业务系统安全等级定级DEMO

1. 1. 信息安全保障设计

业务系统安全等级定级

等级保护对象的级别由两个定级要素决定：

1. 受侵害的客体；
2. 对客体的侵害程度。

定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同，因此，安全保护等级也应由业务信息安全（S）和系统服务安全（A）两方面确定，根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级；根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。

• 业务信息安全等级

本期项目所有业务系统的业务信息安全保护等级遵循下表定级。

表 5.111 业务信息安全保护等级矩阵表

业务信息安全被破坏时所侵害的客体	对相应客体的侵害程度
	一般损害	严重损害	特别严重损害
居民、法人和其他组织的合法权益	第一级	第二级	第二级
社会秩序、公共利益	第二级	第三级	第四级
国家安全	第三级	第四级	第五级

• 系统服务安全等级

本项目所有业务系统的系统服务安全保护等级遵循下表定级。

表 5.112 系统服务安全保护等级矩阵表

系统服务安全被破坏时所侵害的客体	对相应客体的侵害程度
	一般损害	严重损害	特别严重损害
公民、法人和其他组织的合法权益	第一级	第二级	第二级
社会秩序、公共利益	第二级	第三级	第四级
国家安全	第三级	第四级	第五级

• 本期项目业务系统安全保护等级定级

结合业务信息安全保护等级定级标准和系统服务安全保护等级定级标准，本期项目业务系统安全等级初步定级见下表。

表 5.113 本期项目业务系统安全等级表

业务系统名称	安全保护等级	业务信息安全等级	系统服务安全等级
东莞市固体废物管理信息平台	第二级	第二级	第二级
东莞市绿色排污权交易应用	第二级	第二级	第二级
东莞市区域空间生态环境评价（“三线一单”）信息应用	第二级	第二级	第二级
东莞市生态环境督查督办考核管理应用	第二级	第二级	第二级

安全保障责任边界说明

本项目按照《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）进行信息安全体系设计。本项目建设的业务系统部署在市电子政务云（满足等级保护第三级安全要求）上，市电子政务云可按照本次信息安全方案设计要求提供配套的安全服务，以满足业务系统信息安全保障需求。业务系统所有者和电子政务云的安全责任边界如下：

1. 政务云服务商负责业务系统基础支撑环境的安全建设，并确保其所提供的基础支撑环境安全等级（当前政务云平台满足等级保护第三级安全要求）不低于所承载业务系统的等级。业务系统基础支撑环境包括：政务云机房、政务云网络、政务云平台（含物理服务器、存储和云平台软件等）。
2. 业务系统所有者负责业务系统运行环境的安全建设，包括：云主机（操作系统、中间件、数据库，基于应用强相关基础上的操作系统/数据库/中间件安全加固）、业务应用系统（服务端、客户端、各类接口）、业务数据。

信息安全方案设计

针对软件类业务系统的信息安全，按照以上安全保障责任边界分工，以下将主要从云主机系统、数据安全、应用安全、接口安全等方面做好安全方案设计。

• 主机计算环境安全设计

云主机系统应启用访问控制功能，依据安全策略控制用户对资源的访问权限，通过系统的技术维护措施严格限制默认账户的访问权限，对重要信息资源设置敏感标记，并依据安全策略严格控制用户对有敏感标记重要信息资源的操作。云主机安全通过系统加固、防病毒、安全补丁等措施来提供保障。

1. 主机安全策略

对于云主机可能存在的安全配置隐患，需要通过人工检查和加固的方式，对操作系统、中间件、数据库等基础软件进行安全配置检查并进行加固。

1. 主机防病毒

通过在云主机相应安全软件，从而实现对云主机病毒的查杀。

1. 主机入侵防护

通过在云主机相应安全软件，解决针对HTTP、FTP、DNS、Mail等服务器的各种攻击，包括缓冲区溢出、系统或服务漏洞攻击、暴力破解等。

1. 主机漏洞扫描

通过人工扫描的方式，定期对云主机进行扫描分析，及时发现问题、给出相关安全措施和建议并进行相应的修补和配置，达到防止病毒、木马攻击的目的。

1. 主机配置核查

通过人工检查的方式，核查云主机账号、口令、授权、日志、IP通信等方面内容，与主机漏洞扫描不同的是，配置核查主要针对主机上存在的人为配置失误进行安全检查，检测配置不合规问题。

1. 主机安全加固

针对云主机漏洞，可通过对云主机进行加固，降低系统受到危害的可能性。在进行系统安全加固时，从以下几方面进行安全配置，保证主机操作系统安全。

1. 操作系统和数据库的用户口令应具有相应的复杂度，并定期更换。
2. 启用主机的登录失败处理功能，设备限制非法登录次数和自动退出等措施。
3. 当对服务器进行远程管理时，关闭不必要的telnet服务，采用加密的方式保证数据在传输中的保密性、完整性。
4. 关闭操作系统开启的默认共享，对于需要开启的共享及共享文件夹设置不同的访问权限，对于操作系统重要文件和目录应设置权限要求。
5. 限制默认账户的访问权限。删除操作系统和数据库中过期或多余的账户，禁用无用账户。
6. 开启主机的安全审计功能。

主机操作系统加固需要配置基本的安全策略，具体包括：

1. 系统自身的保护功能，保护系统自身进程不被异常终止、伪造、信息注入。
2. 操作系统加固开启后，将禁止以下操作：

• 将非管理员组账户添加到管理员组；
• 在系统目录下对可执行类型文件进行写操作；
• 第三方工具修改hosts文件；
• 添加启动项；
• 加载没有数字签名的驱动。

（3）在网络空间中实现根据不同的应用分别创建出多个虚拟应用安全区域，实现应用安全区域与应用安全区域之间的隔离，用户可将需要保护应用主机，添加进被保护应用对应的安全域内。

（4）细粒度的多种资源客体的强制访问控制，允许多种资源主体类型以不同访问权限对多种资源客体设制访问规则。访问控制资源客体包含进程、通信端口。

1. 主机安全审计

通过堡垒机记录系统管理员对主机进行运维操作的全过程，同时，运维审计系统可以对容易产生风险的操作命令（如remove、delete等）进行限制或警告，减小误操作的风险，降低安全事故发生的概率，并且可以满足信息系统等级保护关于安全审计的基本要求。

通过堡垒机能够在针对主机的运维操作过程中实现以下措施：

1. 单点登录

支持单点登录，单点登录可以实现与用户授权管理的无缝链接，可以通过对用户、角色、行为和资源的授权，增加对资源的保护和对用户行为的监控及审计。

1. 集中账号管理

支持集中账号管理，可以实现账号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足实名审计的需要。

1. 身份认证

支持用户提供统一的认证接口，能够采用更加安全的认证模式，包括静态密码、双因素、一次性口令和生物特征等多种认证方式。

1. 资源授权

支持对用户、角色、行为和资源进行授权，授权内容需细化到用户所需使用的最小资源。

1. 访问控制

支持命令策略集，通过将命令集合用来分配给具体的用户，来限制其操作行为。

1. 操作审计

支持对如下协议进行审计：Telnet、FTP、SSH、RDP（Windows Terminal）、X windows、VNC等。

1. 统计报表

支持用户自定义报表，能够提供多种报表模板。

1. 合规保障

满足信息系统等级保护基本要求中关于网络安全审计、主机安全审计的基本要求。

• 数据安全设计

按照数据的生命周期和虚拟化技术特点，构建从数据访问、数据传输、数据存储到数据销毁各环节的云端数据安全框架，保证数据的安全性。

1. 数据完整性

通过部署Web应用防护服务，实现网页防篡改，以确保应用数据页面的完整性；通过使用可控的校验方法确保数据的完整性；传输过程的完整性受到损坏则采取数据重传的机制；对于存储的数据则应采取多个备份的方式，防止单一数据损坏造成的损失。

1. 数据保密性

重要数据通过加密的手段将数据存储于数据库的表中，重要文件数据则通过文件加密的方式存储，防止信息泄露。

1. 数据可用性

针对特别重要的关键业务数据，采用市电子政务云容灾备份服务，确保系统数据在本地和异地都进行备份，一旦发生灾难或重大安全事故，能够快速有效的对系统进行恢复，并保障数据的可用性。

• 应用安全功能设计

为保障系统的应用安全，不仅需要通过云平台所提供的应用层安全防护措施，应在系统开发设计过程中，完善系统自身的安全功能，提升系统自身的安全防护能力。要求软件开发商在系统开发过程中实现身份鉴别、权限控制、输入输出校验、日志记录等安全功能，确保应用系统能够更好的防范SQL注入、XSS、跨站请求伪造等常见应用层安全攻击。

1. 身份鉴别

对系统用户进行身份鉴别是保障应用系统安全的重要手段，也是防止非授权访问的一道重要防线。应用系统的身份鉴别模块在设计过程中充分考虑自身的安全需求和国家相关的合规监管要求，通过采用统一身份认证系统实现以下安全功能：

1. 密码复杂度

制定了密码复杂度策略，对用户登录密码的长度、密码元素组成进行严格要求。并且，对使用默认密码初次登录系统的用户，强制要求登录后修改密码。

1. 登录失败处理

为防止对用户账户的暴力破解，系统将在身份鉴别模块中采取登录失败锁定的措施，对多次登录失败的账户进行一定时间的锁定。

1. 验证码

系统身份鉴别模块通过提供验证码功能，防范系统被撞库、恶意注册之类的安全风险，同时，为了保障验证码自身的安全，对验证码设置了有效期、错误次数的限制。

1. 错误提示

系统在用户输入错误的用户名或密码时，将使用一致的错误返回信息，如：“错误的用户名或密码”。

1. 双因素认证

对于系统后台管理的用户，在登录时还要求采用双因素认证，用来进一步保障系统的安全。

1. 授权

应用系统通过开发用户授权模块防止越权访问的风险，系统权限在保证系统管理员、系统审计员、系统普通用户三权分立的基础上，还能够根据不同的用户岗位、职责授予不同的用户权限，用户的授权满足以下原则：

1. 按岗分配原则

系统按实际业务需求或操作需要设置岗位和岗位组合（或用户组）。具体设置时，在满足业务需求和风险控制前提下，设置最少数量的岗位。用户分配根据其业务或操作需求，分别属于一个或多个岗位（用户组）。

1. 最小化原则

根据岗位定义，以满足业务需要为前提，赋予每个岗位完成所需工作的最小权限或权限组合。系统权限的分配可基于组、角色、用户、文件等不同颗粒度。

1. 权限制约原则

相互排斥的权限不应赋予同一组、角色、用户等。

1. 权限抽象原则

除了传统系统权限中的“读”、“写”、“执行”以外还支持抽象权限，如：定义角色、定义权限等，使设置角色的最小权限集和互斥权限更加灵活。

1. 输入输出校验

系统通过采取输入输出校验的措施尽可能降低系统存在注入类漏洞的风险，具体措施如下：

1. 验证来源不可信的输入数据

对所有来源不在可信范围内的输入数据进行验证，包括HTTP请求消息的全部字段，包括GET数据、POST数据、COOKIE和Header数据、不可信来源的文件、第三方接口数据、数据库数据等。

1. 设计多种输入验证方法

• 输入验证的方法包括如下：
• 检查数据是否符合期望的类型；
• 检查数据是否符合期望的长度；
• 检查数值数据是否符合期望的数值范围；
• 检查数据是否包含特殊字符，如： <、>、 "、 '、%、（、）、&、+、\、\'、\"等；
• 使用正则表达式进行白名单检查。

1. 服务器端和客户端输入校验

建立统一的输入验证接口，为整个信息系统提供一致的验证方法。

1. 规范化处理

对输入内容进行规范化处理后再进行验证，如文件路径、URL地址等，需要规范化为标准的格式后再进行验证。

1. 关键参数

关键参数均从服务器端获取，禁止从客户端输入。

1. 输出数据处理

根据输出目标的不同，对输出数据进行相应的格式化处理：向客户端回写数据时，对用户输入的数据进行HTML编码和URL编码检查，过滤特殊字符（包括HTML关键字以及&,\r\n,两个\n等字符）。

1. 注入防范

进行数据库操作的时候，对用户提交的数据过滤’;—等特殊字符；

当使用XML文件格式存储数据时，若使用Xpath和XSLT功能，过滤用户提交数据中的<> / ' = " 等字符。

1. 信息泄露防范

向用户返回的信息应为其职责范围所需掌握的信息，防止非必须要信息的泄露。

1. 会话管理

在web应用里面，会话管理的安全性始终是最重要的安全问题之一，其对用户的影响极大。系统为保障会话管理的安全，采取了一下措施：

1. 认证后新建会话

在用户认证成功后，为用户创建新的会话并释放原有会话，创建的会话凭证应满足随机性和长度要求避免被攻击者猜测。

1. 会话数据存储安全

用户登录成功后所生成的会话数据均存储在服务器端，并确保会话数据不能被非法访问。更新会话数据时，对数据进行严格的输入验证，避免会话数据被非法篡改。

1. 会话数据传输安全

用户登录信息及身份凭证均加密后进行传输。如采用COOKIE携带会话凭证，必须合理设置COOKIE的Secure、Domain、Path和Expires属性。如采用HTTP GET方式传输会话凭证，禁止设置过于宽泛的Domain属性。

1. 会话终止

当用户登录成功并成功创建会话后，在信息系统的各个页面提供用户退出功能，并在用户退出时注销服务器端的会话数据。当处于登录状态的用户关闭浏览器时，提示用户执行安全退出或者自动为用户完成退出过程。

1. 会话存活时间

设计合理的会话存活时间，超时后自动销毁会话，并清除会话的信息。

1. 跨站请求伪造（CSRF）防护

在涉及到关键业务操作的页面时，为当前页面生成一次性随机令牌，作为主会话凭证的补充，并在执行关键业务前，检查用户提交的一次性随机令牌。

1. 会话加密

通过使用SSL/TLS加密的传输信道来保障会话数据的传输安全，加密算法采用国密算法，并保障好秘钥的安全。

1. 参数操作

针对操作参数的攻击是通过更改在客户端和Web应用程序之间发送的参数数据实现，包括查询字符串、form字段、cookie和HTTP标头。主要的操作参数威胁包括：操作查询字符串、操作窗体字段、操作cookie和操作HTTP标头。因此，为防范操作参数攻击，系统需采取以下安全措施：

1. 避免使用包含敏感数据或者影响服务器安全逻辑的查询字符串参数；
2. 使用会话标识符来标识客户端，并将敏感项存储在服务器上的会话存储区中；
3. 采用HTTP POST的方式提交数据；
4. 加密查询字符串参数；
5. 不信任http头部信息；
6. 验证从客户端发送的所有数据。

1. 异常管理

异常信息一般包含了针对开发和维护人员调试使用的系统信息，这些信息将增加攻击者发现潜在缺陷并进行攻击的机会。因此，系统在异常管理方面需采取以下安全措施：

1. 使用结构化异常处理机制；
2. 使用通用的错误信息，程序发生异常时，向外部服务或应用程序的用户发送通用的信息或重定向到特定应用网页，并向客户端返回一般性错误消息；
3. 通信双方中一方在一段时间内未作反应，另一方自动结束回话；
4. 程序发生异常时，在日志中记录详细的错误消息。

1. 配置管理

应用系统配置文件的安全是保障系统安全的基础之一，本方案将采取以下措施保障系统的配置文件安全：

1. 配置文件存储安全

• 通过以下措施保障配置文件的安全：
• 对服务器进行安全加固，防止web目录的配置文件因服务器漏洞导致泄露；
• 避免以纯文本形式存储重要配置，如数据库连接字符串或帐户凭据等；
• 通过加密确保配置的安全，并限制对包含加密数据的注册表项、文件或表的访问权限；
• 对配置文件的修改、删除和访问等权限的变更，均须通过验证授权并且详细记录；
• 避免授权帐户具备更改自身配置信息的权限。

1. 配置管理界面安全

配置管理功能只能由经过授权的操作员和管理员访问，在管理界面上实施强身份验证，如使用数字证书，远程管理必须通过加密的信道，如VPN。

1. 特权账号管理

严格控制特权账号的使用，对特权账号的申请使用必须通过严格的审批授权流程，并对特权账号的操作进行记录。

1. 日志审计

对用户登录行为、业务操作以及系统运行状态进行记录与保存，以保证操作过程可追溯、可审计的一项措施。系统日志审计将采取以下保障措施：

1. 事件记录

系统日志将对以下事件进行记录：

• 审计功能的启动和关闭；
• 信息系统的启动和停止；
• 系统配置变更；
• 访问控制信息，比如：由于超出尝试次数的限制而引起的拒绝登录，成功或失败的登录；
• 用户权限的变更；
• 用户密码的变更；
• 用户试图执行角色中没有明确授权的功能；
• 用户账户的创建、注销、锁定、解锁；
• 用户对数据的异常操作事件，包括：不成功的存取数据尝试、数据标志或标识被强制覆盖或修改、对只读数据的强制修改、来自非授权用户的数据操作、特别权限用户的活动。

1. 日志内容

系统日志将包含以下内容：

• 事件ID或引起这个事件的处理程序ID；
• 事件的日期、时间（时间戳）；
• 事件类型；
• 事件内容；
• 事件是否成功；
• 请求的来源（例如请求的IP地址）。

1. 敏感信息保护

在日志记录中，为防止因日志记录导致的系统敏感信息泄露，将避免在日志信息记录敏感信息，如用户个人隐私、财务信息、生理健康信息等。

信息保护措施如：因个别业务开展必须记录的，将对敏感信息进行脱敏展示。

1. 日志的安全存储与访问

为进一步确保系统日志的安全，将采取以下措施保障日志的存储与访问安全：

• 业务系统日志统一进行收集存储，不将业务日志保存到WEB目录下；
• 采取相应的安全措施防止日志被篡改，如数字签名；
• 日志保存期限不少于6个月。

• 应用接口API安全设计

要求软件开发商在API设计时采取以下的安全措施：

1. API鉴权

1. 同一个接口被多个系统调用时，对调用者进行鉴权；
2. 当连续多次鉴权失败后，强制锁定用户ID或APP_KEY；
3. 通过一定时长的账户锁定防止暴力破解猜测鉴权信息；

1. 访问控制

1. 使用特定的标识进行访问控制，如：APP_KEY；
2. 在不可信的网络环境使用安全的通讯方式调用接口。

1. http安全

只使用HTTP POST请求传输鉴权的凭据信息。

1. 安全配置

1. 接口支持设定哪些ID允许调用；
2. 接口支持设定允许哪些IP地址调用，支持黑白名单；
3. 接口支持设定在哪些时间段内允许调用。

1. 权限控制

1. 对API访问进行权限控制，防止越权访问数据，例如：A用户访问到B用户数据；
2. 对API调用者进行类别或组权限控制，禁止出现A业务的用户访问B业务的数据；
3. 控制API调用频率，如对每个ID一小时最多请求次数进行限制。

1. 凭证安全

1. 基于应用场景设置凭证的有效期；
2. 对API采用签名或摘要等方式实现接口安全；
3. 不允许同一用户ID的并发登录；
4. 为服务器端的操作执行标准的凭证管理，如通过在每个凭证中使用强随机数或参数来进行管理。

1. 输入校验

1. 接口对提交的参数进行严格校验，如：数据类型、字符范围、字符长度等；
2. 接口将限制未经处理的参数直接带入SQL查询语句或系统命令。

1. 输出编码或转义

1. 当返回数据可能用于客户端浏览器时，API将对输出数据进行编码或转义，防止出现跨站脚本攻击漏洞；
2. 请求数据与返回数据保持同一种字符编码，如：UTF-8，GB2312等。

1. 数据通讯与加密

1. API传递数据过程中，对传递的数据加密，防止非授权的访问；
2. 传输数据时使用ssl等加密措施；
3. 为防范对随机数据的猜测攻击，接口将使用加密模块中已验证的随机数生成器生成所有的随机数、随机文件名、随机GUID和随机字符串。

1. 错误处理

1. 通过严格的权限控制，防止应用接口返回非业务范围内的信息；
2. 防止在错误响应中泄露敏感信息，包括：系统的详细信息、标识符或者账号信息；
3. 使用通用的错误消息并使用定制的错误页面，以避免显示调试或堆栈跟踪信息，如：语法错误、组件调用失败或数据库连接状态等。

1. 日志审计

1. 对系统的API应开启审计，审计内容应包含如下信息：时间、API名称、请求来源IP、请求用户的ID、请求行为、结果状态码（成功/失败）、严重度等；
2. 记录连接无效或者已过期的令牌尝试；
3. 在日志记录中，为防止因日志记录导致的系统敏感信息泄露，将避免在日志信息记录敏感信息，如因个别业务开展必须记录的，将对敏感信息进行脱敏展示；
4. 通过加密哈希功能以验证日志记录的完整性。

信息安全等保测评

本项目安全方案基于等保2.0标准，按照《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）相关要求，紧紧围绕“安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理”等维度开展网络安全设计（可信根等不适用项除外）。项目实施建设完成后，将由建设单位组织有相应资质的信息安全等保测评公司对项目进行测试评定。如系统开发、部署、运维按照本方案开展和落实。

本项目按照《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）进行信息安全体系设计。本项目建设的业务系统部署在市电子政务云（满足等级保护第三级安全要求）上，市电子政务云可按照本次信息安全方案设计要求提供配套的安全服务，以满足业务系统信息安全保障需求。业务系统所有者和电子政务云的安全责任边界如下：

1. 政务云服务商负责业务系统基础支撑环境的安全建设，并确保其所提供的基础支撑环境安全等级（当前政务云平台满足等级保护第三级安全要求）不低于所承载业务系统的等级。业务系统基础支撑环境包括：政务云机房、政务云网络、政务云平台（含物理服务器、存储和云平台软件等）。

业务系统所有者负责业务系统运行环境的安全建设，包括：云主机（操作系统、中间件、数据库，基于应用强相关基础上的操作系统/数据库/中间件安全加固）、业务应用系统（服务端、客户端、各类接口）、业务数据。