系统安全性设计报告
一、总体概述
整个系统的安全取决于系统运行物理环境的安全性、服务器及网络的安全性、操作系统的安全性、应用系统的安全性及应用数据的安全性等,通过设计实施整体的安全策略,对安全策略的实施结果进行评估,及时采取修复补救措施,调整安全预防策略,综合动态地进行系统安全管理。
本系统的安全体系和一般信息系统的类似,也需要设计实施整体综合的安全策略,确保系统的安全运行。
二、系统面临的安全威胁
本系统作为电子公文的管理系统,需要考虑系统及数据可能面临的以下安全威胁:
-
非人为因素:服务器意外断电、损坏、硬盘出错或损坏,网络中断等;
-
人为因素:操作失误,恶意攻击,病毒破坏等;
-
信息泄露、信息窃取、假冒、抵赖等;
-
系统软件安全漏洞。
三、安全策略
在系统实施过程中遵循以下方面的安全策略:
(一)网络安全
1. 要求
-
保证主要网络和通信线路冗余
-
保证网络各个部分的带宽满足业务高峰期需要
-
加强网络访问控制
2. 网络安全
本系统构建在专有内部网络,部署遵循网络架构,不同功能层/区之间的访问严格按照点对点进行访问控制。
网络中安装防火墙,进行访问检测、监测、控制、审查分析,阻止非法恶意攻击入侵,高级别的保护可以禁止一些服务,如Java、ActiveX、JavaScript脚本等,阻止恶意代码进入。
(1)外联系统网络安全
本系统与外联系统的数据传输网络安全严格遵照执行外联网络建设相关规范的安全要求,同时复用已有的互联网连接及其安全控制措施:
-
定期分析、评估防火墙和IDS的日志,及时处理各级报警信息,并采取有效措施进行解决。对发现的恶意入侵事件应及时处理并立即上报。
-
安装Windows系统的统一外联平台主机按照行业规定安装相关安全软件,并确保能够及时升级病毒库和系统补丁。
(2)服务器及客户端系统安全
为避免单点故障,应用服务器、数据库服务器等需采用集群或HA配置。
对于服务器操作系统,进行相应的安全配置维护管理,及时打补丁,安装反病毒程序,定期查杀病毒,根据实际情况及时进行安全策略调整,定期进行有关系统的数据备份。
对于数据库系统,进行相应的安全配置维护管理,根据实际情况及时进行安全策略调整,定期进行数据库系统的有关备份;
由于客户端计算机重要性极大,故容易受到病毒感染、恶意攻击等,可能会进一步影响到服务器,因此,对客户端计算机也要采取安全措施,进行相应的安全配置管理,如设置有效的系统密码,设置较高的浏览器级别,及时打补丁,安装反病毒程序,定期查杀病毒,根据实际情况及时采取安全措施。
(3)终端准入机制
系统具备终端准入机制,只能允许已经注册认证的合法终端才能够访问系统服务。
系统根据IP设置接入应用的黑白名单。
(二)主机安全
1. 要求
-
具有身份认证与标识、鉴别功能
-
控制用户对资源的访问权限
2. 主机安全
(1)身份认证与标识、鉴别
系统提供完备的权限管理、用户认证、密钥管理方案。
系统支持多地机要部门认证机制,目前已在使用密码。
系统支持用户认证失败超过指定次数后的锁定机制,用户锁定后需要公文系统管理员对其进行解锁,用户忘记密码可以向公文系统管理员申请重置密码。
用户密码认证支持有效期,超过有效期后,会要求用户修改密码。
系统可控制用户登陆地点,通过机构下可使用IP地址范围,限定不在IP地址范围内终端不得登陆。
平台可采用SSL加密传输的方式,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止,而且每次会话所使用的加密密钥都是随机产生的。
- 鉴别机制(采用用户名和口令机制)
输入口令字时以“*”回显。
用户的口令是以密文方式存在数据库中。
用户认证通过后,如果在一定时间内(该时间可以通过配置文件设定)无操作,需要重新认证。
- 鉴别失败处理
当用户连续鉴别错误次数超过门限条件时(该次数可以通过配置文件设定),将该用户锁定,该用户必须通过管理员解锁。
返回有限的失败信息(“用户名或密码错”)。
- 应用系统中的口令规范
系统限制口令长度至少六位。
口令存储的密码技术使用与密码支持按本页密码支持的要求。
系统初始化用户时,默认密码为指定字符串,用户第一次登录系统时强制要求修改初始密码。
强制口令一定期限内(此期限是在参数中定义的)更新,默认为30天。
(2)资源利用
系统能够对应用系统的最大并发会话连接数进行限制。
(三)应用安全
1. 要求
-
对用户进行资源访问授权
-
通信完整性,通过哈希值、摘要保证通信完整性
-
通信保密性要求,通过专用的通信协议或加密的方式保证通信过程的加密性
-
系统提供完整的系统日志
2. 应用安全
(1)访问控制
- 访问控制机制
系统权限控制以角色为权限集合,控制用户权限。
粗粒度控制“系统功能(菜单)”访问权限。
细粒度控制数据权限,如:“页面表单元素(文本框、下拉框、按钮等)”操作权限、列表一条数据的查看、修改、删除权限。
- 系统支持用户会话超时失效,自动退出功能
(2)安全审计
系统提供完善的日志管理体系。系统对用户登录情况,如登录用户、进入时间、操作功能项等进行自动记录; 对于数据录入、数据提交、任务开始和数据分析等应用处理的时间、数据范围、 执行情况等也自动记录日志,以便出问题时跟踪追查审计。
系统对请求的数据报文都记录接受时间,响应时间,接口报文,操作员,请求成功标识等信息,便于追踪请求数据的正确性及及时找出错误原因。
- 安全审计机制
系统具有机构、用户、交易的安全控制审计机制。
系统通过身份及密码验证、操作日志登记及查询、系统日志登记及查询、交易复核及授权、交易权限配置等机制,保证系统的安全。系统在客户端登陆,服务端会签发一个token发送给客户端,客户端将token存储在cookie里,后面客户端访问服务端都需要带着token去访问,服务端首先要对客户端token进行验证,通过后才允许访问。
系统提供重要信息变更登记机制,系统会登记修改前后的信息要素,供查询或审计使用。
系统提供详细的系统日志及报文日志,同时提供数据库变更日志,确保数据安全性。同时提供数据一致性检查的功能。
系统对于交易数据和日志,系统具有完善的防篡改机制,防止对数据和系统日志文件进行直接修改。系统对于前端请求后端的机制进行了相关类名,方法,数据进行加密处理,无法对前端数据进行篡改。系统通讯层可以对报文中的敏感字段进行加密处理,如密码等,以防密码信息泄露,同时通讯层可以对报文进行sm3计算,然后将计算的值放入报文头中,系统得到报文之后对报文体在进行sm3计算,然后将计算的值跟报文头中的sm3值进行比较,以确保报文未被篡改,保证数据传输的安全性。
系统在数据库层和应用层,进行严格的操作权限控制,防止对数据和系统日志文件进行直接修改。
- 日志产生
系统后台可配置产生功能调试日志,如:
访问功能相关的SQL语句;
系统记录用户登录日志;
可配置记录用户菜单访问日志;
可配置记录系统功能日志:系统可配置性记录用户的功能操作日志,日志记录包括操作时间、操作用户、操作对象、操作用户IP等。
(3)加密算法支持
系统符合GMT 0054-2018 《信息系统密码应用基本要求》和 国家标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》最新规定及要求,支持国密算法,包括:SM1对称加密算法,SM2公钥算法,SM3密码杂凑算法,其中SM1对称加密算法,采用硬件实现;SM2国家密码管理局公布的公钥算法;SM3密码杂凑算法。
(4)系统日志
系统对所有系统操作提供日志记录,包括但不限于变更类操作的用户、发生时间、具体操作动作和变更内容,并提供日志管理功能,包括但不限于友好的日志查询与管理界面、日志记录策略的设置以及日志的安全性的保障。
系统提供对新增类数据审计日志、变更类数据审计日志的查询。
系统提供日志导出功能。
系统提供多维度的安全性保障措施:
日志记录中包含了时间戳字段,避免被非法篡改;
日志表本身也可以配置登记变更日志的策略,可以达到双重保障;
日志中的敏感数据支持字段级配置化加密;
日志表中的数据可以配置数据清理策略,将历史数据的持久化纳入全行级数据生命周期管理中。
(四)数据安全
1. 要求
-
保证数据完整性,保密性
-
提供完备的和切实可行的数据备份与恢复方案,以及切换演练和应急切换步骤
2. 数据安全
(1)数据备份策略
系统产品在实施过程中将提供完备的和切实可行的数据备份与恢复方案,以及切换演练和应急切换步骤。
- 数据备份策略
数据库运行在归档日志模式,可以联机在线进行备份,不影响数据库的访问。数据表采用定期归档、备份策略;
定期(如:每个月进行)将数据表进行清理,将过期数据导入归档数据库,并对归档库进行备份;
同时,对在线库进行定期(全备可以定为每月)全备,并结合每天增量备份的方式;
归档、备份时不影响系统运行。
一般性数据恢复时首先确定恢复数据和时点,并从备份数据中先恢复全量备份,再恢复之后的增量备份,完成恢复。
对于灾难性恢复,则通过恢复最近一次的数据备份及源系统数据进行数据追补。日常备份最小时间间隔不大于1 天,以保障灾难发生时数据丢失小于24小时的RPO目标。
备份数据异地保存,并配置灾备软硬件环境,每日备份数据预先恢复到灾备环境,当灾难发生时,只需要做切换工作,以保障业务中断不超过4小时的RTO目标。
- 备份时间点
备份时间应该避开数据处理繁忙时间段,可在每天批处理完成后进行备份。
(2)数据传输安全
系统支持数据存储、数据传输、密钥管理等方面的安全功能。系统与其他系统间的数据交互,采用数据接口文件方式进行,系统之间数据库不互相开放。与其他系统间批量数据文件传输通过企业数据集成平台进行,传输过程中建议对数据进行压缩、加密,实现数据安全可控传输。
用户客户端与WEB、应用服务器间支持采用HTTPS协议,对数据传输过程进行加密。
