信息安全保障體系設(shè)計方案

信息安全保障體系設(shè)計方案為最大限度地保障政務(wù)數(shù)據(jù)信息資源的安全，保障系統(tǒng)運行的安全；本項目對于安全要求較高，按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）及相關(guān)文件要求進行定級；項目建設(shè)完成后，將委托專業(yè)機構(gòu)對項目成果進行安全等級測評；在信息系統(tǒng)定級基礎(chǔ)上，從管理體系、技術(shù)體系上進行安全系統(tǒng)同步設(shè)計規(guī)劃與建設(shè)，形成多個層面的安全保障體系，實現(xiàn)用戶身份鑒別、訪問控制、系統(tǒng)安全審計、用戶數(shù)據(jù)完整性保護、用戶數(shù)據(jù)保密性保護、客體安全重用、系統(tǒng)備份與故障恢復(fù)、系統(tǒng)安全監(jiān)測、系統(tǒng)可執(zhí)行程序保護等計算環(huán)境安全防護；1安全保障目標及對象：本項目依托婦幼服務(wù)中心開展建設(shè)，并根據(jù)本項目的實際情況，加強網(wǎng)絡(luò)安全保護建設(shè)，圍繞應(yīng)用系統(tǒng)安全建立數(shù)據(jù)安全防護機制和技術(shù)支撐體系，為不同部門和用戶的業(yè)務(wù)數(shù)據(jù)采集、傳輸、使用、交換、存儲等提供全生命周期的數(shù)據(jù)安全防護服務(wù)，避免和減少數(shù)據(jù)安全事件造成的損失；滿足用戶身份鑒別、訪問控制、系統(tǒng)安全審計、用戶數(shù)據(jù)完整性保護、用戶數(shù)據(jù)保密性保護、客體安全重用、系統(tǒng)備份與故障恢復(fù)、系統(tǒng)安全監(jiān)測、系統(tǒng)可執(zhí)行程序保護等計算環(huán)境安全防護，使得系統(tǒng)的安全建設(shè)方案最終既可以滿足等級保護的相關(guān)要求，又能夠全方面為系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力；本項目安全保障的對象包括項目建設(shè)的所有應(yīng)用系統(tǒng)；2安全等保定級：根據(jù)國家標準《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》（GB/T22240-2020）有關(guān)要求，結(jié)合項目實際情況，確定項目涉及的所有相對獨立信息系統(tǒng)的安全等級；1）業(yè)務(wù)信息安全保護等級的確定：①業(yè)務(wù)信息描述本系統(tǒng)主要提供云HIS、醫(yī)技導(dǎo)診等系統(tǒng)；②業(yè)務(wù)信息受到破壞時所侵害客體的確定該業(yè)務(wù)信息遭到破壞后，所侵害的客體是：社會秩序和公共利益；侵害的客觀方面表現(xiàn)為：一旦信息系統(tǒng)的業(yè)務(wù)信息遭到入侵、修改、增加、刪除等不明侵害，會對社會秩序和公共利益造成影響和損害，可以表現(xiàn)為：嚴重影響正常工作的開展，導(dǎo)致業(yè)務(wù)能力下降；③信息受到破壞后對侵害客體的侵害程度上述結(jié)果的程度表現(xiàn)為對社會秩序和公共利益造成嚴重損害；工作職能受到嚴重影響，業(yè)務(wù)能力顯著下降，出現(xiàn)較嚴重的法律問題，較大范圍的不良影響等；④確定業(yè)務(wù)信息安全等級根據(jù)業(yè)務(wù)信息受破壞后，對主體影響層面和客體損害程度的詳細分析；同時結(jié)合《定級指南》中“業(yè)務(wù)信息安全保護等級矩陣表”，確定業(yè)務(wù)信息安全保護等級為第二級；業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級2）系統(tǒng)服務(wù)安全保護等級的確定：①系統(tǒng)服務(wù)描述本系統(tǒng)主要提供云HIS、醫(yī)技導(dǎo)診等系統(tǒng)；②系統(tǒng)服務(wù)受到破壞時所侵害客體的確定該系統(tǒng)服務(wù)遭到破壞后，所侵害的客體是社會秩序和公共利益；③信息受到破壞后對侵害客體的侵害程度侵害的客觀方面表現(xiàn)為：一旦系統(tǒng)服務(wù)中斷，會對社會秩序和公共利益造成嚴重影響，可以表現(xiàn)為：工作職能受到嚴重影響，業(yè)務(wù)能力顯著下降，出現(xiàn)較嚴重的法律問題，較大范圍的不良影響等；④確定系統(tǒng)服務(wù)安全等級根據(jù)系統(tǒng)服務(wù)受破壞后，對主體影響層面和客體損害程度的詳細分析；同時結(jié)合《定級指南》中“系統(tǒng)服務(wù)安全保護等級矩陣表”，確定系統(tǒng)服務(wù)安全保護等級為第二級；業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級3）安全保護等級的確定：由于業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級均為二級；最終確定本項目安全等級初定為第二級；3安全技術(shù)方案：3.1安全策略：1）物理安全：為保障網(wǎng)絡(luò)系統(tǒng)的安全，醫(yī)院機房、區(qū)疾控數(shù)據(jù)中心提供本項目機房、電力環(huán)境保障以及設(shè)備、設(shè)施、介質(zhì)的防盜、防破壞等防護措施；2）網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全從結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范和網(wǎng)絡(luò)設(shè)備防護等幾方面進行考慮；①結(jié)構(gòu)安全為滿足業(yè)務(wù)高峰期需求，主要網(wǎng)絡(luò)設(shè)備的處理能力、帶寬需要具備冗余空間；應(yīng)用核心服務(wù)器應(yīng)劃分獨立的網(wǎng)段，采用統(tǒng)一的隔離技術(shù)進行隔離；對于應(yīng)用之間的帶寬、應(yīng)用與其他業(yè)務(wù)應(yīng)用系統(tǒng)之間的帶寬分配較高優(yōu)先級別，保證最小帶寬；②訪問控制按照統(tǒng)一要求，與內(nèi)網(wǎng)之間使用防火墻等邏輯訪問控制設(shè)備進行訪問控制，對于其他網(wǎng)絡(luò)使用信息安全網(wǎng)絡(luò)隔離裝置進行訪問控制；基于本系統(tǒng)構(gòu)建“白名單”訪問機制，設(shè)置響應(yīng)分級、分類訪問權(quán)限管理；內(nèi)網(wǎng)之間的通信，采用單向光閘傳輸?shù)姆绞?；③安全審計?yīng)用IMS系統(tǒng)對網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的運行狀態(tài)、網(wǎng)絡(luò)流量、用戶行為等進行記錄，并根據(jù)記錄進行分析，定期生成審計報表；④邊界完整性檢查訪問應(yīng)用的全部內(nèi)網(wǎng)終端部署非法外連監(jiān)測系統(tǒng)，對內(nèi)網(wǎng)終端非法外連和外網(wǎng)終端私自接入內(nèi)網(wǎng)的行為進行檢測，并對其進行有效阻斷；⑤入侵防范通過網(wǎng)絡(luò)入侵檢測/網(wǎng)絡(luò)入侵防護設(shè)備對端口掃描、暴力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊等行為進行檢測，在檢測到攻擊行為時進行記錄和告警；⑥惡意代碼防范網(wǎng)絡(luò)邊界應(yīng)用防病毒過濾網(wǎng)關(guān)對惡意代碼進行過濾，及時更新惡意代碼庫和檢測系統(tǒng)；⑦網(wǎng)絡(luò)設(shè)備防護對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別，限制網(wǎng)絡(luò)管理員登錄地址；不同網(wǎng)絡(luò)設(shè)備用戶應(yīng)使用不同的用戶；對于核心網(wǎng)絡(luò)設(shè)備應(yīng)采用多因素身份鑒別技術(shù)進行身份鑒別，同時口令應(yīng)滿足一定復(fù)雜度要求并定期更換；系統(tǒng)應(yīng)具備登錄失敗處理功能，在鑒別會話結(jié)束、登錄連接超時后自動退出，限制非法登錄嘗試次數(shù)等方式；網(wǎng)絡(luò)遠程管理應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離；3）系統(tǒng)安全：系統(tǒng)安全包括系統(tǒng)運行安全、權(quán)限管理設(shè)計、系統(tǒng)備份與恢復(fù)、安全事件管理等內(nèi)容，從各個層次來保證系統(tǒng)的安全性；①系統(tǒng)運行安全系統(tǒng)采用容錯設(shè)計，為系統(tǒng)提供更好的訪問質(zhì)量；提高服務(wù)器響應(yīng)速度；提高服務(wù)器及其他資源的利用效率；避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點故障；②權(quán)限管理設(shè)計在權(quán)限管理上，系統(tǒng)要支持數(shù)據(jù)特權(quán)、部門權(quán)限、客戶端權(quán)限、流程權(quán)限、模塊使用特權(quán)等全面的權(quán)限定義，并且可以根據(jù)IP地址和時間段控制系統(tǒng)的訪問；各種權(quán)限可以組合為角色，角色可以嵌套；通過權(quán)限管理工具，用戶可以方便地進行用戶權(quán)限配置；A.統(tǒng)一用戶管理統(tǒng)一用戶管理為各級管理員提供一個統(tǒng)一的用戶管理入口，由各級管理員對機構(gòu)、組群、用戶、應(yīng)用進行相應(yīng)的管理維護；功能包括：統(tǒng)一管理員管理：由超級管理員為各級管理員進行相應(yīng)的機構(gòu)、人員、組群、應(yīng)用等管理權(quán)限的管理維護；用戶應(yīng)用授權(quán)：將向管理員展現(xiàn)出一棵機構(gòu)樹，管理員通過委托授權(quán)方式以不同的視角對相應(yīng)的人員或組群進行授權(quán)，實現(xiàn)用戶的應(yīng)用授權(quán)；分級分權(quán)管理：通過集中管理人員信息，各級管理人員可為各級機構(gòu)人員進行分級委托授權(quán)；統(tǒng)一用戶數(shù)據(jù)管理：所有用戶信息、機構(gòu)信息和授權(quán)信息都歸于系統(tǒng)，保存在相應(yīng)的數(shù)據(jù)庫中；統(tǒng)一身份認證：支持用戶名/口令方式登錄；安全審計：對所有操作行為進行的安全日志記錄；提供全面、可靠的安全審計功能；可以記錄用戶登錄的時間、具體操作行為等；B.統(tǒng)一授權(quán)管理統(tǒng)一授權(quán)對所有應(yīng)用系統(tǒng)中授權(quán)信息進行集中管理，服務(wù)于所有的應(yīng)用系統(tǒng)服務(wù)；當需要在授權(quán)模塊中進行角色管理時，直接在統(tǒng)一的授權(quán)模塊中進行更改，而不單獨修改某個應(yīng)用系統(tǒng)管理的權(quán)限管理模塊，降低了管理的復(fù)雜度，減少各應(yīng)用系統(tǒng)的授權(quán)模塊不統(tǒng)一所帶來的安全隱患；（1）角色授權(quán)常見的授權(quán)方式可以分為兩種：基于用戶的授權(quán)和基于角色的授權(quán)：基于用戶的授權(quán)管理通常是直接對用戶的操作權(quán)限進行設(shè)置，以判斷用戶是否能夠執(zhí)行某項功能；這種基于用戶的授權(quán)方式具有一定的不足：如某用戶原來只能夠執(zhí)行功能1，現(xiàn)在由于職位的變化，具有了執(zhí)行功能2和功能3的權(quán)限，那么就需要針對用戶1重新設(shè)置其權(quán)限；然而本項目的使用部門、用戶層次復(fù)雜多變，在職位的變化過程中往往會涉及很多人，由于這種方式只能實現(xiàn)一對一的授權(quán)，因此，需要對職位發(fā)生變化的所有用戶重新一一授權(quán)，這無疑增加了管理的復(fù)雜性，也增大了開銷；采用統(tǒng)一授權(quán)模塊使用的是基于角色的授權(quán)方式；先根據(jù)需要定義不同的角色，使每個角色擁有不同的操作權(quán)限，然后將用戶賦予不同的角色，從而將用戶與權(quán)限的關(guān)系分離開來；當用戶的操作職能發(fā)生變化時，只需要刪除掉當前的角色信息，重新賦予新的角色即可，這種授權(quán)模式從根本上避免了基于用戶的授權(quán)方式中存在的不足，大大減少了權(quán)限管理的復(fù)雜性，同時也降低了管理開銷；（2）授權(quán)控制授權(quán)控制是建立在基于統(tǒng)一用戶管理的基礎(chǔ)之上，在統(tǒng)一資源目錄的管理下對信息資源進行統(tǒng)一的授權(quán)；基于統(tǒng)一資源目錄，對不同的資源進行授權(quán)；應(yīng)通過統(tǒng)一資源目錄映射到各應(yīng)用系統(tǒng)的功能模塊或子系統(tǒng)中，從而在授權(quán)時，不用關(guān)心該應(yīng)用在什么位置，具體有什么內(nèi)容和作用，只需根據(jù)靈活的授權(quán)策略進行授權(quán)；（3）分級授權(quán)分級授權(quán)建立在多維度的部門組織架構(gòu)關(guān)系基礎(chǔ)之上，各個層級管理員可以授權(quán)用戶可以訪問的業(yè)務(wù)應(yīng)用系統(tǒng)；（4）分層授權(quán)分層授權(quán)在入口級資源的授權(quán)基礎(chǔ)之上利用應(yīng)用本身的內(nèi)部授權(quán)功能，完成對本系統(tǒng)內(nèi)部功能細顆粒度的授權(quán)，以支撐統(tǒng)一應(yīng)用門戶進行定制化服務(wù)；（5）授權(quán)傳遞對于平臺中擁有自身用戶數(shù)據(jù)庫的新建應(yīng)用系統(tǒng)或遺留應(yīng)用系統(tǒng)，因為角色/用戶組/級別等用戶權(quán)限身份標識信息，在用戶目錄數(shù)據(jù)和應(yīng)用系統(tǒng)自身的用戶數(shù)據(jù)庫都需要分別進行存儲；對這類應(yīng)用分層次授權(quán)時，系統(tǒng)自動將授權(quán)信息傳遞到應(yīng)用系統(tǒng)，從而完成賦予該用戶對相關(guān)應(yīng)用系統(tǒng)內(nèi)部的授權(quán)；C.系統(tǒng)備份與恢復(fù)可對系統(tǒng)中重要的業(yè)務(wù)數(shù)據(jù)、操作日志、關(guān)鍵數(shù)據(jù)、數(shù)據(jù)庫以及操作系統(tǒng)進行備份，通過定義備份策略，如全備份、增量備份、差異備份等，定時將系統(tǒng)中的數(shù)據(jù)備份到備份介質(zhì)，以防止系統(tǒng)出現(xiàn)故障后（如數(shù)據(jù)誤刪除、病毒感染、自然災(zāi)害等）能夠及時地恢復(fù)數(shù)據(jù)，保證系統(tǒng)運行；D.安全事件管理提供相關(guān)安全事件收集、分析、預(yù)警、響應(yīng)和故障處理，全過程進行監(jiān)督和合規(guī)比對；4)應(yīng)用安全:①身份鑒別使用統(tǒng)一的身份認證系統(tǒng)，對用戶進行身份認證；設(shè)計密碼的存儲和傳輸安全；禁止明文傳輸用戶登錄信息及身份憑證；應(yīng)采用SSL加密隧道確保用戶密碼的傳輸安全；禁止在數(shù)據(jù)庫或文件系統(tǒng)中明文存儲用戶密碼；禁止在COOKIE中保存用戶密碼；應(yīng)采用單向散列值在數(shù)據(jù)庫中存儲用戶密碼，并使用強密碼；在生成單向散列值過程中加入隨機值，降低存儲的用戶密碼被字典攻擊的風(fēng)險；設(shè)計密碼策略，保證密碼安全；默認密碼策略：如果管理員未設(shè)置自定義密碼策略，則系統(tǒng)用戶密碼必須符合默認密碼策略；默認密碼策略強制執(zhí)行下列條件：（1）密碼長度最短為8字符，最長為128字符；（2）至少包含以下三種字符類型的組合：大寫、小寫、數(shù)字，以及指定符號；（3）密碼與賬戶名稱或手機號不同；自定義密碼策略：為賬戶配置自定義密碼策略時，可以指定以下條件：（1）密碼最小長度，支持指定最少6個字符和最多128個字符；（2）密碼強度，可以復(fù)選以下任一條件來定義用戶密碼的強度：至少需要一個大寫拉丁字母（A-Z）；至少需要一個小寫拉丁字母（a-z）；至少需要一個數(shù)字；至少需要一個非字母數(shù)字字符；（3）啟用密碼過期；支持選擇并指定用戶密碼設(shè)置后的有效期；例如，如果指定的過期時間為90天，則會立即影響所有用戶；對于密碼超過90天的用戶，更改后登錄系統(tǒng)時，必須設(shè)置新密碼；（4）防止密碼重復(fù)使用；支持組織用戶重復(fù)使用指定數(shù)量的前密碼；（5）對需要重新設(shè)置密碼的，管理員重置為初始密碼；用戶首次使用該密碼時，強制要求修改初始密碼；增加密碼有效期限制，同一密碼超出有效期后用戶必須更改新密碼；設(shè)計圖形驗證碼，增強身份認證安全對于重要系統(tǒng)，采用圖形驗證碼來增強身份認證安全；圖形驗證碼要求長度至少4位，隨機生成且包含字母與數(shù)字的組合，經(jīng)過一定的噪點和扭曲干擾，能夠抵抗工具的自動識別但同時不影響用戶的正常使用；設(shè)計賬號鎖定功能系統(tǒng)應(yīng)限制用戶賬號連續(xù)登錄失敗次數(shù)，當客戶端多次嘗試失敗后，應(yīng)對用戶賬號進行短時鎖定；系統(tǒng)鎖定策略應(yīng)支持配置解鎖時長；保護身份驗證Cookie系統(tǒng)應(yīng)通過加密來保護驗證憑證，并限制驗證憑證的有效期，以防止因重復(fù)攻擊導(dǎo)致的欺騙威脅；區(qū)分公共區(qū)域和受限區(qū)域信息系統(tǒng)應(yīng)根據(jù)實際業(yè)務(wù)需求將系統(tǒng)資源劃分為公共訪問區(qū)域和受限訪問區(qū)域；受限區(qū)域只能接受特定用戶的訪問，而且用戶必須通過站點的身份驗證；當未經(jīng)認證的用戶試圖訪問受限資源時，應(yīng)用應(yīng)自動提示用戶認證；同一用戶同時只允許登錄一個系統(tǒng)應(yīng)具有判斷用戶是否重復(fù)登錄的功能；②授權(quán)在授權(quán)功能方面，系統(tǒng)應(yīng)具備根據(jù)用戶的權(quán)限和登錄位置等條件進行授權(quán)的功能：設(shè)計資源訪問控制方案，驗證用戶訪問權(quán)限；根據(jù)系統(tǒng)訪問控制策略對受限資源實施訪問控制，限制客戶不能訪問未授權(quán)的功能和數(shù)據(jù)；限制用戶對系統(tǒng)級資源的訪問；設(shè)計后臺管理控制方案；后臺管理應(yīng)采用黑名單或白名單方式對訪問的來源IP地址進行限制，防止非法IP的接入以及地址欺騙；設(shè)計在服務(wù)器端實現(xiàn)訪問控制；在服務(wù)器端實現(xiàn)對系統(tǒng)內(nèi)受限資源的訪問控制，禁止僅在客戶端實現(xiàn)訪問控制；設(shè)計統(tǒng)一的訪問控制機制；采用統(tǒng)一的訪問控制機制，保證整體訪問控制策略的一致性；同時應(yīng)確保訪問控制策略不被非法修改；③訪問控制防護自主性訪問控制是在確認主體身份及其所屬的組的基礎(chǔ)上對訪問進行控制的一種控制策略；它的基本思想是：允許某個主體顯示的指定其他主體對該主體所擁有的信息資源是否可以訪問以及執(zhí)行；自主訪問控制有兩種實現(xiàn)機制：一是基于主體DAC實現(xiàn)，它通過權(quán)限表明主體對所有客體的權(quán)限，當刪除一個客體時，需遍歷主體所有的權(quán)限表；另一種是基于客體的DAC實現(xiàn)，它通過訪問控制鏈表ACL（AccessControlList）來表明客體對所有主體的權(quán)限，當刪除一個主體時，要檢查所有客體的ACL；為了提高效率，系統(tǒng)一般不保存整個訪問控制矩陣，是通過基于矩陣的行或列來實現(xiàn)訪問控制策略；業(yè)務(wù)系統(tǒng)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問，訪問控制范圍應(yīng)覆蓋于資源訪問相關(guān)的主體、客體及他們之間的操作，應(yīng)由授權(quán)主體配置訪問控制策略，并嚴格限制默認賬戶的訪問權(quán)限；采用的措施主要包括：啟用訪問控制功能：制定嚴格的訪問控制安全策略，根據(jù)策略控制用戶對應(yīng)用系統(tǒng)的訪問，特別是文件操作、數(shù)據(jù)庫訪問等，控制粒度主體為用戶級、客體為文件或數(shù)據(jù)庫表級；權(quán)限控制：對于制定的訪問控制規(guī)則要能清楚地覆蓋資源訪問相關(guān)的主體、客體及它們之間的操作；對于不同的用戶授權(quán)原則是進行能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過大，并在它們之間形成相互制約的關(guān)系；賬號管理：嚴格限制默認賬戶的訪問權(quán)限，重命名默認賬戶修改默認口令，及時刪除多余的過期的賬戶，避免共享賬戶的存在；訪問控制的實現(xiàn)主要采取兩種方式：采用安全操作系統(tǒng)，或?qū)Σ僮飨到y(tǒng)進行安全增強改造；④配置管理確保對配置文件的修改、刪除和訪問權(quán)限的變更，都有驗證授權(quán)并且詳細記錄到日志；避免授予賬戶更改自身配置信息的權(quán)限，除非設(shè)計有明確的要求；使用最小特權(quán)進程和服務(wù)賬戶；確保管理界面的安全；配置管理功能只能由經(jīng)過授權(quán)的操作員和管理員訪問，在管理界面上實施強身份驗證，如使用證書，建議限制或避免使用遠程管理，并要求管理員在本地登錄；如果需要支持遠程管理，應(yīng)使用加密通道，如SSL或VPN技術(shù)；⑤會話管理設(shè)計登錄成功使用新的會話；在用戶認證成功后，應(yīng)為用戶創(chuàng)建新的會話并釋放原有會話，創(chuàng)建的會話憑證應(yīng)滿足隨機性和長度要求，避免被攻擊者猜測；會話應(yīng)與IP地址綁定，降低會話被盜用的風(fēng)險；設(shè)計會話數(shù)據(jù)的存儲安全；用戶登錄成功后所生成的會話數(shù)據(jù)應(yīng)存儲在服務(wù)器端，并確保會話數(shù)據(jù)不能被非法訪問，當更新會話數(shù)據(jù)時，應(yīng)對數(shù)據(jù)進行嚴格的輸入驗證，避免會話數(shù)據(jù)被非法篡改；設(shè)計會話數(shù)據(jù)的傳輸安全；用戶登錄信息及身份憑證應(yīng)加密后進行傳輸；如采用COOKIE攜帶會話憑證，必須合理設(shè)置COOKIE的Secure、Domain、Path和Expires屬性；禁止通過HTTPGET方式傳輸會話憑證，禁止設(shè)置過于寬泛的Domain屬性；設(shè)計會話的安全終止；當用戶登錄成功并成功創(chuàng)建會話后，應(yīng)在信息系統(tǒng)的各個頁面提供用戶登出功能，登出時應(yīng)及時注銷服務(wù)器端的會話數(shù)據(jù)；當處于登錄狀態(tài)的用戶直接關(guān)閉瀏覽器時，提示用戶執(zhí)行安全登出或者自動為用戶完成登出過程，從而確保本次會話的安全終止；設(shè)計合理的會話存活時間；不合理的會話存活時間可能會導(dǎo)致會話被劫持和重放攻擊，應(yīng)當合理設(shè)置會話存活時間，超時后銷毀會話，清除會話的信息；設(shè)計避免跨站請求偽造；在涉及關(guān)鍵業(yè)務(wù)操作的頁面，應(yīng)為當前頁面生成一次性隨機令牌，作為主會話憑證的補充；信息系統(tǒng)在執(zhí)行關(guān)鍵業(yè)務(wù)前，應(yīng)檢查用戶提交的一次性隨機令牌，確保其與服務(wù)器端保存的一次性隨機令牌匹配；⑥異常管理一般系統(tǒng)在出錯時，均會拋出異常，而異常信息一般包含了針對開發(fā)和維護人員調(diào)試使用的系統(tǒng)信息；對于惡意用戶，這些信息將增加發(fā)現(xiàn)潛在缺陷并進行攻擊的機會，對于異常管理，主要功能要求包括：使用結(jié)構(gòu)化異常處理機制；使用結(jié)構(gòu)化異常處理機制捕捉異?，F(xiàn)象，可以避免將應(yīng)用程序置于不協(xié)調(diào)的狀態(tài)，有助于保護應(yīng)用程序免受拒絕服務(wù)攻擊；使用通用錯誤信息；程序發(fā)生異常時，應(yīng)向外部服務(wù)或應(yīng)用程序的客戶發(fā)送通用的信息或重定向到特定應(yīng)用網(wǎng)頁，不要暴露可能導(dǎo)致信息泄漏的消息；例如，不要暴露包括函數(shù)名以及調(diào)試內(nèi)部版本時出問題的行數(shù)的堆棧跟蹤詳細信息；程序發(fā)生異常時，應(yīng)終止當前業(yè)務(wù)，并對當前業(yè)務(wù)進行回滾操作，保證業(yè)務(wù)的完整性和有效性，必要時可以注銷當前用戶會話；通信雙方中一方在一段時間內(nèi)未作反應(yīng)，另一方應(yīng)自動結(jié)束回話；程序發(fā)生異常時，應(yīng)在日志中記錄詳細的錯誤消息；⑦應(yīng)用交換安全系統(tǒng)互聯(lián)應(yīng)僅通過接口設(shè)備（前置機、接口機、通信服務(wù)器、應(yīng)用服務(wù)器等設(shè)備）進行，禁止直接訪問核心數(shù)據(jù)庫；接口設(shè)備上的應(yīng)用只能包含實現(xiàn)系統(tǒng)互聯(lián)所必需的業(yè)務(wù)功能，不包含信息系統(tǒng)的所有功能；接口設(shè)備必須部署在信息系統(tǒng)的系統(tǒng)互聯(lián)區(qū)域；禁止明文傳輸，傳輸?shù)拿舾袛?shù)據(jù)必須經(jīng)過加密，可以采用加密傳輸協(xié)議，如HTTPS，對于密碼、密鑰必須在傳輸前進行加密；對于大量數(shù)據(jù)加密，應(yīng)使用對稱加密算法或同等密鑰強度的其他加密算法，要對需暫時存儲的數(shù)據(jù)加密，應(yīng)考慮使用加密速度較快但強度較弱的算法；互聯(lián)系統(tǒng)的連接中應(yīng)通過防火墻或其他可以限制非授權(quán)范圍的設(shè)備實現(xiàn)網(wǎng)絡(luò)訪問控制；其他系統(tǒng)訪問本系統(tǒng)設(shè)備應(yīng)經(jīng)過認證，根據(jù)傳送數(shù)據(jù)的敏感程度和處理業(yè)務(wù)的重要性考慮使用比簡單的用戶名、口令或更強的身份認證方式，如指定來源、數(shù)字證書、USBKey；各種收發(fā)數(shù)據(jù)、消息的日志都應(yīng)予以保存，以備審計與核對；5）數(shù)據(jù)安全：本項目主要涉及健康管理事項，在數(shù)據(jù)安全、數(shù)據(jù)脫敏方面需要做好相關(guān)的防護工作，通過數(shù)據(jù)安全防控建立一套數(shù)據(jù)安全的管理應(yīng)用；①數(shù)據(jù)處理安全（1）采集傳輸安全對傳輸協(xié)議、鏈路進行加密，保障傳輸安全；對數(shù)據(jù)進行簽名和驗簽，防止身份抵賴；（2）數(shù)據(jù)分發(fā)特權(quán)賬號管理對數(shù)據(jù)庫賬號進行安全管理，防止賬號被篡改；數(shù)據(jù)分發(fā)服務(wù)訪問數(shù)據(jù)資源庫時，通過特權(quán)賬號管理服務(wù)獲取數(shù)據(jù)庫賬號；（3）數(shù)據(jù)操作審計對分布式文件系統(tǒng)、分布式數(shù)據(jù)庫和數(shù)據(jù)倉庫、關(guān)系型數(shù)據(jù)庫、非關(guān)系型數(shù)據(jù)庫等的數(shù)據(jù)操作行為進行審計；根據(jù)預(yù)置規(guī)則或語義分析，發(fā)現(xiàn)并記錄異常數(shù)據(jù)操作行為、高危操作行為、敏感數(shù)據(jù)操作行為；（4）數(shù)據(jù)服務(wù)數(shù)據(jù)服務(wù)訪問控制：根據(jù)最小權(quán)限原則分配數(shù)據(jù)服務(wù)訪問權(quán)限；基于可信API代理服務(wù)，訪問數(shù)據(jù)服務(wù)；對應(yīng)用服務(wù)進行身份認證，確保應(yīng)用服務(wù)身份的合法性；鑒別應(yīng)用服務(wù)訪問權(quán)限，確保沒有超出授權(quán)使用范圍；支持基于標簽的訪問控制或可用不可見模式，實現(xiàn)數(shù)據(jù)安全服務(wù)；（5）第三方日志審計通過日志審計系統(tǒng)，實現(xiàn)對用戶操作行為和接口服務(wù)情況的完整記錄，有效防范因數(shù)據(jù)盜取、越權(quán)訪問等行為造成的敏感信息泄露的違法違紀行為，保護數(shù)據(jù)安全；②數(shù)據(jù)組織安全數(shù)據(jù)組織是指根據(jù)數(shù)據(jù)應(yīng)用需求，按照數(shù)據(jù)定義的標準統(tǒng)一、數(shù)據(jù)規(guī)范的組織方案，實現(xiàn)數(shù)據(jù)資源分類建庫；通過文件加密、數(shù)據(jù)庫加密等方式，保障數(shù)據(jù)存儲安全；（1）對傳輸?shù)奈募M行加密；（2）對保存在數(shù)據(jù)庫中的數(shù)據(jù)進行加密，阻止數(shù)據(jù)庫文件被下載或者被復(fù)制，防止數(shù)據(jù)被泄露和破壞；③數(shù)據(jù)服務(wù)安全數(shù)據(jù)服務(wù)是指各類數(shù)據(jù)資源對外提供的訪問和管理能力，數(shù)據(jù)資源包括原數(shù)據(jù)庫、數(shù)據(jù)資源目錄等；數(shù)據(jù)服務(wù)安全基于現(xiàn)有的資源進行建設(shè)；（1）數(shù)據(jù)服務(wù)化通過數(shù)據(jù)層接口提供數(shù)據(jù)服務(wù)，降低數(shù)據(jù)泄露的風(fēng)險；采用前后臺分離的方式，數(shù)據(jù)服務(wù)控制數(shù)據(jù)訪問，基于可信API代理訪問數(shù)據(jù)；（2）數(shù)據(jù)服務(wù)訪問控制在應(yīng)用服務(wù)調(diào)用數(shù)據(jù)服務(wù)的過程中，驗證應(yīng)用服務(wù)身份，鑒別訪問請求權(quán)限：根據(jù)最小權(quán)限原則分配數(shù)據(jù)服務(wù)訪問權(quán)限；基于可信API代理服務(wù)，訪問數(shù)據(jù)服務(wù)；對應(yīng)用服務(wù)進行身份認證，確保應(yīng)用服務(wù)身份的合法性；鑒別應(yīng)用服務(wù)訪問權(quán)限，確保沒有超出授權(quán)使用范圍；支持基于標簽的訪問控制或可用不可見模式，實現(xiàn)數(shù)據(jù)安全服務(wù)；（3）數(shù)據(jù)授權(quán)根據(jù)用戶屬性、數(shù)據(jù)屬性、數(shù)據(jù)操作行為配置數(shù)據(jù)訪問權(quán)限策略；通過權(quán)限管理服務(wù)，基于用戶級別、數(shù)據(jù)級別配置數(shù)據(jù)訪問權(quán)限策略，數(shù)據(jù)訪問權(quán)限策略包含業(yè)務(wù)范圍界定、數(shù)據(jù)分級分類、數(shù)據(jù)訪問頻度、時間范圍界定等，應(yīng)根據(jù)主體的環(huán)境屬性及安全狀態(tài)動態(tài)調(diào)整訪問權(quán)限，支持靜態(tài)授權(quán)和動態(tài)授權(quán)；支持對分級分類的數(shù)據(jù)按照用戶、角色或類別進行授權(quán)；（4）數(shù)據(jù)備份A.本系統(tǒng)相關(guān)數(shù)據(jù)每天執(zhí)行一次增量備份，每周執(zhí)行一次全量備份；B.數(shù)據(jù)脫敏安全C.針對涉及國家安全、個人隱私等敏感數(shù)據(jù)，需進行數(shù)據(jù)脫敏脫密處理，同時保證在不違反系統(tǒng)規(guī)則下保持改造的脫敏數(shù)據(jù)信息格式正確有效；數(shù)據(jù)脫敏依據(jù)敏感數(shù)據(jù)等級劃分，制定相應(yīng)的脫敏規(guī)則，選取適當?shù)拿撁羲惴?，開展敏感數(shù)據(jù)脫敏；數(shù)據(jù)脫敏過程執(zhí)行完成后，應(yīng)對脫敏數(shù)據(jù)有效性進行驗證，保證脫敏后的數(shù)據(jù)可用性和安全性達到相應(yīng)的要求；3.2信息系統(tǒng)安全管理方案信息系統(tǒng)的安全，是指為信息系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏，以保證系統(tǒng)連續(xù)正常運行；信息系統(tǒng)的安全方案是為發(fā)布、管理和保護敏感的信息資源而制定的一級法律法規(guī)和措施的總和，是對信息資源使用、管理規(guī)則的正式描述，是所有人員都必須遵守的規(guī)則；信息系統(tǒng)受到的安全威脅有：操作系統(tǒng)的不安全性、防火墻的不安全性、來自內(nèi)部人員的安全威脅、缺乏有效的監(jiān)督機制和評估網(wǎng)絡(luò)系統(tǒng)的安全性手段、系統(tǒng)不能對病毒有效控制等；1）設(shè)備的物理安全:硬件設(shè)備事故對信息系統(tǒng)危害極大，如電源事故引起的火災(zāi)，機房通風(fēng)散熱不好引起燒毀硬件等，嚴重的可使系統(tǒng)業(yè)務(wù)停頓，造成不可估量的損失；輕的也會使相應(yīng)業(yè)務(wù)混亂，無法正常運轉(zhuǎn)；對系統(tǒng)的管理、看護不善，可使一些不法分子盜竊計算機及網(wǎng)絡(luò)硬件設(shè)備，從中牟利，使企業(yè)和國家財產(chǎn)遭受損失，還破壞了系統(tǒng)的正常運行；因此，信息系統(tǒng)安全首先要保證機房和硬件設(shè)備的安全；要制定嚴格的機房管理制度和保衛(wèi)制度，注意防火、防盜、防雷擊等突發(fā)事件和自然災(zāi)害，采用隔離、防輻射措施實現(xiàn)系統(tǒng)安全運行；2）管理制度：在制定安全策略的同時，要制定相關(guān)的信息與網(wǎng)絡(luò)安全的技術(shù)標準與規(guī)范；技術(shù)標準著重從技術(shù)方面規(guī)定與規(guī)范實現(xiàn)安全策略的技術(shù)、機制與安全產(chǎn)品的功能指標要求；管理規(guī)范是從政策組織、人力與流程方面對安全策略的實施進行規(guī)劃；這些標準與規(guī)范是安全策略的技術(shù)保障與管理基礎(chǔ)，沒有一定政策法規(guī)制度保障的安全策略形同一堆廢紙；要備好國家有關(guān)法規(guī)，如：《計算機信息系統(tǒng)安全保護條例》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》《商用密碼管理條例》等，做到有據(jù)可查；同時，要制定信息系統(tǒng)及其環(huán)境安全管理的規(guī)則，規(guī)則包含下列內(nèi)容：崗位職責：包括門衛(wèi)在內(nèi)的值班制度與職責，管理人員和工程技術(shù)人員的職責；信息系統(tǒng)的使用規(guī)則，包括各用戶的使用權(quán)限，建立與維護完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫，嚴格對系統(tǒng)日志進行管理，對公共機房實行精確到人、到機位的登記制度，實現(xiàn)對網(wǎng)絡(luò)客戶、IP地址、MAC地址、服務(wù)賬號的精確管理；軟件管理制度；機房設(shè)備（包括電源、空調(diào)）管理制度；網(wǎng)絡(luò)運行管理制度；硬件維護制度；軟件維護制度；定期安全檢查與教育制度；下屬單位入網(wǎng)行為規(guī)范和安全協(xié)議；3）網(wǎng)絡(luò)安全：按照網(wǎng)絡(luò)OSI七層模型，網(wǎng)絡(luò)系統(tǒng)的安全貫穿于整個七層模型；針對網(wǎng)絡(luò)系統(tǒng)實際運行的TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的以下層次：物理層安全：主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等）；鏈路層安全：需要保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊