第七章软件安全方案设计.docx
- 文档编号:15813236
- 上传时间:2023-07-08
- 格式:DOCX
- 页数:8
- 大小:20.39KB
第七章软件安全方案设计.docx
《第七章软件安全方案设计.docx》由会员分享,可在线阅读,更多相关《第七章软件安全方案设计.docx(8页珍藏版)》请在冰点文库上搜索。
第七章软件安全方案设计
第七章软件安全方案设计
结合GB/T22240《信息安全技术网络安全等级保护定级指南》,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息系统被破坏后造成危害的严重性角度对信息系统确定的等级,国家相关部门发布《企业自建和第三方电子服务平台建设标准规范》。
规范中规定了电子服务平台的服务内容和基本建设要求,明确电子服务平台的服务对象、业务要求以及各项基本建设要求,各项基本建设要求包括服务要求、技术要求、安全要求、运维要求和等保测评要求等。
该规范适用于电子服务平台的整体规划、设计、开发、运行。
其中,在规范“10.电子服务平台等保测评要求”章节中要求“为确保电子服务平台在安全方面符合要求,电子服务平台应按信息安全等级保护三级要求建设,每年进行一次等保测评,测评结果及相应证书应及时提交到税务机关备案。
电子服务平台应接受税务机关统一监管。
”
在GB/T22239—2018«信息安全技术网络安全等级保护基本要求》中描述“第三级安全保护能力:
应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
”
根据确定的等级及国家《信息安全技术网络安全等级保护基本要求》,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理及安全运维等方而提出具体要求,结合部门规范中电子服务平台安全要求,从电子生成安全、数据存储安全、数据传输安全、数据管理安全、应用安全等具体分以下五部分内容进行阐述。
7.1.电子数据生成安全
电子数据生成是指将全部电子数据生成电子版式文件的过程。
电子数据服务平台通过数据接口服务对数据进行数字签名,确保数据的安全、防篡改和防抵赖。
用户在数据服务平台上传输数据会通过私钥对数据进行数字签名,并通过SSL协议一同上传至相关部门,可防止在传输中被篡改。
7.2.数据存储安全
电子数据服务平台按相关部门的要求,对敏感数据进行加密存储,在加密过程中使用的密码技术要符合国家密码管理相关密码技术要求,确保数据的安全性和完整性。
电子数据服务平台及时对数据进行备份,并同时在异地进行数据灾备,防止重要数据被破坏或丢失。
电子数据服务平台备份的对象包括系统平台环境、应用系统环境以及各类业务实际的数据。
其中系统平台环境和应用系统环境,一般不会随时间增长而增加备份空间,数据量不大,待上线前配置固定后集中备份一次长期保存,后续有重大配置变更时临时备份一次,保留该备份半年,半年后确认无问题后该临时备份代替原备份长期保存。
而各类实际的业务数据,数据量随使用时间的增长而不断增加,需要考虑必要的备份空间,备份策略设计如下:
每周一次全备,每日增量备份,每个备份保留两个星期。
7.3.数据传输安全
7.4.数据加密
数据对象之间的传输进行加密和数字签名确保数据的真实性和不可篡改性,实现数据传输安全。
7.5.数据签名
根据安全需要,数据在传输过程中可使用数字签名确保真实性、完整性、不可抵赖性,使用数字签名时符合以下要求:
1.充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。
2.根据数据的敏感程度,确定签名算法的类型、属性以及所用的密钥长度。
3.用于数字签名的密钥应不同于用于加密的密钥。
4.签名算法应充分考虑数据传输的效率。
7.6.数据管理安全
对于数据的管理,制定健全、可操作的安全管理制度,明确安全目标、明确责权。
对电子数据的各项操作要具备完整的H志记录,日志记录不少于6个月。
对操作人员进行权限管理,采用多角色分权管理方式,使各人员都在一个可控的范围内完成相关职责,对于重要操作应采用多操作员共同授权、同时操作的方法提高安全性。
重点防范对电子数据的非法使用、恶意破坏、信息泄露等安全风险。
未经许可,严禁通过远程技术对己投入运行的网络设备进行访问。
网络、主机、数据加登录用户名及密码、网络拓扑等相关信息严格保密,建立涉密密码使用及定期更换制度,涉及运行维护和网络设备情况的图纸资料须执着保存,由专人存档保管,并严格控制技术资料的借阅范围,借阅者不得对外泄密。
严格控制涉密工件的人员范围,严格控制涉密文件的分布范围。
涉密工作人员工作变动时,要做好包括涉密资料在内的工作移交,离岗人员必须删除其涉密文件。
使用堡垒机等安全设备进行安全网络准入控制及访问,杜绝系统内外部对主机、网络设备、加密机的非法访问,建立访问FI志审计制度。
所有运行维护人员必须严格遵守保密纪律,保守数据机密,不得向无关人员泄露有关技术资料。
所有机房原始记录,未经允许,不得带出机房;
凡外来人员进入机房,必须经木单位信息负责人批准,履行登记手续,并由本单位相关人员陪同。
外来人员进入机房作业,必须由值班人员现场监督。
7.7.安全管理中心
设置主机集中审计系统,对服务器、网络设备、安全设备等的系统日志进行集中审计。
设置堡垒机系统,对运维管理进行身份鉴别、访问控制和审计。
设置集中网络流量分析和网络攻击监测系统、态势感知和集中管控系统。
7.8.安全管理制度
依靠网络安全管理制度体系,按照网络安全工作的总体方针和安全策略文件,建立电子数据服务平台安全管理制度,做好系统安全与版木控制工作,适时对管理制度的合理性和适用性进行评审和修订。
7.9.安全管理机构和人员
成立电子数据服务平台网络安全领导小组、网络安全工作小组。
要求相关人员具备相应专业技能。
外部人员进行项目建设时,签署保密协议。
7.9.1.安全运维管理
指定专门的部门或人员负责机房安全并对人员、设备进出机房进行管理,遵守《存储介质的管理办法》等制度类文档。
管理人员和运维人员的按照相关制度类文件的要求进行安全规范的运维操作,并留存有各类运维操作等表单类文档可核查。
7.10.主机安全
7.11架构安全
服务器、虚拟机、操作系统、数据库、中间件、负载均衡等应采用高可用、高可靠的集群技术,为应用系统提供稳定可靠的运行环境。
所有关键设备硬件应冗余配置,确保硬件层面的安全可靠性,避免出现单点隐患。
7.11.1.入侵防御
主要通过采用防火墙、防病毒系统保证机房环境下各主机的安全;通过漏洞扫描对局域网、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描,查找并修复系统安全漏洞,降低系统安全风险。
7.11.2.主机系统安全加固
从身份鉴别、访问控制、入侵防范、资源控制、安全审计等方而对主机进行安全加固,提高主机系统抗攻击能力。
7.11.3.监控审计
具备H志审计功能,审计日志支持转储。
审计范围涵盖主机系统用户,审计内容包扌舌用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
系统应对安全审计记录进行保护,避免删除、修改和覆盖;可限制非授权用户浏览和查看审计记录。
7.11.4.恶意代码防范
在互联网接入区域部署Web应用防火墙,采用多种Web安全检测方法,以抵御各类Web安全威胁和拒绝服务攻击。
7.11.5.漏洞扫描
在运维管理区域部署漏洞扫描系统,以检测网络风险,提供安全和修补处议。
7.12.应用安全
7.13.身份认证
电子数据服务平台提供双因子认证机制,用户须通过双因子身份认证才能访问电子数据服务平台。
1.身份认证方式
电子数据服务平台使用用户口令、图形验证码、短信验证码等多种认证方式。
支持用户名、口令+图形验证码+手机短信验证码的认证方式,保证认证通过的用户访问系统采用“用户名、口令+短信“的方式登录应用系统时,用户输入的用户名和密码都是通过证书进行加密的方式,传输给系统服务器,系统服务器根据用户提交的用户名和密码,利用证书解密用户名、密码,来判断用户的身份。
系统基于HTTPS+SSL加密隧道进行登录用户信息传输,身份凭证信息使用证书进行加密处理并存储,涉及前端页面管理登录方式,不在COOKIE中保存用户密码。
使用图形验证码+手机短信验证码的验证机制防止机器人攻击,确保用户登录是真实的人为操作。
2.设计密码策略,保证密码安全
按照强密码规则进行密码设置,密码长度设定不少于8位,必须数字、字母及其他字符三种方式的组合,密码有效期为一个月,一个月后用户必须修改密码,否则无法登录系统,并且修改后的密码不能与原密码相同。
3.设计图形验证码,增强身份认证安全
设计界而输入的软件,采用图形验证码来增强身份认证安全;图形验证码要求长度为4位,随机生成且包含字母与数字的组合,经过一定的噪点和扭曲干扰,验证码单次有效,且设置图形验证码的失效时间为60秒,抵抗工具的自动识别但同时不会影响用户的正常使用。
4.设计账号锁定功能
密码设定超限次数为3次,超过错误次数,用户不能登录系统,必须由系统理员进行解锁后才能登录。
5.分区域权限控制
系统划分不同的切问区域,对于系统的不同用户,系统管理员可以设定不同系统操作权限。
应用系统在身份认证的基础上,给不同的身份授予不同区域的的访问权限。
使他们可以进行相应授权的操作。
6.同一用户同时只允许登录一个,系统具有判断用户重复登录的功能。
7.14.权限管理
电子数据服务平台提供完整统一的安全访问机制,对用户的访问权相进行安全管理。
将超级管理员权限分配给系统管理员、安全管理员、审计员,“三员”相互独立、相互制约,配合制度建设,有效的加强信息系统保密管理,减少泄密风险。
1•设计资源访问控制方案,验证用户访问权限
系统管理员可以设置受限资源的访问策略,限制用户不能访问到未授权的功能和数据;
2.限制用户对系统级资源的访问
系统设定系统级资源的访问策略,系统级资源包括文件、文件夹、注册表项、ActiveDirectory对象、数据库对象、事件H志等,未经授权的用户不能访问系统。
3.设计后台管理控制方案
系统后台设定白名单IP,列入白名单的IP才能接入系统。
4.设计在服务器端实现访问控制
系统在服务器端实现对系统内受限资源的访问控制,客户端在受限范围内访问服务端资源。
5.设计统一的访问控制机制
系统采用统一的访问控制机制,保证整体访问控制策略的一致性,访问控制策略进行加密设置,只有合法用户才能进行策略的修改。
6.防功能滥用设计
系统实时监控访问异常情况,当出现大量异常HTTP请求攻击时,系统立刻阻断该IP的访问请求。
7.应用启动进程的权限尽可能小
应用系统使用的操作系统账号,在操作系统环境中设置最低权限。
uAdministrator":
root”,"sa”,"sysman”,“Supervisor"等特权用户将收回,不能用于应用程序启动和维护,包括连接到网站服务器、数据库、或中间件。
8.授权粒度尽可能小
系统可以按照用户、角色、模块、权限设定关联关系,以达到最小粒度的权限设定。
7.15.审计跟踪
电子数据发票服务平台对系统中重要行为进行记录,可通过审计识别和跟踪未被授权的行为。
识别和跟踪的对象包括管理员、用户以及系统自身的行为。
由于审计跟踪会产生大量的信息,在具体实施中管理员可以限定一些必须审计的行为,这些审计包括但不限于以下行为:
电子文件的浏览、下载、另存、打印等。
审计日志保存期限不少于6个月。
用户访问信息系统时,对登录行为、业务操作以及系统运行状态进行记录与保存,保证操作过程可追溯、可审计,确保业务日志数据的安全。
日志记录按如下设计:
1.审计日志格式使用syslog方式。
2.日志记录事件至少包含以下事件:
审计功能的启动和关闭;信息系统的启动和停止;配置变化。
3.用户对数据的异常操作事件,包括:
不成功的存取数据尝试;数据标志或标识被强制覆盖或修改;对只读数据的强制修改;来自非授权用户的数据操作;特别权限用户的活动。
4.审计日志包含如下内容:
用户ID或引起这个事件的处理程序ID、事件的日期、时间(时间戳)、事件类型、事件内容、事件是否成功、请求的来源(例如请求的IP地址)。
5.审计日志禁止包含如下内容,如必须包含,应做模糊化处理;用户敏感信息(如密码信息等)、客户完整交易信息、客户的隐私信息(如银行卡信息、密码信息、身份信息等)。
6.防止业务H志欺骗,如果在生成业务日志时引入来自非受信源的数据,则需要进行严格校验,防止欺骗攻击。
7.业务日志安全存储与访问
禁止将业务日志保存到WEB目录下,确保业务日志数据的安全存储并严格限制对业务H记的访问权限;应对业务日志记录进行数字
签名来实现防篡改;H志保存期限应与系统应用等级相匹配。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第七 软件 安全 方案设计