信息安全是保证大数据平台安全稳定运行的关键,需要建设完善的信息安全主动防御体系和信息安全治理体系。大数据平台信息安全将遵循相关安全规范和安全策略,总体安全防护方案参照等级保护第三级系统安全要求进行设计(其等级将根据等级保护定级最终结果确定)。
1.1.1. 应用安全
应用安全从身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制和代码安全等几方面考虑。
1. 身份鉴别
与统一权限管理系统进行集成,实现统一身份认证、单点登录和统一授权,并应用PKI/CA系统进行强身份认证。
2. 访问控制
使用基于角色的权限控制方式对系统资源的访问进行授权,支持根据业务角色不同赋予权限,支持到功能模块、文件、报表的细颗粒度权限控制;严格限制默认账户的访问权限;权限分离应采用最小授权原则,授予用户完成承担任务所需的最小权限;系统支持对特权用户的权限分离,如将管理与审计赋予不同用户;具备对重要信息资源设置敏感标记的功能,并制定统一安全策略严格控制用户对有敏感标记的重要信息资源的操作访问。
3. 安全审计
对用户的登录、重要用户行为、系统资源的异常使用和重要系统功能的执行等进行审计;审计的日志应包括日期和时间、类型、主体标识、客体标识、客体敏感标记、事件的结果等;系统支持对审计记录进行分析,生成审计报表,并可对特定事件提供实时报警。
4. 剩余信息保护
大数据平台相关的文件、目录和数据库记录等所使用的存储空间与其他系统所使用存储空间进行隔离区分,在分配给其他系统使用前将存储的信息进行完全清除。
5. 通信完整性
大数据平台与其他应用之间以及两级大数据平台之间的数据通信应使用事务传输机制,在数据传输异常中断时,进行事务的回滚和重传,保证数据完整性。
6. 通信保密性
用户访问大数据平台以及两级大数据平台之间的数据通信应支持使用加密技术,在会话初始化时进行认证,并在通信过程中对整个会话过程进行加密。
7. 抗抵赖
在协调控制相关功能实现中充分考虑数据的抗抵赖,提供业务发起和业务接收时保留证据的功能。
8. 软件容错
在人工输入或通过接口进行输入时提供对输入数据的有效性检验;在功能实现上应支持回退的功能,允许按照操作序列进行回退;系统的支撑硬件和软件应具备故障状态监测和自动保护能力,在故障发生时自动保护当前所有状态并迅速恢复原来的工作状态。
9. 资源控制
对单个用户的并发会话数和系统同时并发会话连接数进行限制,禁止同一用户帐号在同一时间内并发登录;设置登录终端的操作超时锁定和鉴别失败锁定策略;系统应支持对用户身份、访问地址、时间单位的细颗粒度访问控制措施;支持对部分高级用户的访问、全景展示的应用以及监测分析数据的流转过程采用优先服务机制。
10. 代码安全
开发人员应参照应用程序代码编写安全规范编写代码,并在开发过程中对代码进行复审;在系统上线前对代码进行安全脆弱性分析和渗透性测试。
1.1.2. 数据安全
数据安全从数据完整性、数据保密性、数据备份和恢复等几方面考虑。
1. 数据完整性
系统在数据的传输、存储、处理过程过程中,使用事务传输机制对数据完整性进行保证,使用数据质量管理工具对数据完整性进行校验,在监测到完整性错误时进行告警,并采用必要的恢复措施。
2. 数据保密性
系统的身份鉴别信息、敏感的系统管理数据和敏感的业务数据在传输、存储、处理过程中,应进行加密或使用专用的协议或安全通信协议。
3. 数据备份和恢复
系统应利用公司三地灾备中心实现异地数据级灾备,备份频度至少达到每天一次,支持在系统数据出现异常时进行数据恢复;逐步实现核心应用的灾备,在系统出现故障或灾难时自动进行业务切换和恢复;系统相关重要网络设备、通信链路和服务器应进行冗余设计,避免单点故障。
1.1.3. 主机安全
主机安全的范围包括服务器、终端/工作站等的操作系统和数据库系统,具体从身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等几方面考虑。
1. 身份鉴别
主机系统和数据库系统的身份标识应具有唯一性,每一个用户使用单独的帐号进行管理;对用户进行身份标识和鉴别,并支持使用PKI/CA、智能卡或其他多因子认证手段实现用户身份鉴别;用户使用的身份鉴别信息应不易被冒用,如口令长度、复杂性和定期强制更改;系统应具备登录失败处理功能,在鉴别失败后结束会话、限制非法登录尝试次数、登录连接超时后自动退出。
2. 访问控制
主机系统和数据库系统应支持控制用户对文件、数据等资源的访问;访问控制的粒度主体达到用户级,客体达到文件、数据库表/记录、字段级;支持由授权主体设置对客体访问和操作的权限;支持特权用户的权限分离,权限分离采用最小授权原则,授予用户完成任务所需的最小权限;禁止默认用户的访问权限,重命名系统默认账户,并修改这些账户的默认口令;及时清除多余的、过期的账户,避免共享账户的存在;对重要信息资源和所有访问重要信息资源的用户设置敏感标记,统一强制设置严格的安全策略控制用户对有敏感标记重要信息资源的操作。
3. 安全审计
对服务器、工作站/终端上所有的用户行为进行安全审计,记录系统内重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统命令的使用;安全事件的记录应包括日期和时间、类型、主体标识、客体标识、客体敏感标记、事件的结果等;可以对安全审计记录进行分析,生成审计报表;支持对特定事件提供实时告警;考虑使用专门的安全审计系统进行审计,确保审计记录不会中断、删除、修改或覆盖;安全审计应实现集中审计。
4. 剩余信息保护
大数据平台相关的服务器、存储、工作站/终端等在内的存储空间,在分配给其他系统使用前存储的信息进行完全清除。
5. 入侵防范
通过入侵检测设备和系统安全日志监测发生的入侵行为,记录入侵信息并实时告警;支持对重要程序文件和配置文件的完整性检测,在检测到完整性受到破坏后具有恢复的措施;操作系统应遵循最小安装原则,仅安装必须的组件和应用程序,并通过自动升级或主动补丁推送方式及时得到更新。
6. 恶意代码防范
大数据平台相关的服务器、工作站/终端应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;防恶意代码软件采用统一管理。
7. 资源控制
采用设定终端接入方式、网络地址范围等条件限制终端登录;使用IMS系统对服务器的CPU、硬盘、内存、网络等资源的使用情况进行监控,对服务水平降低到预设值时进行告警。
1.1.4. 网络安全
网络安全从结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范和网络设备防护等几方面进行考虑。
1. 结构安全
为满足业务高峰期需求,主要网络设备的处理能力、带宽需要具备冗余空间;大数据平台核心服务器应划分独立的网段,采用统一的隔离技术进行隔离;对于总部和省(市)两级大数据平台之间的带宽、大数据平台与其它业务应用系统之间的带宽分配较高优先级别,保证最小带宽。
2. 访问控制
按照统一要求,与信息内网之间使用防火墙等逻辑访问控制设备进行访问控制,对于其他网络使用信息安全网络隔离装置进行访问控制;应支持粒度至端口级的会话状态控制,支持对HTTP、TELNET等应用层协议命令级的控制,支持对最大流量数和网络连接数的控制;应采取技术手段防止地址欺骗;在用户和系统之间,设置至用户粒度的访问控制规则。
3. 安全审计
应用IMS系统对网络中的网络设备的运行状态、网络流量、用户行为等进行记录,并根据记录进行分析,定期生成审计报表。
4. 边界完整性检查
访问大数据平台的全部内网终端部署非法外连监测系统,对内网终端非法外连和外网终端私自接入内网的行为进行检测,并对其进行有效阻断。
5. 入侵防范
通过网络入侵检测/网络入侵防护设备对端口扫描、暴力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击等行为进行检测,在检测到攻击行为时进行记录和报警。
6. 恶意代码防范
网络边界应用防病毒过滤网关对恶意代码进行过滤,及时更新恶意代码库和检测系统。
7. 网络设备防护
对登录网络设备的用户进行身份鉴别,限制网络管理员登录地址;不同网络设备用户应使用不同的用户;对于核心网络设备应采用多因素身份鉴别技术进行身份鉴别,同时口令应满足一定复杂度要求并定期更换;系统应具备登录失败处理功能,在鉴别会话结束、登录连接超时后自动退出,限制非法登录尝试次数等方式;网络远程管理应采取必要措施防止鉴别信息在网络传输过程中被窃听;应实现设备特权用户的权限分离。