安全保障方案模板

XXX數(shù)據(jù)分析系統(tǒng)安全保障方案1需求分析1.1XXX數(shù)據(jù)分析系統(tǒng)概述某單位擬建設一套數(shù)據(jù)分析平臺，通過與第三方數(shù)據(jù)源對接，達到查詢用戶信息的目的，數(shù)據(jù)來源可能包括多個目標資源庫（如用于案件分析等，可能包括阿里云如淘寶信息等）。該軟件預計會完成兩種場景功能：1）預置查詢：按預計規(guī)則實現(xiàn)定時檢索信息推送，2）按需查詢：終端用戶登錄后按指定條件查詢搜索。因數(shù)據(jù)敏感且數(shù)據(jù)量大，計劃不在管理服務端存儲數(shù)據(jù)，只在需要時從數(shù)據(jù)源端獲??；具體查詢后生成的數(shù)據(jù)或報表存儲另行設計方案。1.2用戶安全保障需求數(shù)據(jù)傳輸需求，分析平臺需要與數(shù)據(jù)源通過專線連接；平臺訪問者暫定都是本單位體系員工，需要考慮移動端安全可靠的接入需求，需考慮純專網(wǎng)（不允許移動端訪問）和專網(wǎng)+公網(wǎng)（PC走專網(wǎng)，移動走公網(wǎng)）兩種接入方法；系統(tǒng)管理需求，需要實現(xiàn)統(tǒng)一授權管理，能定義哪些用戶能查詢哪些數(shù)據(jù);業(yè)務流方面，希望能有統(tǒng)一的用戶管理認證中心；安全審計需求：需要能夠記錄訪問行為，同時訪問日志能防止被刪除或篡改;網(wǎng)絡隔離需求：計劃部署在專用機房、虛擬網(wǎng)絡，與其它本單位業(yè)務隔離;入侵檢測需求：要能防止攻擊和黑客入侵，記錄所有訪問行為，能識別有風險的行為；安全可用平衡：前期數(shù)據(jù)量小，暫時不用關注性能，以安全性為首要目標。2設計原則2.1統(tǒng)一授權，實現(xiàn)用戶的集中管理分析平臺涉及信息源數(shù)量大、最終用戶分布廣，對于系統(tǒng)使用和數(shù)據(jù)查詢?nèi)绻荒苡行Э刂破錂嘞藓头秶?，就可能帶來極大的安全隱患。實現(xiàn)全網(wǎng)統(tǒng)一授權管理和用戶身份認證，是該系統(tǒng)建設所需解決的首要問題。本項目中，建議采用建設集中授權和統(tǒng)一身份認證中心的方式實現(xiàn)，采取強制訪問控制和基于角色訪問控制結(jié)合的方式實現(xiàn)最終用戶管理。2.2縱深防御，檢測與防護能力并重系統(tǒng)包括數(shù)據(jù)分析平臺、信息采集端、用戶終端、遠程接入端等多個模塊和跨地域跨部門業(yè)務協(xié)同，需要統(tǒng)籌考慮其安全防護和入侵檢測的體系建設。本方案擬通過傳輸鏈路安全、信息交換安全、防御和入侵檢測、終端接入安全、操作行為審計、信息數(shù)據(jù)安全六個層面進行建設。2.3數(shù)據(jù)核心，全程可控可管可追溯數(shù)據(jù)分析平臺的核心是“查詢過程安全、查詢記錄保密、信息傳輸可控、分發(fā)范圍可管、使用記錄可追”，需要對整個查詢申請?zhí)峤?、平臺生成查詢票據(jù)、數(shù)據(jù)提供者進行內(nèi)部檢索、平臺獲取查詢結(jié)果、結(jié)果反饋至申請終端的全過程進行統(tǒng)一考慮。3總體設計思路本項目安全保障的主要挑戰(zhàn)是多單位協(xié)同、跨部門跨地域交互的系統(tǒng)安全防護和保密傳輸，也就是2.2節(jié)所述的信息交換安全，我們建議參照國家電子政務內(nèi)網(wǎng)建設模型，將傳輸鏈路安全、集中授權、統(tǒng)一身份認證和信息安全交換整合為底層服務接口，對應用層提供安全的基于身份標識的信息安全交換服務，解決跨地域跨部門的互信和信息傳遞。對于應用系統(tǒng)來說，原來是基于IP網(wǎng)絡實現(xiàn)互聯(lián)，與被查詢數(shù)據(jù)源不可避免會產(chǎn)生邏輯交互關系（存在交互API接口被攻擊的可能行），且數(shù)據(jù)傳輸安全除了底層隧道加密外只能自行考慮；現(xiàn)在是面向一個對其提供接口的信息交換系統(tǒng)，應用系統(tǒng)（數(shù)據(jù)分析平臺）將查詢信息寫入特定格式的文件，進行簽名后標明需進行查詢的數(shù)據(jù)源身份，底層交換系統(tǒng)基于公鑰證書認證體系，實現(xiàn)安全可靠可追溯的文件交換，就像郵局收到信件在確認封裝可靠地址清晰的前提下，將信件安全傳遞到目的地的郵箱。根據(jù)保障級別要求，可以考慮在每個數(shù)據(jù)源機房內(nèi)部署一臺前置設備，承擔這個“郵箱”的角色，數(shù)據(jù)源系統(tǒng)經(jīng)過身份認證后可在特定目錄獲取查詢文件，導入自身系統(tǒng)查詢（系統(tǒng)日志只是系統(tǒng)自有的查詢請求，無法追溯到交換箱）后將查詢結(jié)果簽名投入該“郵箱”即可完成交換，對該系統(tǒng)管理人員來說“郵箱”始終是黑盒，誰提交查詢、為何查詢、數(shù)據(jù)去哪里了都無法獲取。4技術保障體系4.1傳輸鏈路安全物理傳輸鏈路：建議采取專線配置和隧道加密（如IPSecVPN）的方式實現(xiàn)雙重安全保障，確保通訊鏈路安全。對于部分數(shù)據(jù)傳輸頻繁、信息敏感度高的關鍵鏈路，可采取包括網(wǎng)絡密碼機和應用負載的方式提供增強防護。4.2信息交換安全信息交換體系的基本思路參見第3節(jié)，其主要目標是將數(shù)據(jù)分析平臺、信息安全交換和目標數(shù)據(jù)源系統(tǒng)進行隔離，同時又通過多重身份認證機制實現(xiàn)了信息的安全可靠跨地區(qū)跨系統(tǒng)交互。具體建設內(nèi)容包括：＞基于公鑰密碼體系的統(tǒng)一身份授權和認證系統(tǒng)，實現(xiàn)系統(tǒng)、用戶和數(shù)據(jù)源身份的統(tǒng)一管理和認證，為高敏感度的操作和數(shù)據(jù)配置強制訪問控制權限，即使有管理員授權，低密級用戶也無法訪問超限信息；＞基于上述身份認證體系的電子文件交換系統(tǒng)，提供安全的查詢信息交換和管理，需內(nèi)置基于證書身份的審計記錄模塊，并實時同步至統(tǒng)一的審計中心；＞數(shù)據(jù)分析平臺系統(tǒng)對接應用接口，數(shù)據(jù)源端提供身份認證和文件共享服務無需專用接口。4.3防御和入侵檢測防御和入侵檢測系統(tǒng)建設基于傳統(tǒng)安全防護技術，結(jié)合最新的業(yè)務數(shù)據(jù)可視、攻擊行為關聯(lián)和威脅情報分析實現(xiàn)：＞建設貫穿安全事件的事前、事中和事后的防護檢測和響應能力；＞以安全可視為基礎，實現(xiàn)看得見異常、看得清威脅和安全現(xiàn)狀；＞邊界防御把控傳統(tǒng)威脅入口，持續(xù)檢測漏網(wǎng)之魚，及時發(fā)現(xiàn)高級威脅；＞發(fā)生安全事件提供快速定位，及時處置服務，將威脅影響面降至最低；＞基于可視、檢測的結(jié)果形成各類自動化安全報表，讓領導重視安全、讓技術人員理解安全。4.4終端接入安全需要考慮純專網(wǎng)PC安全接入方法和移動端安全可靠的接入需求。專網(wǎng)PC接入：建議配置專用終端，采取云桌面的方式，本地不留存數(shù)據(jù)僅作為信息錄入接口和獲取服務器端的圖像顯示接口；終端用戶使用該專用PC時需插入個人Key，PC身份與個人身份雙重認證通過后方可訪問平臺，拔Key自動鎖定終端。（可以實現(xiàn)行為審計到人到物理設備）移動終端接口：移動端接入需要充分考慮身份認證、設備安全、鏈路安全、數(shù)據(jù)安全等多個領域的問題，同樣建議采取個人Key加設備碼均認證通過后，建立安全的加密隧道實現(xiàn)數(shù)據(jù)傳輸，查詢操作和數(shù)據(jù)訪問需要通過隔離于手機系統(tǒng)的安全加密環(huán)境實現(xiàn)；同時需要由相應的技術對移動設備自身安全進行管控，包括設備脆弱性檢測、安全沙盒運行環(huán)境以及設備丟失后支持遠程數(shù)據(jù)擦除。4.5操作行為審計操作行為審計分為兩個層面的內(nèi)容，即系統(tǒng)層面和用戶層面，需要進行集中管理和綜合展示：系統(tǒng)層：配置網(wǎng)絡、主機和數(shù)據(jù)庫審計系統(tǒng)和堡壘機，對網(wǎng)絡通訊、主機進程和數(shù)據(jù)庫訪問進行審計；用戶層：基于全網(wǎng)統(tǒng)一授權和身份認證，可以實現(xiàn)將行為審計定位到物理的人和設備層面，真正通過審計日志實現(xiàn)追責，輔助管理制度實現(xiàn)安全可靠。4.6信息數(shù)據(jù)安全數(shù)據(jù)生命周期安全是本系統(tǒng)安全體系建設的重中之重，整個防護措施融入了上述所有技術保障措施當中，包括查詢文件的生成、簽名、加密、傳輸、獲取、檢索，查詢結(jié)果的簽名、導入、傳輸、錄入、分發(fā)，需要再各安全系統(tǒng)和數(shù)據(jù)分析平臺建設過程中進行細致的統(tǒng)籌考慮和聯(lián)合測試。由于采取了全生命周期的加密、簽名和數(shù)據(jù)不落地管控，輔助各個層面的審計日志，基于關鍵字檢索的DLP軟件無法分析數(shù)據(jù)也沒有專門配置的必要。5管理維護體系完善的技術保障體系離不開職責清晰的管理制度和有效運行的維護體系，建議在項目建設過程中，就以下兩個方面進行統(tǒng)籌考慮：5.1職責邊界清晰，符合知必所需原則考慮到系統(tǒng)的敏感性，在內(nèi)部管理邊界清晰的基礎上，與各數(shù)據(jù)提供單位同樣需要劃定責任邊界和保密職責，根據(jù)知必所需的原則，簽訂數(shù)據(jù)共享協(xié)議和安全保密協(xié)議，除核心管理層人員外，數(shù)據(jù)提供單