無線城市平臺安全保障方案.docxVIP

無線城市平臺安全保障方案第1章 安全保障要求1.1 網(wǎng)絡(luò)安全域劃分和等級保護要求1、根據(jù)系統(tǒng)具體業(yè)務(wù)和服務(wù)器分布，合理規(guī)劃組網(wǎng)結(jié)構(gòu)與安全域劃分，符合集團公司安全域劃分和防護規(guī)范要求。2、系統(tǒng)資源均納入4A統(tǒng)一管理，應(yīng)用資源納入4A統(tǒng)一管理，實現(xiàn)帳號/角色/權(quán)限管理接口，認證接口（實現(xiàn)通過4A單點登錄），授權(quán)管理接口，審計接口。具體接口要求參見集團公司業(yè)務(wù)支撐系統(tǒng)4A技術(shù)規(guī)范。1.2 帳號角色權(quán)限和口令管理1、應(yīng)用系統(tǒng)帳號角色權(quán)限模型，必須采用角色作為唯一的授權(quán)方式，不允許直接將權(quán)限賦予用戶。2、應(yīng)用系統(tǒng)及采用的平臺軟硬件設(shè)備都必須支持強制密碼策略，包括密碼長度、復(fù)雜度、有效期等，支持生效時間、失效時間設(shè)置、首次登錄必須修改密碼等。 (帳號口令要求長度至少8位，大寫字母、小寫字母、數(shù)字、符號中至少3類)3、所有帳號口令均應(yīng)加密存放，應(yīng)采用不可逆的加密算法，也不應(yīng)在日志文件中明文打印帳號密碼。4、系統(tǒng)必須支持方便的帳號密碼修改，包括所有前臺帳號與后臺帳號（含程序帳號），所有帳號密碼的修改均不應(yīng)要求修改程序代碼。對于使用到程序帳號的應(yīng)用，應(yīng)實現(xiàn)自動的動態(tài)加載帳號口令配置文件，不應(yīng)必須重啟業(yè)務(wù)。5、應(yīng)用系統(tǒng)應(yīng)提供短信二次密碼強認證機制。1.3 系統(tǒng)及應(yīng)用代碼安全1、所有軟硬件設(shè)備配置均應(yīng)符合集團安全配置基線要求。2、所有硬件微碼、系統(tǒng)和軟件補丁均應(yīng)不存在已知漏洞。3、WEB應(yīng)用不應(yīng)存在SQL注入、跨站腳本等OWSAP TOP10的漏洞。4、WEB應(yīng)用應(yīng)采用HTTPS加密方式。4、應(yīng)用代碼不應(yīng)留有后門或存在局方未知的帳號口令，不應(yīng)存在嚴重的業(yè)務(wù)漏洞。5、應(yīng)用代碼應(yīng)提供局方進行代碼安全審計。6、系統(tǒng)內(nèi)部、及系統(tǒng)與其他系統(tǒng)間的接口必須采用嚴格的認證機制，確保接口不被非法利用。7、系統(tǒng)內(nèi)部、及系統(tǒng)與其他系統(tǒng)間的接口必須采用加密機制，確保系統(tǒng)間傳輸?shù)臄?shù)據(jù)不被非法截獲。8、系統(tǒng)應(yīng)支持對所管理數(shù)據(jù)價值的分等級管理，如分為高價值、中價值、低價值，并對不同價值的數(shù)據(jù)實施分級的安全訪問控制措施。9、應(yīng)用系統(tǒng)批量操作、涉及客戶敏感信息的操作應(yīng)支持金庫式管理方式，如向提取數(shù)據(jù)人員的上級發(fā)送二次授權(quán)短信密碼等方式。1.4 日志要求及安全審計1、應(yīng)用系統(tǒng)應(yīng)對帳號角色權(quán)限、授權(quán)、密碼修改、密碼重置等管理類操作均保留完整的日志，確保日志具備可追蹤性和可溯源性。并通過與4A的審計接口發(fā)送至4A平臺供集中審計。2、應(yīng)用系統(tǒng)應(yīng)對批量增、刪、改、查等批量操作均保留完整的日志，確保日志具備可追蹤性和可溯源性。并通過與4A的審計接口發(fā)送至4A平臺供集中審計。3、應(yīng)用系統(tǒng)應(yīng)涉及客戶敏感信息的增、刪、改、查等所有操作均保留完整的日志，確保日志具備可追蹤性和可溯源性。并通過與4A的審計接口發(fā)送至4A平臺供集中審計。4、系統(tǒng)與其他系統(tǒng)間的接口應(yīng)保留完整的日志，并確保日志具備可追蹤性和可溯源性。對所有的請求處理步驟、錯誤消息都必須被記錄。5、所有操作原始日志（包括主動短信下發(fā)記錄）應(yīng)至少在線保存6個月，離線保存2年。1.5 開發(fā)測試環(huán)境要求1、開發(fā)測試環(huán)境必須與生產(chǎn)環(huán)境通過防火墻進行隔離。2、測試數(shù)據(jù)必須進行模糊化處理，模糊化程度必須滿足公司相關(guān)要求。第2章 安全保障目標對于系統(tǒng)安全的保證，分為兩個方面：系統(tǒng)級（硬件設(shè)備安全、軟件系統(tǒng)安全和網(wǎng)絡(luò)系統(tǒng)安全）和應(yīng)用級。系統(tǒng)級安全: 對于操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡(luò)分別有各自的安全保證措施。（1） 掉電保護：系統(tǒng)掉電后，用戶設(shè)置和當前狀態(tài)不會丟失；再次通電時可做到狀態(tài)恢復(fù)；（2） 斷網(wǎng)恢復(fù)：系統(tǒng)斷網(wǎng)后，用戶設(shè)置和當前狀態(tài)不會丟失；并可報告網(wǎng)絡(luò)故障，網(wǎng)絡(luò)重連后可做到狀態(tài)恢復(fù)；（3） 系統(tǒng)在高負荷下保證5,000 小時無故障。2.1 硬件設(shè)備安全（1） 服務(wù)器和終端均采用電信級產(chǎn)品；（2） 保證系統(tǒng)不間斷運行；（3） 關(guān)鍵系統(tǒng)采用冗余方式；（4） 計算機系統(tǒng)采用現(xiàn)在成熟的計算機安全方案；具有高可用，可冗余。（5） 系統(tǒng)主機設(shè)備的MTBF（系統(tǒng)平均無故障時間）應(yīng)大于30000小時。2.2 軟件系統(tǒng)安全（1） 核心服務(wù)器采用雙機熱備方式運行，消除單點故障；（2） 主機系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶密碼應(yīng)由各自的管理員專人掌握，密碼要能夠靈活更換；（3） 只有系統(tǒng)管理員可以使用超級用戶登錄；（4） 操作系統(tǒng)用戶要定期清理服務(wù)器中的垃圾文件；（5） 開發(fā)、測試系統(tǒng)與生產(chǎn)系統(tǒng)要嚴格分開；（6） 數(shù)據(jù)傳輸、處理具備檢驗，核對功能和較強的糾錯功能；（7） 主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)應(yīng)定期做備份；（8） 系統(tǒng)日志詳盡清晰，便于故障定位。2.3 網(wǎng)絡(luò)系統(tǒng)安全（1） 本系統(tǒng)原則上應(yīng)與外部計算機系統(tǒng)隔離；（2） 對非法的外部登錄系統(tǒng)應(yīng)能告警；（3） 網(wǎng)絡(luò)登錄應(yīng)受到監(jiān)控，對反復(fù)試驗密碼的行為系統(tǒng)應(yīng)能告警；（4） 系統(tǒng)的各級登錄密碼要嚴格管理，遠程撥號功能應(yīng)嚴格控制；（5） 網(wǎng)絡(luò)登錄密碼要能靈活更換。2.4 數(shù)據(jù)安全（1） 數(shù)據(jù)庫本身具備較強的安全機制；（2） 數(shù)據(jù)庫的用戶名和密碼應(yīng)與操作的用戶名和密碼不同；（3） 在數(shù)據(jù)庫級，系統(tǒng)應(yīng)用級數(shù)據(jù)應(yīng)按照數(shù)據(jù)備份制度定期備份；（4） 數(shù)據(jù)庫有較強的故障恢復(fù)能力；（5） 異種數(shù)據(jù)庫的數(shù)據(jù)共享與傳送應(yīng)保證準確、安全；各種原始計費數(shù)據(jù)均應(yīng)保留備份；（6） 操作系統(tǒng)應(yīng)定期備份；（7） 內(nèi)部數(shù)據(jù)查詢應(yīng)對不同的人員設(shè)定不同的級別，每人只能查詢與自己相關(guān)的數(shù)據(jù)。2.5 應(yīng)用級安全（1） 提供基于業(yè)務(wù)規(guī)則控制的系統(tǒng)應(yīng)用安全措施；（2） 支持根據(jù)業(yè)務(wù)的要求設(shè)置功能控制點，對每一個功能控制點實施權(quán)限控制；（3） 支持根據(jù)計費帳務(wù)應(yīng)用的具體情況，對于應(yīng)用系統(tǒng)的某些處理模塊和某些功能的使用權(quán)限、登錄用戶對于數(shù)據(jù)字典的訪問權(quán)限、應(yīng)用系統(tǒng)操作人員不同角色的處理權(quán)限等，實施權(quán)限控制；（4） 提供操作日志和審計功能，記錄操作員進入和進出的時間，記錄每項重要的操作。第3章 安全保障組成安全保障體系由安全手段、安全機制和安全環(huán)境三部分組成，其結(jié)構(gòu)如圖所示：安全保障體系圖系統(tǒng)安全手段包括計算機設(shè)備、支撐軟件及系統(tǒng)數(shù)據(jù)的安全保障；業(yè)務(wù)安全手段包括業(yè)務(wù)處理和業(yè)務(wù)數(shù)據(jù)的安全手段。第4章 安全保障建立4.1 安全手段支撐 設(shè)備安全服務(wù)器采用陣列盤或鏡像盤技術(shù)；采用CLUSTER技術(shù)；采用雙機或多機熱備份容錯系統(tǒng)；生產(chǎn)服務(wù)器和開發(fā)測試服務(wù)器分離；提供光盤備份庫；保證24小時不間斷運行；建立異地備用服務(wù)器。工作站及終端具有防病毒功能；保證24小時不間斷運行。網(wǎng)絡(luò)設(shè)備采用多傳輸媒介組成多路由制；結(jié)駁簡單、可靠；保證24小時不間斷運行。 支撐軟件安全 操作系統(tǒng) 符合C2級安全標準,提供完善的操作系統(tǒng)監(jiān)控、報警和故障處理。 數(shù)據(jù)庫系統(tǒng)符合C2級安全標準,提供完善的數(shù)據(jù)庫監(jiān)控、報警和故障處理。大型關(guān)系數(shù)據(jù)庫有如下的安全機制以保證數(shù)據(jù)庫的安全： 數(shù)據(jù)庫級（Database-Level）的安全性，對整個數(shù)據(jù)庫起作用。 表級（Table-Level）的安全性，只對相關(guān)的表起作用。 列級（Column -Level）的安全性，只對相關(guān)的列起作用。 行級（Row-Level）的安全性，只對相關(guān)的行起作用。 類級（Type-Level）的安全性。只對使用的隱含的類（opaque Type）， distinct type和complextype起作用。管理和使用用戶權(quán)限的另一種方法是使用角色（Roles）。在數(shù)據(jù)庫環(huán)境中角色的概念相當于UNIX操作系統(tǒng)中的組（Group）的概念。在數(shù)據(jù)庫系統(tǒng)中角色的目的是讓DBA對數(shù)據(jù)庫的權(quán)限進一步細化。數(shù)據(jù)庫系統(tǒng)的審計策略是數(shù)據(jù)庫安全性的重要組成部分之一。大型關(guān)系數(shù)據(jù)庫系統(tǒng)提供的審計機制符合 Trusted Computer System Evaluation Criteria（CSC-STD-001-83，即橘皮書）C2級標準及Trusted Database Interpretation（NCSC-TG-021）標準。對每一個選擇出的用戶的活動，大型關(guān)系數(shù)據(jù)庫系統(tǒng)提供的審計功能將產(chǎn)生一條記錄。這些記錄將用于以下用途： 發(fā)現(xiàn)非法用戶及可疑用戶的行為并指出其執(zhí)行的操作。 發(fā)現(xiàn)未授權(quán)的訪問企圖。 評價潛在的損害安全機制的因素。 假如需要，為調(diào)查提供證據(jù)。 審計不是一種用于重建數(shù)據(jù)庫的跟蹤事物的機制而是通過對系統(tǒng)事件的記錄，或者一個重要活動及操作者的記錄，檢測正常的或可疑的活動。 網(wǎng)絡(luò)系統(tǒng)支持鑒別、接入控制、數(shù)據(jù)機密等一組安全功能；與其它系統(tǒng)的連接必須建立防火墻隔離；提供完整的網(wǎng)絡(luò)監(jiān)控、報警和故障處理。我們組建的是一個企業(yè)的內(nèi)部網(wǎng)，同時各個系統(tǒng)的主機的連接都采用了前置機通訊的方式，前置機實際上起了一定的防火墻作用，增加了非法用戶企圖通過某臺主機攻擊網(wǎng)內(nèi)其它主機的難度。其次，我們的企業(yè)網(wǎng)在與外界主機相連時，都將采用國產(chǎn)的防火墻產(chǎn)品，將有效的防止外界非法用戶對網(wǎng)內(nèi)主機的入侵。對于通過廣域網(wǎng)連接上線的用戶，可以通過路由器加密等手段保證數(shù)據(jù)在廣域網(wǎng)（特別是公用數(shù)據(jù)交換網(wǎng)）傳輸時數(shù)據(jù)的保密性和完整性，但會占用一定網(wǎng)絡(luò)帶寬。如果遠程用戶是通過DDN專線連接，應(yīng)該說數(shù)據(jù)傳輸過程是比較安全的。對于局域網(wǎng)上的用戶，我們認為最好的方法是將業(yè)務(wù)應(yīng)用的子網(wǎng)和公網(wǎng)隔開，當然物理上完全斷開不大可能，我們建議通過在總部局域網(wǎng)交換機上設(shè)置業(yè)務(wù)專用的虛擬子網(wǎng)VLAN。這樣可利用現(xiàn)有設(shè)備，無須額外的資金投入。 應(yīng)用系統(tǒng)提供完善的問權(quán)限的識別和控制功能，提供多級密碼口令保護措施。我們的應(yīng)用系統(tǒng)的安全性建立在數(shù)據(jù)庫管理系統(tǒng)的安全性之上，為保證系統(tǒng)的安全性，本系統(tǒng)對操作員實行嚴格的分級權(quán)限管理，每一個操作員均擁有各自的工號（帳號）、登錄密碼和權(quán)限等級。特定的權(quán)限等級只能進入特定的功能模塊進行授權(quán)操作。除對系統(tǒng)的查詢操作外，任何一個對系統(tǒng)的“寫”操作（如錄入、修改、刪除資料）均將在系統(tǒng)中留下完整的記錄，包括該“寫”操作發(fā)生的日期、時間、操作員工號以及對系統(tǒng)進行了何種操作，以備日后追查。為了保證密碼的可靠性，對于操作員的密碼，用戶的密碼，均以密文的方式在數(shù)據(jù)庫中存放，這些密碼只能修改而不能夠直接讀取。 系統(tǒng)數(shù)據(jù)安全系統(tǒng)數(shù)據(jù)備份與恢復(fù)要求：系統(tǒng)數(shù)據(jù)可進行聯(lián)機備份；系統(tǒng)數(shù)據(jù)可進行聯(lián)機恢復(fù)；被恢復(fù)的數(shù)據(jù)必須保持其完整性和一致性；提供完整的系統(tǒng)數(shù)據(jù)監(jiān)控、報警和故障處理。系統(tǒng)數(shù)據(jù)的傳送與接受要求；保證系統(tǒng)數(shù)據(jù)的傳送完整；保證系統(tǒng)數(shù)據(jù)的傳送機密；提供完整的系統(tǒng)數(shù)據(jù)傳送監(jiān)控和報警處理。4.2 安全環(huán)境支撐 配套設(shè)備安全F 配套先進的、完善的供電系統(tǒng)和應(yīng)急報警系統(tǒng)。 機房環(huán)境安全F 機房要防火、防塵、防雷、防磁；F 機房溫度、濕度、電壓應(yīng)符合計算機環(huán)境要求；F 要進行定期維護保養(yǎng)。 安全機制支撐 系統(tǒng)安全機制F 系統(tǒng)應(yīng)具備訪問權(quán)限的識別和控制功能，提供多級密碼口令或使用硬件鑰匙等選擇和保護措施。F 系統(tǒng)應(yīng)能提供操作日志記錄功能，以便即時掌握運行狀況。F 系統(tǒng)應(yīng)具備完善的檢測功能，確保綜合自營平臺處理的準確性。系統(tǒng)每個環(huán)節(jié)的檢測實行閉環(huán)管理。F 建立校驗結(jié)果和安全邏輯異常情況報警系統(tǒng)。 業(yè)務(wù)安全機制F 建立嚴格的管理制度和開發(fā)、維護、運行管理機制。F 有鑒別權(quán)限與訪問控制功能，對系統(tǒng)管理員、數(shù)據(jù)庫管理員、數(shù)據(jù)管理員、操作員必須授予各種訪問權(quán)限，包括人員身份、人員的通行字、所屬的地理位置及指令的控制，進行權(quán)限分割、責任分割。F 要保證未授權(quán)的人員不能訪問系統(tǒng)，在系統(tǒng)安全性受到破壞時必須產(chǎn)生告警。F 保證只有授權(quán)的人員或系統(tǒng)可以訪問某種功能，獲取某種數(shù)據(jù)。 環(huán)境安全機制F 建立嚴格的機房安全管理制度；F 及時審查日志文件；F 非工作人員不準入機房。任何人不得將有關(guān)自營平臺數(shù)據(jù)資料泄密、任意抄錄或復(fù)制。1、 第三方接口安全：業(yè)務(wù)接入模式 不同業(yè)務(wù)應(yīng)用接入 需進行加密 安全驗證方面 平臺多業(yè)務(wù)模式 業(yè)務(wù)級別進行不同驗證單點登錄模式 參數(shù)加密 業(yè)務(wù)管理安全機制 用戶信息安全(BOSS實名驗證接口、用戶信息同步)07-181、 業(yè)務(wù)接入： 與移動一起與第三方進行業(yè)務(wù)流程溝通；本周開始進行現(xiàn)狀：- 編寫框架1、 目前業(yè)務(wù)如下2、 無線城市A、各個業(yè)務(wù)平臺信息安全