架脸证；

对输入内容进行规范化解决后再进行验证，如文献途径、

URL地址等；

与否遵从/

安全规定实现方式及方法

不涉及

在服务器端和客户端都进行输入验证；

系统业务功效基于一定的正则体现式进行输入验证，以

满足不同场景的需要；

系统对顾客登录等过程中的输入进行特殊字符的检测，

涉及：阜引号、1=1、or等，避免SQL注入攻击。

使用基于角色的授权方略控制配备管理角色，控制配备

权限粒度，配备管理功效只能由通过授权的操作员和管

理员访问；

配备使用最少特权进程和服务帐户，各项配备信息对非

管理员账户不可读；

配备管理界面只能从本地登录，配合服务端的业务逻辑

检查，通过强认证检查控制后方可配备；

配备管理遵从严禁通过web页面直接浏览服务端的目录和文献；

制订严格的配备变更管理流程，系统核心信息例如数据

库连接、运行参数、模板信息等发生配备变更时，需由

有关负责人进行审批确认；

设立配备信息的保存及版本控制规则，避免发生版本丢

失或混淆；

数据库连接、系统运行参数等配备交由中间件进行统一

管理，模板配备信息进行加密存储。

当登录成功后去除旧的会话创立新会话；

顾客登录成功后创立新的会话，会话ID以随机36位GUID

保存在系统中，绑定现在TP地址、机器名等信息；

将会话认证信息和会话使用期等会话数据保存在服务

端，避免非法访问，并进行严格的输入数据验证，避免

非法篡改；

会话管理遵从

采用Base64加密解决睬话数据；

采用Base64密文传输顾客登录信息及身份凭证；

仅允许使用HTTPPOST方式进行会话令牌提交，并且对

Cookie和HTTP的有关属性进行了安全设立；

顾客登录后界面提供登出、注销功效；

顾客注销或关闭浏览器后，服务端自动去除顾客会话；

与否遵从/

安全规定实现方式及方法

不涉及

当顾客登出或关闭浏览器的时候，系统会提示顾客并彻

底去除会话信息，确保会话的安全终止；

设立会话存活时间为15分钟，超时后自动销毁顾客会话，

删除会话信息；

在程序中判断当通信双方中的一方在一段时间内未作任

何响应，另一方能够自动结束会话；

系统可设立最大并发会话连接数量，可对单个账号的多

重并发会话进行限制。

密码通过Base64加密保存，使用168位密钥长度；

报文采用HTTPS安全合同传输；

加密技术遵从

敏感数据采用Base64（168位密钥长度）算法加密保存

和传输。

对输入参数进行严格验证，避免使用包含敏感数据或者

影响服务器安全逻辑的查询字符串参数；

使用会话凭证和账户IP来标记客户端，并在业务加载的

过程中将敏感信息加载到会话内存中使用，不直接传输

到客户端；

参数操作遵从

仅使用HTTPPOST方式提交页面表单；

避免使用GET方式进行信息提交，避免顾客请求数据明

文出现在URL；

对客户端输入信息进行格式化、客户端验证、服务端验

证等多重检查，并且控制敏感参数只能从服务端获取。

基于统一的出错页面，向服务或应用程序的客户发送最

少量的异常信息，如普通性错误消息和自定义错误日志

异常管理遵从TD；

程序发生异常时，将在日志中统计具体的错误消息；

对全部异常信息均统计具体日志。

日志与对顾客的核心操作进行审计操作；

遵从

审计敏感数据强制审计，非敏感数据通过配备方式来启动审

计功效；

日志与

遵从根据具体需要可配备审计日志的统计格式；

审计

支持系统的启动和停止审计、登录信息审计、顾客密码

与否遵从/

安全规定实现方式及方法

不涉及

变更审计、系统账户操作审计、顾客操作敏感数据的审

计；

•审计统计的内容最少涉及事件日期、时间、发起者信息、

类型、描述和成果等；

•审计日志存储业务日志直接写进数据库，日志保存期限

可配备，若检测到有过期日志生成警报日志；

•系统无法删除、修改或覆盖审计统计

•与本系统交互的系统涉及营销SG816系统；

•基于XML格式的构造化数据，通过WebService方式传输；

应用交互

遵从•通过省级公司服务总线（ESB）对接口服务进行管理；

安全

•按日期将业务系统使用过程中输入输出、错误等进行存

3.5数据安全

本系统级敏感数据包含：采集弱口令、系统配备信息。业务级敏感数

据包含本系统从用电信息采集系统、营销业务应用系统中获取的用电顾客

的档案、用电量等，从数据存储安全、数据传输安全和数据备份安全等方

面进行数据安全防护。

与否遵从/

安全规定实现方式及方法

不涉及

•顾客口令信息采用Base64算法解决后，在数据库中加密

存储；

•不在客户端做任何形式的存储；

数据存储

遵从•系统配备信息存储在专用配备文献中，采用DES加密后

安全

存储；

•使用数据库表的形式存储接口汇总数据，数据库服务器

采用双机RAC布署拓扑。

•顾客口令信息采用Base64加密算法解决后进行传输；

数据传输•系统配备信息传输过程中需要确保数据的完整性，使用

遵从

安全DES加密算法解决；

•通信合同采用原则的HTTPvl.1合同方式，使用加密技

术对传输的敏感信息进行机密性保护。

数据备份•实时备份（有修改即备份）；

遵从

安全•定时备份（增量备份）。

3.6主机安全

主机安全重要涉及了操作系统安全和数据库安全防护方案。

对服务器的操作系统进行安全防护，重要涉及安全加固，设立有关安

全方略、安装补丁以消除系统层面的安全漏洞，同时，按照权限最小原则

设立系统权限，合理的设立系统顾客。

本系统采用Oracle数据库，针对Oracle故障、数据丢失损坏风险，

重要在身份认证、访问控制、漏洞扫描、安全审计方面上加强了对应方法。

3.6.1操作系统安全

与否遵从/

安全规定实现方式及方法

不涉及

身份认证不涉及

•在交换机和防火墙上设立不同网段、不同顾客对服务器的

访问控制权限；

•关闭操作系统启动的默认共享，对于需启动的共享及共享

文献夹设立不同的访问权限，对于操作系统重要文献和目

录需设立权限规定；

•设立不同的管理员对服务器进行管理，分为系统管理员、

安全管理员、安全审计员等，以实现操作系统特权顾客的

权限分离，并对各个帐户在其工作范畴内设立最小权限，

访问控制遵从

如系统管理员只能对系统进行维护，安全管理员只能进行

方略配备和安全设立，安全审计员只能维护审计信息等；

•当对服务器进行远程管理时，对于UNIX类服务器，用现在

稳定版本的SSH等安全工具取代明文传输的telnet,并及

时升级，确保传输数据的安全性；对于windows类服务器，

关闭不必要的telnet服务，采用加密或认证的方式确保数

据网络传输过程中的保密性、完整性和可用性。

病毒、入侵•及时更新病毒库，增强防病毒软件的恶意代码防护能力以

遵从

防备确保信息系统的安全稳定运行；

与否遵从/

安全规定实现方式及方法

不涉及

•操作系统需遵照最小安装的原则，仅安装需要的组件和应

用程序。

•采用漏洞扫描工具定时或重大变更时对系统进行安全扫

描，并对于扫描的漏洞及时进行解决，解决方式涉及安装

漏洞扫描遵从

补丁、配备网络访问控制方略和监测黑客运用漏洞行为数

据流。

更新安全•遵从公司统一规定开展系统补丁更新；

遵从

补丁•通过设立升级服务器等方式保持系统补丁及时得到更新。

•在核心交换机与防火墙上配备具体的访问控制方略，限制

终端的接入方式、网络池址范畴及其与其它网络间的访问

控制；

资源控制遵从•根据安全方略设立登录终端的操作超时锁定；

•限制单个顾客对系统资源的最大或最小使用程度。根据顾

客的工作需求，在满足其工作需求范畴内，修改顾客权限，

并设立资源使用范畴。

•审计范畴覆盖到服务器和重要客户端上的每个操作系统顾

客和数据库顾客；

•审计内容涉及重要顾客行为、系统资源的异常使用和重要

安全审计遵从系统命令的使用等系统内重要的安全有关事件；

•审计统计涉及事件的日期、时间、类型、主体标记、客体

标记和成果等；

•保护审计统计，避免受到未预期的删除、修改或覆盖等。

•对操作系统、数据库系统的数据进行备份，在操作环境发

数据备份遵从

生变更时进行备份恢复测试。

•在应用系统上线前和重大变更时进行安全加固。

安全加固遵从•采用漏洞扫描工具定时或重大变更时对系统进行安全扫

描，并对于扫描的漏洞及时进行解决。

3.6.2数据库系统安全

与否遵从/

安全规定实现方式及方法

不涉及

身份认证遵从使用顾客名/口令实现

•采用数据库系统账号唯一性机制对登录数据库的顾客身份

进行身份识别和鉴别；

•采用结束会话、限制非法登录次数和非法登录自动退出等

方法，限制同一顾客持续失败登录；

■严禁特权账号远程管理使用，日常操作中采用非特权顾客，

访问控制遵从仅在必要时切换特权账号进行操作；

•设立不同特权顾客管理操作数据库，实现权限分离；

•限定各类服务内置默认账号的访问权限，禁用业务非必需

账号；

■严禁系统默认账号使用默认口令，定时删除无用的过期账

号。

•采用漏洞扫描工具定时或重大变更时对系统进行安全扫

描，并对于扫描的漏洞及时进行解决，解决方式涉及安装

漏洞扫描遵从补丁、配备网络访问控制方略和监测黑客运用漏洞行为数

据流；

•选择非业务高峰时段进行扫描，并制订系统回退计划；

安全审计遵从•采用数据库内部审计机制进行数据库审计。

更新补丁遵从•遵从公司统一规定开展数据库补丁更新。

3.7网络安全

本系统运行在公司信息内网中，需借助公司统一的安全防护体系和方

法。对于数据的接入，需遵照国网安全有关规范执行。

网络安全重要对网络基础互联设施的安全防护，如提供网络运行支撑

的路由器、交换机以及防火墙、安全网关、入侵检测等安全设备本身的安

全防护。

3.7.1网络设备安全

与否遵从/不

安全规定实现方式及方法

涉及

•本地或远程进行设备管理必须进行身份认证；匚令设立

设备安全管应满足复杂度规定，并定时修改密码；

遵从

理•制订设备管理方略，涉及限定管理IP地址、制匚登录超

时及帐号锁定方略；

与否遵从/不

安全规定实现方式及方法

涉及

•采用较为安全的SSH、HTTPS进行远程管理。

设备链路冗•采用硬件双机等方式确保核心网络及安全设备、通信线

遵从

余路在发生故障或安全事件时的冗余可用。

•确保核心网络设备的业务解决能力含有冗余空间，确保网

络带宽渤足业务高峰期需要；

•采用网管系统等方式对核心网络设备的解决能力、网络带

网络设备解

遵从宽进行监测；

决能力确保

•按照业务服务的重要次序来指定带宽分派优先级别，采用

QoS或专用流量整形设备等手段确保在网络发生拥堵的时候

优先保护重要业务信息流传输畅通。

♦进行扫描之前需将弱点扫描系统特性代码进行更新；

漏洞扫描遵从•选择非业务高峰时段进行扫描，并制订系统回退计划；

•对扫描出的弱点及时进行解决。

•根据设备厂商或专业安全机构提供的安全配备列表进行

设备安全加

遵从网络设备安全加固；

固

•及时升级设备系统或安装安全更新补丁。

配备文献备

遵从•定时或当配备发生变更时进行配备文献备份。

份

3.7.2网络通道安全

网络通道类型防护控制方法

光纤专线•启动网络访问控制方法。

3.8终端安全

针对终端数据泄密风险及终端数据在传输过程中被篡改的风险，重要

在办公类终端使用方面上加强了对应方法。

3.8.1移动作业终端

与否遵

终端形态应用场景安全规定从/不涉实现方式及方法

及

与否遵

终端形态应用场景安全规定从/不涉实现方式及方法

及

•设备安全；

•选型需符合

公司安全规

定；

•专用通道；

•终端数据加不涉及

密存储、加密

移动PDA传输；

•终端身份认

证；

•安全加固。

•严禁开展移

动办公或含

不涉及

有移动办公

特性的业务

3.8.2信息采集类终端

与否遵从

终端形态应用场景安全规定实现方式及方法

/不涉及

•设备安全；

•专用通道；

输变电状•数据加密传

态监测装输；不涉及

置•终端身份验