信息系統(tǒng)等保安全方案

信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全

設(shè)計(jì)安全方案目錄TOC\o"1-5"\h\z概述 1\o"CurrentDocument"需求分析方法和框架模型 2\o"CurrentDocument"2.1需求收集 2\o"CurrentDocument"2.1.2合規(guī)需求 22.1.3安全體系框架 22.1.4安全指南 32.2需求導(dǎo)入和分析 4\o"CurrentDocument"應(yīng)用系統(tǒng)安全功能規(guī)范 6\o"CurrentDocument"3.1身份鑒別 6\o"CurrentDocument"3.2授權(quán)管理 6\o"CurrentDocument"3.3訪問(wèn)控制 6\o"CurrentDocument"3.4系統(tǒng)安全審計(jì) 7\o"CurrentDocument"3.5通信安全 7\o"CurrentDocument"3.6數(shù)據(jù)安全 7\o"CurrentDocument"3.7抗抵賴 8\o"CurrentDocument"3.8軟件容錯(cuò) 8\o"CurrentDocument"3.9資源控制 8一-概述信息系統(tǒng)的安全運(yùn)行關(guān)系到業(yè)務(wù)的安全，而完善的安全功能設(shè)計(jì)是保障整體系統(tǒng)安全性的前提，本項(xiàng)目參考傳統(tǒng)的軟件開(kāi)發(fā)生命周期（SDLC）的各階段分組，并在其中嵌入了針對(duì)安全保障的各類(lèi)手段和措施，以確保該系統(tǒng)在最終的需求、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、發(fā)布各階段均能滿足下列業(yè)務(wù)系統(tǒng)安全目標(biāo)：登錄過(guò)程防假冒以及信息泄漏；交易過(guò)程防假冒、防抵賴以及防止信息泄漏；保障系統(tǒng)可用性。此次業(yè)務(wù)安全需求分析進(jìn)行了下面具體活動(dòng)：需求收集，包括合規(guī)需求、安全體系框架和安全指南參考；需求分析；安全功能規(guī)范框架形成；安全功能規(guī)范。通過(guò)最終形成的安全功能規(guī)范，可以從需求和設(shè)計(jì)的角度分析應(yīng)用系統(tǒng)在設(shè)計(jì)階段前需要明確的各類(lèi)安全要求，并最終形成統(tǒng)一的功能規(guī)范框架；通過(guò)對(duì)每一條具體功能需求的滿足，以確保其安全概要設(shè)計(jì)和具體設(shè)計(jì)細(xì)則能夠真正從企業(yè)業(yè)務(wù)安全需求出發(fā)，并全面有效地控制應(yīng)用系統(tǒng)可能面臨的風(fēng)險(xiǎn)。在本文中，我們描述了當(dāng)前需求收集的主要來(lái)源以及需求導(dǎo)入和分析的手段和方法，并最終形成了適用于應(yīng)用系統(tǒng)的安全功能規(guī)范框架，并通過(guò)第三章詳細(xì)對(duì)其中的每一個(gè)功能模塊的具體需求進(jìn)行逐一的描述，詳見(jiàn)本文第三章“應(yīng)用系統(tǒng)安全功能規(guī)范”二.需求分析方法和框架模型2.1需求收集應(yīng)用系統(tǒng)安全要求應(yīng)用系統(tǒng)安全要求在需求/設(shè)計(jì)階段，目前PICC應(yīng)用系統(tǒng)的安全需求來(lái)自于下列三個(gè)領(lǐng)域:2.1.2合規(guī)需求待完善2.1.3安全體系框架為確保能夠通過(guò)體系化的方式充分考慮應(yīng)用系統(tǒng)可能存在的風(fēng)險(xiǎn)，結(jié)合應(yīng)用系統(tǒng)的業(yè)務(wù)特點(diǎn)和防護(hù)需要，需求收集階段采納了ISO/IEC27002以及《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》，具體內(nèi)容包括：ISO/IEC27002“信息系統(tǒng)的獲取、開(kāi)發(fā)和保持”部分12.1信息系統(tǒng)的安全要求12.2.信息系統(tǒng)的正確處理12.3.加密控制12.4系統(tǒng)文件安全12.5.開(kāi)發(fā)和支持過(guò)程安全12.6技術(shù)脆弱點(diǎn)管理?信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)第三級(jí)安全計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求■用戶身份鑒別■自主訪問(wèn)控制■標(biāo)記和強(qiáng)制訪問(wèn)控制■系統(tǒng)安全審計(jì)■用戶數(shù)據(jù)完整性保護(hù)■用戶數(shù)據(jù)保密性保護(hù)■客體安全重用■程序可信執(zhí)行保護(hù)2.1.4安全指南為使應(yīng)用系統(tǒng)能滿足Web應(yīng)用開(kāi)發(fā)的具體安全要求，本階段主要參考了下列安全指南:OWASPTop10for2010http://www.owasp.Org/index.php/Category:OWASP_Top_Ten_ProjectOWASPTestGuide/r//images/5/56/OWASP_Testing_Guide_v3.pdf

2.2需求導(dǎo)入和分析圖2.2業(yè)務(wù)安全需求收集通過(guò)對(duì)來(lái)自于行業(yè)合規(guī)要求的收集，參考ISO27002、等級(jí)保護(hù)等體系框架，并與業(yè)內(nèi)最佳實(shí)踐相結(jié)合，最終形成來(lái)自于適用于應(yīng)用系統(tǒng)的安全要求。針對(duì)如何梳理其多方面的安全要求以形成滿足行業(yè)要求、安全體系框架以及業(yè)內(nèi)最佳實(shí)踐的功能規(guī)范，當(dāng)前參考了GBT18336（ISO15408）作為需求實(shí)現(xiàn)的主要方法，根據(jù)其第2部分安全功能要求的相關(guān)組件進(jìn)行適用性選擇，最終形成了滿足應(yīng)用系統(tǒng)業(yè)務(wù)安全需求的功能規(guī)范。該功能規(guī)范主要從九個(gè)方面討論了如何在滿足業(yè)務(wù)安全要求的前提下應(yīng)對(duì)可能針對(duì)應(yīng)用系統(tǒng)的各類(lèi)威脅（見(jiàn)圖2.3），具體內(nèi)容可參考本文第三章。

圖2.3業(yè)務(wù)安全需求框架增加一章應(yīng)用架構(gòu)規(guī)范下面談的都是應(yīng)用系統(tǒng)應(yīng)該具備的功能，那么應(yīng)用系統(tǒng)如何來(lái)架構(gòu)這些功能呢?用戶展現(xiàn)與業(yè)務(wù)邏輯分離？應(yīng)用和數(shù)據(jù)庫(kù)獨(dú)立？什么情況下需要前置？三.應(yīng)用系統(tǒng)安全功能規(guī)范3.1身份鑒別標(biāo)識(shí)和鑒別：應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別；在每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性；鑒別機(jī)制：在每次用戶登錄和重新連接系統(tǒng)時(shí)，采用受安全管理中心控制的口令、基于生物特征的數(shù)據(jù)、數(shù)字證書(shū)以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，且其中一種鑒別技術(shù)產(chǎn)生的鑒別數(shù)據(jù)是不可偽造的，其中如采用密碼作為鑒別手段，可考慮主動(dòng)提供密碼長(zhǎng)度、復(fù)雜度、定期修改以及失敗登錄次數(shù)限定等密碼健壯度增強(qiáng)措施。投資者發(fā)出申購(gòu)、贖回等重要操作，可考慮提供進(jìn)一步的口令確認(rèn)；鑒別數(shù)據(jù)保護(hù)：對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。3.2授權(quán)管理訪問(wèn)授權(quán)：應(yīng)用軟件應(yīng)提供基于菜單、查詢功能、報(bào)表功能的訪問(wèn)授權(quán)；授權(quán)清單：應(yīng)用軟件應(yīng)能自動(dòng)生成訪問(wèn)授權(quán)清單，以方便應(yīng)用管理員對(duì)賬戶和其訪問(wèn)授權(quán)清單進(jìn)行檢查或清理。3.3訪問(wèn)控制自主訪問(wèn)控制：應(yīng)在安全策略控制范圍內(nèi)，使用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問(wèn)操作權(quán)限，并能將這些權(quán)限部分或全部授予其他用戶；控制粒度：應(yīng)確定自主訪問(wèn)控制主體和客體的粒度，如主體的粒度可以為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫(kù)表級(jí)和（或）記錄或字段級(jí)；特權(quán)管理：各種訪問(wèn)操作應(yīng)盡可能使用執(zhí)行該過(guò)程所需的最小用戶權(quán)限。3.4系統(tǒng)安全審計(jì)安全事件記錄：應(yīng)記錄系統(tǒng)相關(guān)安全事件。內(nèi)容應(yīng)包括安全事件的主體、客體、時(shí)間、類(lèi)型和結(jié)果等信息；用戶操作記錄：應(yīng)在保障業(yè)務(wù)系統(tǒng)性能的前提下盡量詳細(xì)記錄用戶登錄后的主要操作，至少包括用戶名、操作時(shí)間、操作內(nèi)容和操作結(jié)果；特定安全事件告警：能對(duì)特定安全事件進(jìn)行報(bào)警，終止違例進(jìn)程等；審計(jì)記錄使用：應(yīng)提供審計(jì)記錄分類(lèi)、查詢和分析功能；審計(jì)記錄保護(hù)：確保審計(jì)記錄不被破壞或非授權(quán)訪問(wèn)以及防止審計(jì)記錄丟失等。3.5通信安全密碼技術(shù)：應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性，以確保傳送或接收的通信數(shù)據(jù)不發(fā)生篡改、刪除、插入等情況。在通信雙方建立連接之前，應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證；通信加密：應(yīng)對(duì)通信過(guò)程中的整個(gè)報(bào)文或會(huì)話過(guò)程進(jìn)行加密；加密技術(shù)和強(qiáng)度：應(yīng)采用國(guó)家信息安全機(jī)構(gòu)認(rèn)可的加密技術(shù)和加密強(qiáng)度，并最低達(dá)到SSL協(xié)議128位的加密強(qiáng)度；數(shù)字加密技術(shù)使用：應(yīng)使用數(shù)字加密技術(shù)（如數(shù)字證書(shū)方式）進(jìn)行嚴(yán)格的數(shù)據(jù)加密處理防止數(shù)據(jù)被篡改。3.6數(shù)據(jù)安全完整性機(jī)制：應(yīng)采用密碼機(jī)制支持的完整性校驗(yàn)機(jī)制或其他具有相應(yīng)安全強(qiáng)度的完整性校驗(yàn)機(jī)制，以防止非授權(quán)情況下的非法修改；完整性校驗(yàn)：應(yīng)對(duì)存儲(chǔ)和處理的用戶數(shù)據(jù)的完整性進(jìn)行校驗(yàn)，以發(fā)現(xiàn)其完整性是否被破壞；異?；謴?fù)：在數(shù)據(jù)完整性受到破壞時(shí)能對(duì)重要數(shù)據(jù)進(jìn)行恢復(fù)。?數(shù)據(jù)加密：采用密碼技術(shù)支持的保密性保護(hù)機(jī)制或其他具有相應(yīng)安全強(qiáng)度的手段提供保密性保護(hù)；加密技術(shù)和強(qiáng)度：應(yīng)采用國(guó)家信息安全機(jī)構(gòu)認(rèn)可的加密技術(shù)和加密強(qiáng)度。3.7抗抵賴數(shù)據(jù)原發(fā)證據(jù)：應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；?數(shù)據(jù)接收證據(jù)：應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。3.8軟件容錯(cuò)輸入驗(yàn)證：應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；自動(dòng)保護(hù)：應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)；自動(dòng)恢復(fù)：應(yīng)提供自動(dòng)恢復(fù)功能，當(dāng)故障發(fā)生時(shí)立即自動(dòng)啟動(dòng)新的進(jìn)程，恢復(fù)原來(lái)的工作狀態(tài)。3.9資源控制空閑會(huì)話限制：當(dāng)應(yīng)用系統(tǒng)中的