安全系统设计

1.1.1安全系统建设需求

LL1.1信息系统安全等级预评估步骤

为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在4个定级

要素方面的分析，然后分别由4个定级要素确定业务信息安全性和业务服务保证性两个

定级指标的等级，再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安

全保护等级，最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。

具体步骤如下图所示：

图2-1等级确定图

LLL2受侵害的客体及对客体的侵害程度

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、

法人和其他组织的合法权益。

(1)侵害国家安全主要是指影响国家政权稳固和国防实力、民族团结和社会安定、

重要的安全保卫工作、经济竞争力和科技实力等；

（2）侵害社会秩序主要是指影响国家机关社会管理和公共服务的工作秩序、各种

类型的经济活动秩序等；

（3）影响公共利益主要是指影响公共设施、公开信息资源、公共服务等方面；

（4）影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公

民、法人和其他组织所享有的一定的社会权利和利益。

不同危害后果的三种危害程度描述如下：

（1）一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的

执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其

他组织和个人造成较低损害。

（2）严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能

执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，

对其他组织和个人造成较严重损害。

（3）特别严重损害：工作职能受到特别严重影响或丧失行使能力，'业务能力严重

下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范

围的社会不良影响，对其他组织和个人造成非常严重损害。

LLL3信息系统安全等级预评估

1、业务信息安全性等级分析

业务信息安全性等级分析如下：

（1）本项目是**信息包括**信息管理与服务，其所侵害的客体为社会秩序、公共

利益；

（2）**信息不属于涉密信息，被破坏不会对国家利益损害，对社会秩序、公共利

益的侵害程度为一般损害；

（3）因此根据业务信息安全性等级矩阵表，业务信息安全性等级为2级，如卜表

所示：

表7-1'业务信息安全性等级矩阵表

业务信息安全被破坏时对相应客体的侵害程度

所侵害的客体一般损害严重损害特别严重损害

公民、法人和其他组织的合法权益第一级第二级第二级

社会秩序、公共利益第二级第三级第四级

国家安全第三级第四级第五级

2、业务服务保证性等级分析

业务服务保证性等级分析如下：

（1）业务服务为：**信息包括**信息的服务，遭受破坏后，其对社会秩序、公共

利益造成严重损害；

（2）查表知业务服务保证性等级为3级，如下表所示：

表7-2业务服务保证性等级矩阵表

业务服务保证被破坏时对相应客体的侵害程度

所侵害的客体一般损害严重损害特别严重损害

公民、法人和其他组织的合法权益第一级第二级第二级

社会秩序、公共利益第二级第三级第囚级

国家安全第三级第四级第五级

5数据安全数据资源管理、数据库权限管理由建设单位负责

6安全管理安全管理制度、人员安全管理、系统由建设单位负责

运维管理

2.2安全等级保护建设要求

为了保证本项目安全稳定运行，根据安全等级保护预评估，将按照《信息系统安全

等级保护基本要求》中的第三级要求进行设计，提供多层次的全面信息保护与网络安全

应用解决方案，安全建设目标划分为技术和管理两部分。

2.2.1技术目标

从安全体系上考虑，实现多种安全技术或措施的有机整合，形成一个整体、动态、

实时、互动的有机防护体系。具体包括：

♦本地计算机安全：主机系统文件、主机系统的配置、数据结构、业务原始数据

等的保护。

♦网络基础设施安全：网络系统安全配置、网络系统的非法进入和传输数据的非

法窃取和盗用。

♦边界安全：横向网络接入边界，内部局域网不同安全域或子网边界的保护。

♦业务应用安全：业务系统的安全主要是针对应用层部分。应用软件的设计是与

其业务应用模式分不开的，同时也是建立在网络、主机和数据库系统基础之上

的，因此业务部分的软件分发、用户管理、权限管理、终端设备管理需要充分

利用相关的安全技术和良好的安全管理机制。

1、网络基础设施及网络边界安全

为维护信息服务，并对各种信息进行保护，避免无意中泄漏或更改这些信息，要保

护网络基础设施。将达到以下目标：

JS-1.采取必要的措旅，保证各种接入方式通信和传输的安全，防止非法用户通过

外部接入方式侵犯内部网络。

JS-2.应根据不同应用的安全级别，调整网络拓扑结构，划分合适的安全区域，在不

问的安全区域之间采取必要的隔离措施（逻辑隔离或物理隔离）。

JS-3.能按照不同接入方式特点和用户身份特征采取相应的身份认证和入侵预警措

施。

JS-4.通过采取必要的访问控制措施，将不同用户的操作限定在有限的区域内。

JS-5.应采取必要的访问控制措施，实现系统的边界安全，做到应用过滤级别的访

问控制，保证任何业务用户不能直接访问核心数据库。

JS-6.在边界服务区域，采用病毒防护技术，杜绝病毒从网络边界传入。

JS-7.应保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。

2、主机系统安全

本项目业务应用都是通过本地服务器来实现的，因此在安全建设中本地计算机的安

全要满足以下的目标：

JS-8.采用多种安全防护手段，使关键业务服务器和数据库服务器的安全防护级别

高于其它系统。

JS-9.需要保护服务器上的数据以及服务器提供的服务，防止非授权的访问和权限

提升。

JS-10.采取适当的技术和管理手段，保护本地计算机免受病毒、间谍软件的侵害,

防止信息泄露。

3、业务应用及核心数据库

JS-11.保证各业务应用系统数据的真实性、可用性、机密性、完整性。

JS-12.保证核心数据库的安全，防止非法的访府请求。

JS-13.对访问核心数据库的请求和数据交换，进行病毒检测。

JS-14.应实现核心数据的本地备份。

2.2.2管理目标

一套完整的安全解决方案必须配备相应的管理制度。因为完美的安全系统是建立在

用户特定的管理运行模式中的，没有严格的管理规范和管理制度，再完美的设计和昂贵

的设备都没用的。建立全面的安全运行维护服务，以保障系统安全、高效运转的需要。

安全建设管理目标就是根据覆盖信息系统生命周期的各阶段管理域来建立完善的

信息安全管理体系，从而在实现信息能够充分共享的基础上，保障信息及其他资产，保

证业务的持续性并使业务的损失最小化，具体的目标如下：

GL-1.定期对局域网网络设备及服务器设备进行安全隐患的检查，确保所有运行的

网络设备和服务器的操作系统安装了最新补丁或修正程序，确保所有网络设备及服务器

设备的配置安全。

GL-2.提供全面风险评估、安全加固、安全通告、日常安全维护、安全应急响应及

安全培训服务。

GL-3.对已有的安全制度，进行更加全面的补充和完善。

GL-4.应明确需要定期修订的安全管理制度，并指定负责人或负责部门负责制度的

日常维护。

GL-5.应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报

告。

GL-6.应通过第三方工程监理控制项目的实施过程。

2.3安全技术方案

2.3.1系统安全技术目标

我市电子政务安全体系建设的总体目标是：保护电子政务网络的信息资产不受侵犯;

保证信息资产的拥有者和使用者面临可接受的安全风险，并获得最大的利益；保证整个

电子政务网络及相关业务系统的可用性、完整性。针对**项目（二期）具体的安全目标

是：

（1）在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为

严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；

（2）构建统一的安全管理与监控机制，统一配置、调控整个网络多层面、分布式

的安全问题，具有检测、发现、报警和采集入侵行为的能力；加强安全应急

事件的处理能力，实现网络与信息安全的可控性；

（3）在系统遭到损害后，具有能够较快恢复正常运行状态的能力，对于服务保障

性要求高的系统，应能快速恢复正常运行状态；

（4）具有对系统资源、用户、安全机制等进行集中管控的能力。

2.3.2网络层安全

采用核心交换机ACL访问控制列表以及VLAN隔离功能、硬件防火墙、入侵防御

系统（IPS）等安全防范措施。

1、划分子网段及访问控制

根据网络内部的业务应用及安全需求，进行分级分域的安全策略控制，采用交换机

的ACL访问控制列表以及VLAN隔离功能进行子网段的划分，避免来自不安全网段的

病毒感染、黑客攻击蔓延等威胁。

由政务外网云计算平台按照互联网接入区VLAN划分规则对**项目（二期）进行

VLAN划分，实现分级分域安全策略控制。

2、防火墙设置

防火墙是网络防护的基础设备。它将对外提供服务的服务器通过一定的技术和设备

隔离开来，让那些设备形成一个保护区，即DMZ区。它隔离内部网络与外部网络，并

提供存取控制服务，使内部网络有选择的与外部网络进行信息交换，防火墙增强了内部

网络的安全性，用户可以更安全地利用网络资源。

通过部署在政务外网云计算平台网络出口的防火墙，对所有访问**项目（二期）的

网络流量进行控制，并对互联网区对外提供服务的服务器提供安全保护，实现与互联网

逻辑隔离。

3、入侵防御系统（IPS）

入侵防御系统（IPS）帮助系统应对网络攻击，扩展了系统管理员的安全管理能力

（包括安全审计、监视、进攻识别和响应），提高了安全基础结构的完整性。入侵防御系

统是主动性的防御机制，它的设计旨在对常规网络流量中的恶意数据包进行检测（这是

目前防火墙产品无法做到的）、阻止入侵活动、预先对攻击的流量、病毒进行自动拦截，

而不是在传送恶意流量的同时或之后简单地发出警报。入侵防御被认为是防火墙之后的

第二道安全闸门，在不影响网络性能的前提下能对网络进行监测，提供对内部攻击、外

部攻击和误操作的实时保护，入侵防御系统（IPS）是防火墙的合理补充。

通过部署在政务外网云计算平台网络出口的入侵防御系统（IPS）,对所有访问**项

目（二期）的网络攻击进行监视、识别和响应，并对互联网区对外提供服务的服务器提

供安全保护，实现与互联网逻辑隔离。

2.3.3系统层安全

1、操作系统安全

**项目（二期）的主机选择安全可靠的操作系统。用“最小适用性原则”配置系统

以提高系统安全性，并及时安装各种系统安全补丁程序。严格制定操作系统的管理制度，

定期检查系统配置。

在系统中建立统一用户管理和统一权限管理，监视与记录每个用户操作（如登录过

程）。用户需独立标识，监视的数据应予以保护，防止越权访问。

操作系统安全由政务外网云计算平台负责，具体包括对操作系统的安全补丁安装，

对操作系统定期进行配置检查，并严格按照操作系统管理制度对操作系统进行管理。

2、数据和系统备份策略

安全可靠的网络数据冬份系统不仅在网络系统硬件故障或人为失误时起保护作用，

也在入侵者非法授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时也是系

统灾难恢复的前提。因而在网络系统中建立安全可靠的网络数据备份系统是保证网络系

统数据安全和网络可靠运行的必要手段。

**项目（二期）基于政务外网云计算平台现有备份策略，采用完全备份与增量备份

相结合的方式。

3、网络防病毒系统

网络防病毒工作已不再是简单地单台计算机病毒的检测及清除，需要建立多层次的、

立体的病毒防护体系，而且要具备完善的管理系统来设置和维护病毒防护策略。防止计

算机网络病毒，安装网络防病毒系统。

**项目（二期）基于政务外网云计算平台现有网络防病毒系统，由政务外网云计算

平台提供网络防病毒系统°

2.3.4应用安全

应用层安全主要是对资源的有效性进行控制，管理和控制不同等级用户对信息资源

和服务资源具有什么权限，其安全性策略包括用户和服务器间的双向身份认证、信息和

服务资源的访问控制和访问资源的加密，并通过审计和记录机制，确保服务请求和资源

访问的防抵赖。针对**项目（二期）的信息资源的安全级别的特点，其安全策略主要包

括统一的身份认证、统一的权限管理、数据安全性、日记审计等。系统必须提供安全可

靠的数据传输机制来保证数据的安全存储、传输和瓷看。

1、统一身份认证

身份认证是安全系统的基础，可以包括数字证书、用户密码、手机动态密码等多种

模式，实现对各类用户访问系统的合法性进行验证。

本项目通过所建设的“基础支撑平台”的统一认证及审计子系统，实现对各类用户

访问的身份认证。

2、统一权限管理

系统的建设必须建立统一的权限管理机制。根据各类信息的需求者进行分类控制，

实现角色权限管理。可以根据个人级、信息类级别、自定义级别实现访问及操作控制。

3、数据安全性

数据安全包括存储安全和传输安全，数据加密同时使用加密算法和加密密钥来呈现

数据，这些数据对于既没有解密数据的正确算法又没有密钥的人无意义。加密密钥是算

法中使用的附加变量。加密密钥包含受密钥包含的位数限制的数值。加密密钥允许多方

使用一个公共算法而不会危及用该算法加密的数据。**项目（二期）是基于政务外网传

输数据，这些网络可能是不安全的，所以要采用至少128位密钥的加密方式进行密文传

输。每个数据交换的终端都要在**项目（二期）取得一个公私钥对，所有信息在传输之

前都经过不对称加密处理，然后才能网络传输，这就保证了信息的传输安全。

4、系统日志

通过对信息调用者访问过程及各单位处理信息资源的过程进行记录保存，通过数据

库审计软件等其他工具对日记进行审计管理、以防止资源访问和信息处理的抵赖。

本项目通过所建设的“基础支撑平台”的统一认证及审计子系统，实现对系统日志

信息的管理。

5、系统审计

系统审计是对信息系统的运行状况进行检查与评价，以判断信息系统是否能够保证

资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标C

应用系统审计功能应支持身份认证审计；对重要数据、文件的删除和修改等行为监

控，记录系统重要安全事件、行为发生的日期、时间、发起者信息、类型、描述和结果

等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录；能够对记录数据进行统

计、查询、分析及生成审计报表。

2.3.5数据安全

事前准入与防御

1、数据库准入

（1）用户标识和鉴定

♦进入数据库系统的用户，首先应由支持数据库系统运行的操作系统进行身份认

证；

♦通过数据库系统的用户账号与口令鉴定用户的身份，这是系统提供的最外层安

全保护措施，也是最常用的措施。当用户远程直接登录到数据库管理系统或与

数据库服务器进行访问连接时，应进行用户认证；

♦数据库管理系统用户标识一般使用用户名和用户标识（UID）。为在整个数据库

系统范围实现用户的唯一性，应确保数据库管理系统建立的用户在系统中的标

识（SID）与在各数据库系统中的标识（用户名或别名，UID等）之间的一致

性；

♦分布式数据库系统中，全局应用的用户标识信息和认证信息应存放在全局数据

字典中，由全局数据库管理安全机制完成全局用户的身份认证。局部应用的用

户标识信息和认证信息应存放于局部数据字典中，由局部数据库安全机制完成

局部用户的身份认证；

♦数据库用户的标识和认证信息应受到操作系统和数据库系统的双重保护。操作

系统应确保任何用户不能通过数据库以外的使用方式获取和破坏数据库用户的

标识和认证信息；

♦数据库系统应保证用户以安全的方式和途径使用数据库系统的标识和认证信息;

♦数据库用户标识信息应在数据库系统的整个生命期有效，被撤销的用户账号的

UID不得再次使用。

（2）访问控制

合理设置数据库对象的授权粒度，根据最小化授权原则，为数据库用户分配适当权限,

并有效地加以管理和控制c用数据库目录表、存取控制表、能力表等确定主体对客体的

访问权限。应允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止

非授权用户读取信息c

2、数据库防御与监测

（1）安全设备

数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动

防御技术，数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对

数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、

告警、阻挡绕过企业网络边界（FireWall、IDSVPS等）防护的外部数据攻击、来自于内

部的高权限用户（DBA、开发人员、第三方外包服务提供商）的数据窃取、破坏、损坏

等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结

合独立于数据库的安全访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

本期项目将充分利用福州市政务外网云平台已购置的数据库防火墙防范可能针对

数据库的安全威胁。

（2）视图保护

在系统中为不同用户定义不同的视图，通过视图机制把要保密的数据对无权存取这

些数据的用户隐藏起来，从而自动地对数据进行保护。

（3）分布部署

对空间信息数据库、动态信息数据库、公共信息数据库、政务信息数据库和数据仓

库分开部署，将数据仓库单独部署在一个数据库实例中，确保用户无法直接访问空间信

息数据库、动态信息数据库、公共信息数据库和政务信息数据库中的数据。通过更改、

转变数据分布的特征，隐藏数据本身的信息，对敏感数据进行保护。

（4）数据分割

将数据仓库层数据进行分割，将不同列族以不同的维度（横向和纵向）分割发布，

在不影响数据挖掘的情况下，确保用户无法获得完整的数据信息。

（5）匿名化

采用知识匿名化的相关技术，可以有效的控制超模式，子模式和链式推理通道的形

成，同时，对原有数据标示进行转换、替换，从而保护了数据的隐私信息。

（6）完善备份策略

为保证数据的完整性，需要制定完善的备份策略，确保发生严重故障时，能够通过

备份，快速恢复系统中的数据。

事中管理与监控

1、数据完整和保密性

（1）数据传输加密

支持采用SFTP等安全加密协议，建立加密传输通道，对数据进行加密传输。与市

级大数据平台的对接、数据交换应遵循市级大数据平台的相关标准和规范。

（2）数据加密压缩

为确保数据收集的高效和安全，将对数据进行加密压缩再传输到服务器上，方便数

据传输。在数据开放给用户时，再进行解压。

（3）数据存储加密

对敏感数据或数据敏感部分（如密码）进行加密，采用数据加密算法对数据进行加

密存储工即使黑客侵入服务器窃取数据，也无法获得有价值的实时数据。

2、数据监控

对短时间内大数据量的访问进行监控。可以设定预警的阈值，实时产生提醒信息。

支持对数据请求服务接口和数据交换队列状况进行监控，能够对公用网络区的数据接入

情况，以及数据流向、数据流量情况进行实时监控管理。

事后审计与追溯

1、数据库审计

数据库的安全审计应满足以下要求：

（1）应设计数据库审计功能，并与用户标识与认证、访问控制、标记等安全功能

的设计紧密结合；

（2）审计记录包含：审计的操作、用户执行的操作、操作的日期和时间等信息。

同时，综合利用福州市政务外网云平台安全审”策略、审”分析功能，确保

操作可追溯。

（3）对与标识及强制访问控制等安全机制有关的内容，如安全属性的操作等进行

审计；

（4）对网络环境下运行的数据库管理系统，应建立分布式的审计系统，并通过审

计中心进行管理和控制。

2、数据库备份与恢复

采用数据备份系统来实现统一、自动化、集中的备份。对于备份软件的选择，不仅

要注重使用方便、自动化程度高，还要有好的扩展性和灵活性。同时，跨平台的网络数

据备份软件能满足用户在数据保护、系统恢复和病毒防护方面的支持。一个专业的备份

软件配合高性能的备份设备，能够使损坏的系统迅速起死回生。

本期项目采用福州市政务外网云平台提供的数据库备份服务，为存放在公用网络区

存储阵列上的数据提供备份服务，确保数据安全。

（1）数据备份策略

目前被采用最多的备份策略主要有完全备份（FullBackup）、增量备份（Incremental

Backup）＞差分备份（DifferentialBackup）三种。本方案建议备份策略采用以上三种方式

的结合。例如：

数据库全备份：选择在周五（或周六）自动进行。

数据库增量/差分备份：每晚由主机系统执行，批处理人员触发或由系统自动执行。

文件全备份：将主机系统和其它服务器的数据作全备份，选择在周日自动进行。

文件增量/差分备份：在周一到周四（或周五）之间备份文件的增量。

系统全备份：在月初的周口备份系统及数据库的全量。

系统增量/差分备份：在其余的时间仅备份系统和数据库配置的增量。

跟踪备份：实时备份系统增量（事务日志备份）C

（2）数据恢复

数据恢复措施在整个备份制度中占有相当重要的地位。因为它关系到系统在经历故

障后能否迅速恢复。数据恢复操作一般包括全盘恢复、个别文件恢复和重定向恢复。福

州市政务外网中心支持以上三种方式。

考虑到**承载的行业专题，存储系统是整个平台的基石，它的安全与稳定是业务正

常运作的基础。随着系统的扩展，数据也会不断增长，存储系统也要能实现快速稳定地

扩展。我们采用一套性能最好、稳定性最高、扩展性最强的SAN存储系统来实现本平

台的数据存储功能。

（3）灾难恢复计划

灾难恢复措施在整个备份制度中占有相当重要的地位。因为它关系到系统在经历灾

难后能否迅速恢复。灾难恢复措施包括：灾难预防制度、灾难演习制度及灾难恢复。以

往传统的备份方法，如果系统彻底损毁，要恢复数据必然要有重新安装操作系统和应用

程序等繁琐的步骤，浪费了大量的时间。而在系统损毁后，迅速地在尽可能短的时间内

恢复系统是绝对必要的。

（4）备份系统管理建议

像系统管理需要设置系统管理员、数据库管理需要数据库管理员、网络管理需要网

络管理员一样，管理备份系统也需要有相应的人员来负责。备份系统虽然不如上述系统

那么复杂，但也需要相当的学习才能对备份系统进行有效、安全地管理。备份系统管理

员可以是专职的也可以由系统管理员、数据库管理员或网络管理员兼职。或许这些角色

都集中在一个管理人员身上。至少应安排一个备份系统的管理人员，如果条件允许，也

可以安排另一个管理人员以防止主要管理员不在的时候有人负责对备份系统进行管理。

尽管备份系统管理员可以对整个备份系统进行任何操作，但实际上备份系统管理员

的主要职责应该是协助其它管理者使用备份系统。

隐私数据建设

系统在使用中不仅要对各项基础信息的安全保证，还要对隐私数据进行严格的划分

和保护，隐私数据主要体现在用户在使用中产生的姓名、手机号码、邮箱、登录系统日

志等数据。

从数据的生命周期角度来考虑，对数据的产生、存储、流转、使用、废弃等不同阶

段涉及介质、系统、终端、人员进行识别，明确不叵阶段的使用要求。

另外，则是从用户隐私信息涉及到的所有者、管理者、使用者的角度，分别提出不

同的要求，基本要求应当包括：用户个人隐私数据的可接受使用，即哪些人通过哪些系

统可以访问哪些数据（应当有数据所有者来定义）；用户个人隐私数据的使用流程，即对

于批量数据查询、非授权人员对用户隐私数据使用的场景应当如何通过流程进行授权管

理.，保证披露范围合法、可控，披露过程可追溯（使用者应当遵守的流程）；用户个人隐

私数据的管理流程，即从信息系统管理者的角度如何保证用户个人隐私数据不被非授权

访问、隐私信息介质被妥善保护、数据访问过程可追溯、废弃数据妥善被销毁等（管理

者应当执行的流程）。

1、建立用户隐私信息范围

项目用户隐私信息保护的前提条件，是明确定义出哪些信息应当作为用户个人隐私

信息进行保护。用户信息收集的范I韦I较多，还可能涉及用户身份信息、用户操作日志等。

从风险的角度、识别风险场景和信息的相关性，从而明确隐私保护的重点范围，将

有限的资源分配到高风险的用户信息字段，将姓名、手机号、邮箱地址、账号密码、联

系地址等作为重点隐私数据保护的对象列为隐私数据。

2、建立用户信息收集的范围和用途规范

除了用户隐私信息范围，需要与用户就信息的收集、使用达成一致性的共识，在明

显的位置显示系统需要收集的隐私数据内容，服务过程中会收集到哪些信息，以及这些

信息将被用于哪些用途以及使用的范围。只有在获得用户许可的前提下，才可以收集相

关的信息。

系统不会将数据以公告外的方式使用数据，应按照规范严格执行数据保护C

3、建立覆盖全生命周期的用户信息保护技术体系

数据泄露的风险来源可以分为三个方面：外部黑客攻击导致、内部的恶意人员的泄

露、系统设计漏洞导致数据泄露。

对外部黑客攻击而言，一般的安全工具组合可能会包括：应用防火墙（WAF）、入

侵侦测系统（IPS）、数据泄露防护系统（DLP）、数据库防火墙（DBF）、数据库审计工

具（DBA）、数据库加密工具通过这些工具的组合，试图对可能发生的黑客入侵行为进

行预警、阻断和追溯，从而尽最大可能避免大规模的数据泄露事件发生。

对内部恶意人员的泄露，一般性的安全工具组合可能包括终端安全管理工具（对数

据传输接口进行限制）、终端数据泄露防护、网关数据泄露防护、虚拟桌面（数据不落

地）、文档加密工具、数据加密工具、数据脱敏工具、数据库防火墙、数据库审计工具等。

通过这些工具的组合，可以实现对数据库管理员、数据工程师、业务运营人员的高危数

据操作风险的管理，包括数据导出、下载、外传、批量查询等。

系统设计上要完全采用保密传输、暗码等的方式、不在浏览器地址、缓存中有隐私

数据、移动互联需要进行协议加密等方式研发，杜绝设计导致的隐私数据泄露C

2.3.6行业专题安全设计

本项目的行业专题与**通过叩i接口进行对接，主要靠行业专题代码编写安全网络

请求保证安全性。

1、代码编写的安全，避免如下情况

应用不响应（ANR）：

(1)应用将耗时操作或者同步调用放在UI线程，广播接收器里处理；

(2)应用资源异常，如内存、文件、线程等的滥用、泄露；

(3)消息、通知过我，忙不过来；

(4)获取系统资源阻塞，比如访问文件系统、数据库、网络、CPU等八

2、网络请求安全

(1)hitps加密通道传输，防止请求拦截等，保证了我们的网络请求的安全性。

(2)行业专题通过调用服务器的api接口，确保服务器的数据安全和通讯安全，

防止数据篡改等恶意攻击。

2.3.7账户安全设计

账号权限范围

在系统中，可以按照权限的高低划分账号的等级，也可以以权限大小作为认证程度

高低的判断依据。本次项耳系统属于管理者的角色为：统筹办管理员、委办局管理员、

运维管理员，属于常规账号角色为：行业专题用户。

系统的角色采用在业界接受程度较高的功能权限模型是RBAC(Role-BasedAccess

Control)模型，其基本理念是将“角色”这个概念赋予用户，在系统中用户与权限之间

通过角色进行关联，以这样的方法来实现灵活配置。

多对多的用户角色关系

UserRolePermission

用户1角色A、权限1

用户2权限2

用户3权限3

用户4/

角色B权限4

用户5权限5

用户6权限6

用户7/权限7

用户8角色C权限8

图1-3多对多的用户角色关系图

根据业务划分，其主要权限区别分为管理员、一般角色与特殊角色。管理员角色具

有：查看较大范围内的数据权限、管理其权值范围内的账号信息权限、更改当前账号信

息权限，而一般的账号具有：业务功能使用权限、当前账号信息权限等，另外管理员后

台提供角色权限字典表配置功能，支持根据需求创建特殊权限类型的角色。其具体表现

如下：

表1-3角色权限说明表

属性角色权限访问范围

统筹办管理员统计查看等业务功能、数据管理、角色全福州市数据

权限字典表配置、机构管理、账号管

理、资源管理等。

管理者

委办局管理员统计查看等业务功能、数据管理、机构某具体委办局数据

管理、账号管理等

运维管理员平台功能与参数配置、账号管理等平台配置数据

一般行业专题用户行业数据使用功能、账号管理某具体行业数据

特殊特殊角色根据配置权限而定根据配置权限而定

账号安全认证

账号安全认证主要从账号生成规则方面体现：

(1)严格设定为管理员可新增和修改其管理范围内的用户和信息。只要做好权限

范围控制就不会出现账号问题。

(2)与其他系统对接，在保障其他系统信息安全情况下进行用户对接的账号亦是

安全账号。

2・3.7.2账户风险控制

为了保障用户的账户安全，在系统上会对关键点进行必要的安全保护。因此平台中

的交互需要针对每一步操作行为进行动态打分。每一步操作的分值不是孤立的，具有连

贯性，都会基于历史的操作来进行判定。一旦触发了相应的阀值，系统就采取相应的保

护机制。

为操作设定做风险评估，并设计对应场景解决方法：

(1)无风险：正常使用，不存在任何风险。

(2)低风险：存在过于频繁请求、过长时间登陆等明显区别于一般账号的行为时,

系统会采用告知存在异常的方式保证安全性，一般为：邮件、短信、客户端

通知。

(3)中度风险：存在特殊风险操作，例如多次错误输入密码、弱密码、执行危险

操作等，系统会强制用短信验证码、图片验证码等方式进行二次验证。

(4)高度风险：操作或使用高风险操作时，系统会强制冻结账号、限制访问IP、

限制使用时间等。

系统对每一次账号的完整过程(从登录到活跃)进行评估，达到相应级别，系统采

取相应的保护措施，其具体为：

1、密码风控

一般对于普通用户账号，其登陆账号一般为名称缩写，密码为统一规则生成，容易

发生账号盗用与密码遗忘的情况，针对此类问题需做好密码安全风险控制：

(1)密码安全：用户密码采用加密传输，并且统一管理，其他系统通过统一认证

接口验证用户信息。用户密码保存在核心数据库，密码采用md5加密不可逆

破解，杜绝了用户密码被破解的可能性。

（2）密码找回：系统实现用户与邮箱、手机绑定，如果用户密码出现遗忘等情况，

用户可以通过多种手段找回。

（3）弱密码：会强制提示用户更改密码并完成修改。

2、登录风控

登录是安全保护的第一道防线，这个阶段就可以拦截大量的异常操作。

（1）登录失败次数C记录账号短时间内登录失败的次数，防止别人通过大量的测

试来获取你的密码，这也是最基本的保护。比如，有的密码输入错误次数达

到3次以上后，就会加验证码。有的输入密码错误次数达到阀值后，限制一

段时间后才能再试。

（2）IP地址。一般用做判断登录地点是否为常在城市。另一方面用做辅助信息来

做一些异常判断，做进一步限制。比如发现在某个IP存在频繁的指令行为，

可以限制该IP上的账号活动。内部系统与管理平台采用的是内网限制ip请

求，做到外网基本绝缘的情况。外网无法或间接直连管理平台，保证内部系

统交换安全。

（3）使用设备。辅助信息，识别异常操作信号。

（4）登录时间。记录用户的活跃情况，画出用户的工作时间分布图，帮助识别异

常操作。比如用户一般都是工作时间登录，突然某一天出现凌晨2:00登录的

现象，用户在此之前并没有登录后连续活跃的记录，这时候就有一定的可疑

性。

（5）登录及活跃地点。辅助信息，识别用户的异常行为，可画出用户活动范围图，

减少对异常情况的误判。现在有第三方IP地址库的公司，提供定位服务。所

以即使是用PC,在不借助GPS和基站定位的情况下，也能精确地定位到你

在某一栋楼里C

3、验证与请求风控

为预防账号被盗、恶意刷号、恶意攻击等风险，需要进一步实现验证与请求的风险

控制。一般需要验证和请求环节的可疑行为可能有：大量的下载、导出文件、大量的转

发内容、大量的发送信息、发送带有私密信息或敏感关键词的信息或内容、发送之后立

即删除等。

比如：不法分子利用己经获得的账号资料，通过技术手段，大量验证“用户账号是

否存在"，从而知道手里的账号哪些是己经在平台上注册过的账号。账号验证需要向服

务器发起请求，因此恶意者可以用技术手段大量发起请求攻击，导致网络、服务器和数

据库瘫痪甚至宕机。

需要基于以下几点做到：

（1）手机账号真实性的风控：为了保证用户输入的手机号是其本人的，通常都需

要设计短信验证码功能。

（2）邮箱账号真实性的风控：为了保证用户输入的邮箱是其本人的，通常都需要

设计邮件验证玛功能或通过邮件进行激活确认的功能。

（3）短信通道、真实手机号的风控：短信验证码是业务系统利用运营商或者代理

商的短信通道，下发验证码，对用户所输入的手机号进行真实验证的功能。

为了防止恶意者攻击短信通道，或者随意输入其他人的手机号滥发短信给其

他人造成骚扰，这里需要增加两项风控：保护短信通道、减少对其他手机号

短信骚扰。

（4）注册请求的风控：当用户将所有信息都填写完成，点击“立即注册”按钮即

可向服务器发起请求，程序判断用户填写的信息完整无误，则返回注册成功

的提示；如果判断某些输入项有问题，则返回对应的错误提示。这里需要增

加两项风控：防止用户恶意大量请求攻击服务器，防止用户绕过输入项验证

直接提交注册请求。

综上所述，在注册功能中，需要考虑的风险点和风控目标可以归纳为：禁止非正常

的、大量的“验证账号是否存在”的服务器请求；确保输入的手机号是用户本人的、真

实的手机号；邮件验证码功能或者通过邮件进行激活确认的功能；保护短信通道不被恶

意者大量刷短信，造成堵塞；减少对其他手机号码的短信骚扰；防止恶意用户大量发起

注册请求，攻击服务器；防止用户绕过输入项验证，直接发起请求。

2.4密码安全设计

为确保网络安全运行，制定密码安全管理制度。

2.4.1算法配用设计

本项目国产密码算法应用方案主要应用的密码算法有SM2非对称加密算法、SM3

摘要算法、SM4对称加密算法。

表1-6算法配用设计

序号安全功能密码算法及用途应用说明

SM2：数字签名、密钥加密支持SM2的SSL安全证书

1安全登录功能SM3：摘要运算

SM4：对称加密

SM2：用来做数字签名使用国产密码算法对重要数

SM3：用来对随机数做摘要运算据签名加密后传输，保障传

2数据传输安全

SM4：用来对关键数据做加解密输数据的完整性与机密性

运算

关键业务数据SM2：用来做数字签名支持SM2国产密码数字证

数字签名、签SM3：用来对随机数做摘要运算书的数字签名，并加盖事件

3

名验证及加解SM4：用来对关键数据做加解密戳。

密功能运算

1、SM2算法

SM2椭圆曲线密码算法是国家密码管理局发布的一组算法，包括SM2-1椭圆曲线

数字签名算法、SM2-2椭圜曲线密钥协商协议、SM2-3椭圆曲线加密算法。

SM2算法的密钥长度为256Bit,密钥由一组公钥和私钥组成，称为密钥对。使用公

钥加密的数据，使用私钥可以解密，用来做数据加密；使用私钥加密的数据，可以用公

钥解密，用来做数字签名°

在实际应用中，SM2算法主要应用在以下几个方面：

(1)用来保障关键数据完整性：应用SM2签名算法；

(2)用来保障数据传输安全：应用SM2签名算法、SM2加密算法；

(3)用来保障重要非结构化文件的完整性：应用SM2签名算法。

2、SM3算法

SM3算法是国家密码管理局发布的杂凑算法。SM3杂凑算法是一个不可逆的算法，

不能通过对源数据运算产生的杂凑值还原源数据。

SM2算法生成的杂凑值长度为256Bil。

SM3算法在SM2签名算法中应用，同时还能够用来实现关键数据的完整性校验。

3、SM4算法

SM4是国家密码管理局发布的一个分组密码算法，该算法的分组长度为128比特,

密钥长度为128比特。加密算法与密钥扩展算法都采用32轮非线性迭代结构。解密算

法与加密算法的结构相同，只是轮密钥的使用顺序相反，解密轮密钥是加密轮密钥的逆

序。

SM4加密算法用来对数据做对称加密，相对非对称算法，SM4对称加密算法的加

密速度快，但是需要妥善保管加密密钥。因此一般在做数据加密时，使用SM4对称加

密数据后，再用SM2加密算法来加密对称密钥。

2.4.2密码的设置

服务器的密码，由平台运维负责人和系统管理员商议确定，必须两人同时在场设定。

服务器的密码须运维负责人在场时要由系统管理员记录封存。

密码内容设置规则：必须由数字、字符和特殊字符组成；密码长度不能少于8个字

符；机密级计算机设置的密码长度不得少于10个字符；设置密码时应尽量避开有规律、

易破译的数字或字符组合作为自己的密码。

密码要定期更换：一般服务器密码更换周期不得多于3()天；重要服务器密码更换

周期不得超过7天。

重要服务器需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。

2.4.3密码和口令的保存

服务器设置的用户密玛由系统管理员自行保存，严禁将自用密码转告他人；若工作

需要必须转告，应请示上级领导批示；非系统管理员使用密码完成工作后，系统管理员

应该及时更改密码，保证密码安全。

服务器所有设置的用户密码须登记造册，由系统管理员管理保存，并将备案记录交

于运维负责人封存。

密码更换后系统管理员需将新密码或口令记录登记封存。

如发现密码有泄密迹象或黑客入侵，系统管理员要立刻报告平台运维负责人，运维

负责人应及时与系统管理员商定修改密码，并严查泄密源头修补系统漏洞，将详细情况

以书面形式上报上一级领导和用户。

2.5安全管理方案

管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。

责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全风险。

2.5.1安全管理体系建设的目标

安全管理是安全系统的重要组成部分，没有健全的安全管理，系统的安全性时很难

保证。任何网络系统仅在技术上无法达到完整的安全。为此，需要建立一套科学、严密

的网络安全管理体系。

通过有效的安全管理体系的建设，最终要实现的目标是：采取集中控制、分级管理

的模式，建立由专人负责安全事件定期报告和检查制度，从而在管理上确保全方位、多

层次、快速有效的网络安全防护。

2.5.2安全管理体系内容建设

通过规划安全策略、确定安全机制、明确安全管理原则和完善安全管理措施，建立

安全管理机制，制定各种规章、制度和准则，合理地协调法律、技术和管理三种因素，

实现对系统安全管理科学化、系统化、法制化和规范化，达到保障网络系统安全的目的。

2.5.3安