數(shù)據(jù)管理平臺(tái)安全管理方案目錄TOC\h\z\u1.1.1安全管理體系建設(shè)的目標(biāo) 31.1.2信息安全管理原則 31.1.3安全管理總體框架 41.1.4安全管理體系技術(shù) 51.1.5安全管理體系內(nèi)容建設(shè) 71.1.6安全管理體系措施 71.1.6.1物理環(huán)境安全防護(hù) 71.1.6.2通信網(wǎng)絡(luò)安全防護(hù) 71.1.6.3區(qū)域邊界安全防護(hù) 81.1.6.3.1邊界防護(hù) 81.1.6.3.2訪問控制 91.1.6.3.3入侵防范 101.1.6.3.4惡意代碼防范 111.1.6.3.5安全審計(jì) 121.1.6.4計(jì)算環(huán)境安全防護(hù) 131.1.6.4.1身份鑒別 131.1.6.4.2訪問控制 141.1.6.4.3安全審計(jì) 161.1.6.4.4入侵防范 171.1.6.4.5惡意代碼防范 181.1.6.4.6數(shù)據(jù)完整性 191.1.6.4.7數(shù)據(jù)保密性 191.1.6.4.8數(shù)據(jù)備份和恢復(fù) 191.1.6.5應(yīng)用信息安全防護(hù) 211.1.6.5.1信息應(yīng)用身份認(rèn)證 211.1.6.5.2訪問控制 221.1.6.5.2.1賬號(hào)權(quán)限范圍 221.1.6.5.2.2賬號(hào)安全認(rèn)證 221.1.6.5.2.3賬戶風(fēng)險(xiǎn)控制 231.1.6.5.3安全審計(jì) 261.1.6.5.4剩余信息保護(hù) 271.1.6.5.4.1敏感信息保護(hù) 271.1.6.5.4.2數(shù)據(jù)分級(jí)分類 291.1.6.6物聯(lián)網(wǎng)安全防護(hù) 301.1.6.6.1接入控制 301.1.6.6.2入侵防范 311.1.6.6.3感知節(jié)點(diǎn)設(shè)備安全防范 311.1.6.6.4網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全防范 311.1.6.6.5抗數(shù)據(jù)重放 321.1.6.6.6數(shù)據(jù)融合處理 321.1.6.6.7感知節(jié)點(diǎn)設(shè)備運(yùn)維管理 321.1.7安全管理策略建設(shè) 331.1.8安全組織體系建設(shè) 351.1.9安全教育和培訓(xùn) 35管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。安全管理體系建設(shè)的目標(biāo)安全管理是安全系統(tǒng)的重要組成部分，沒有健全的安全管理，系統(tǒng)的安全性是很難保證。任何網(wǎng)絡(luò)系統(tǒng)僅在技術(shù)上無法達(dá)到完整的安全。為此，需要建立一套科學(xué)、嚴(yán)密的網(wǎng)絡(luò)安全管理體系。通過有效的安全管理體系的建設(shè)，最終要實(shí)現(xiàn)的目標(biāo)是：采取集中控制、分級(jí)管理的模式，建立由專人負(fù)責(zé)安全事件定期報(bào)告和檢查制度，從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護(hù)。信息安全管理原則多人負(fù)責(zé)原則每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。以下各項(xiàng)是與安全有關(guān)的活動(dòng)：信息處理系統(tǒng)使用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護(hù)；系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；重要程序和數(shù)據(jù)的刪除和銷毀等。任期有限原則一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假策略，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限策略切實(shí)可行。職責(zé)分離原則在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開。敏感資料的接收和傳送；安全管理和系統(tǒng)管理；應(yīng)用程序和系統(tǒng)程序的編制；計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。安全管理總體框架按照安全體系總體框架，結(jié)合前期的工作，應(yīng)在三個(gè)架構(gòu)的三個(gè)層次分別開展信息安全建設(shè)，確保信息安全體系均衡發(fā)展，有效提高投資回報(bào)率。通過對(duì)研究所信息化系統(tǒng)的網(wǎng)絡(luò)和應(yīng)用現(xiàn)狀、安全現(xiàn)狀、面臨的安全風(fēng)險(xiǎn)的分析，根據(jù)安全保障目標(biāo)模型，設(shè)計(jì)了研究所信息安全體系框架，制定該框架的目的在于從宏觀上指導(dǎo)和管理信息安全體系的建設(shè)和運(yùn)營。本框架由一組相互關(guān)聯(lián)、相互作用、相互彌補(bǔ)、相互推動(dòng)、相互依賴、不可分割的信息安全保障要素組成。一個(gè)系統(tǒng)的、完整的、有機(jī)的信息安全體系的作用力遠(yuǎn)遠(yuǎn)大于各個(gè)信息安全保障要素的保障能力之和。在此框架中，以安全目標(biāo)為指導(dǎo)，融會(huì)了基礎(chǔ)安全設(shè)施、一體化安全管理和持續(xù)性安全提示三個(gè)安全核心，達(dá)到系統(tǒng)可用性、可控性、抗攻擊性、完整性、保密性的安全目標(biāo)。研究所信息安全體系框架的總體結(jié)構(gòu)如下圖所示：研究所信息安全總體框架安全管理體系技術(shù)平臺(tái)在安全性設(shè)計(jì)上遵循中國現(xiàn)行信息安全技術(shù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，平臺(tái)安全性包括南向接入安全、北向?qū)影踩?、門戶訪問安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)容災(zāi)、數(shù)據(jù)傳輸安全、數(shù)據(jù)訪問安全以及網(wǎng)絡(luò)安全等。南向接入安全平臺(tái)支持用戶名密碼認(rèn)證、設(shè)備序列號(hào)認(rèn)證、應(yīng)用平臺(tái)標(biāo)識(shí)認(rèn)證、IP地址認(rèn)證、證書認(rèn)證等多種接入方式認(rèn)證，來保證平臺(tái)接入的安全性。北向?qū)影踩脚_(tái)和上層應(yīng)用平臺(tái)或第三方訂閱平臺(tái)支持雙向認(rèn)證機(jī)制，即平臺(tái)對(duì)其他平臺(tái)身份進(jìn)行認(rèn)證和其他平臺(tái)對(duì)平臺(tái)身份進(jìn)行認(rèn)證。門戶訪問安全平臺(tái)提供自服務(wù)門戶和運(yùn)營管理門戶，門戶訪問具備必要的安全保障措施，包括統(tǒng)一登錄頁面、短信驗(yàn)證碼認(rèn)證、強(qiáng)密碼機(jī)制、嚴(yán)格的訪問權(quán)限控制。數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)存儲(chǔ)過程中，及時(shí)緩存內(nèi)容到支持層，保證數(shù)據(jù)完全寫入不丟失。同時(shí)，通過磁盤陣列、分布式存儲(chǔ)系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行冗余備份，保證節(jié)點(diǎn)異常時(shí)候數(shù)據(jù)不丟失。數(shù)據(jù)傳輸安全通過客戶端和平臺(tái)之間使用SSL安全連接，保證傳輸過程中的數(shù)據(jù)被加密，可以防止中間人攻擊。使用雙向安全認(rèn)證客戶端帶證書連接平臺(tái)，可以防止非法設(shè)備接入網(wǎng)絡(luò)。數(shù)據(jù)訪問安全1）使用OAuth2.0進(jìn)行統(tǒng)一登陸授權(quán)，引入了授權(quán)服務(wù)器做為中間件隔離，客戶端和應(yīng)用之間不會(huì)進(jìn)行私密信息的直接傳輸和交互，保證用戶認(rèn)證信息的安全性和偽造性。2）基于角色的用戶權(quán)限系統(tǒng)設(shè)計(jì)。系統(tǒng)分為資源、角色、用戶三層概念，可以方便的分級(jí)、分域、細(xì)粒度的進(jìn)行權(quán)限控制。3）資源自身的認(rèn)證體系。每個(gè)資源被請(qǐng)求訪問的時(shí)候，均會(huì)判斷請(qǐng)求者的合法性，只有擁有相應(yīng)權(quán)限的請(qǐng)求者才能得到正常的資源服務(wù)，非法的請(qǐng)求直接被拒絕服務(wù)。安全管理體系內(nèi)容建設(shè)通過規(guī)劃安全策略、確定安全機(jī)制、明確安全管理原則和完善安全管理措施，建立安全管理機(jī)制，制定各種規(guī)章、制度和準(zhǔn)則，合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，實(shí)現(xiàn)對(duì)系統(tǒng)安全管理科學(xué)化、系統(tǒng)化、法制化和規(guī)范化，達(dá)到保障網(wǎng)絡(luò)系統(tǒng)安全的目的。安全管理體系措施物理環(huán)境安全防護(hù)政務(wù)外網(wǎng)云計(jì)算平臺(tái)在物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和帶電磁防護(hù)等方面都滿足三級(jí)等保要求。通信網(wǎng)絡(luò)安全防護(hù)網(wǎng)絡(luò)安全域劃分是落實(shí)訪問控制策略、建立縱深安全防護(hù)、執(zhí)行安全管理政策的物理基石。根據(jù)等級(jí)保護(hù)要求，并依據(jù)信息系統(tǒng)實(shí)際情況分析，劃分互聯(lián)網(wǎng)接入?yún)^(qū)、公用網(wǎng)絡(luò)區(qū)等安全域?；ヂ?lián)網(wǎng)接入?yún)^(qū)邊界網(wǎng)絡(luò)：網(wǎng)絡(luò)邊界是安全防護(hù)重點(diǎn)區(qū)域，部署防火墻、IPS、WEB應(yīng)用防火墻等安全設(shè)備。骨干網(wǎng)絡(luò)：提供全網(wǎng)網(wǎng)絡(luò)交換，部署交換機(jī)等。服務(wù)器：部署應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等。終端接入：接入互聯(lián)網(wǎng)有線終端和無線終端等設(shè)備。公共網(wǎng)絡(luò)區(qū)骨干網(wǎng)絡(luò)：提供全網(wǎng)網(wǎng)絡(luò)交換，部署交換機(jī)等。服務(wù)器：部署應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等。安全管理中心：從功能、重要級(jí)別角度考慮，建立安全管理中心，承擔(dān)保障網(wǎng)絡(luò)運(yùn)行、安全、維護(hù)的工作。安全管理中心內(nèi)部署堡壘機(jī)、日志審計(jì)系統(tǒng)、數(shù)據(jù)庫省級(jí)、防病毒系統(tǒng)等。區(qū)域邊界安全防護(hù)邊界防護(hù)通過防火墻系統(tǒng)進(jìn)行網(wǎng)絡(luò)邊界的安全防護(hù)，保障跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信，滿足等保三級(jí)建設(shè)安全區(qū)域邊界——邊界防護(hù)要求。子項(xiàng)等保要求防護(hù)措施邊界防護(hù)a)應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信；防火墻b)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；c)應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；訪問控制參照等級(jí)保護(hù)要求在相關(guān)邊界部署防火墻系統(tǒng)進(jìn)行訪問控制，通過安全加固服務(wù)配置實(shí)現(xiàn)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，除允許通信外受控接口拒絕所有通信，杜絕越權(quán)訪問，防止各類非法攻擊行為。子項(xiàng)等保要求防護(hù)措施訪問控制a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；安全策略加固b)應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；安全策略加固c)應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出；安全策略加固d)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。防火墻入侵防范在各安全域之間，根據(jù)安全策略在網(wǎng)絡(luò)層判斷數(shù)據(jù)包的合法流動(dòng)。但面對(duì)越來越廣泛的基于應(yīng)用層內(nèi)容的攻擊行為，需要其他具備檢測新型的混合攻擊和防護(hù)的能力相互配合，共同防御來自應(yīng)用層到網(wǎng)絡(luò)層的多種攻擊類型，建立一整套的安全防護(hù)體系，進(jìn)行多層次、多手段的檢測和防護(hù)。入侵防御措施就是安全防護(hù)體系中重要的一環(huán)，它們能夠及時(shí)識(shí)別網(wǎng)絡(luò)中發(fā)生的入侵行為并實(shí)時(shí)報(bào)警并且進(jìn)行有效攔截防護(hù)。子項(xiàng)等保要求防護(hù)措施入侵防范a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；IPSb)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；c)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；d)當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。惡意代碼防范通過防病毒網(wǎng)關(guān)系統(tǒng)，對(duì)夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進(jìn)行過濾，對(duì)網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進(jìn)行全面的攔截。阻止病毒通過網(wǎng)絡(luò)的快速擴(kuò)散，將經(jīng)網(wǎng)絡(luò)傳播的病毒阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內(nèi)部其它安全域中，截?cái)嗔瞬《就ㄟ^網(wǎng)絡(luò)傳播的途徑，凈化了網(wǎng)絡(luò)流量。子項(xiàng)等保要求防護(hù)措施惡意代碼防范a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新；防病毒網(wǎng)關(guān)b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和更新。安全審計(jì)通過日志審計(jì)系統(tǒng)針對(duì)設(shè)備以及主機(jī)日志進(jìn)行統(tǒng)一的收集與審計(jì)，審計(jì)記錄包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。滿足《網(wǎng)絡(luò)安全法》要求“采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月”。子項(xiàng)等保要求防護(hù)措施安全審計(jì)a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；日志審計(jì)系統(tǒng)b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；c)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；d)應(yīng)能對(duì)遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。計(jì)算環(huán)境安全防護(hù)主要是對(duì)資源的有效性進(jìn)行控制，管理和控制不同等級(jí)用戶對(duì)信息資源和服務(wù)資源具有什么權(quán)限，其安全性策略包括用戶和服務(wù)器間的雙向身份認(rèn)證、信息和服務(wù)資源的訪問控制和訪問資源的加密，并通過審計(jì)和記錄機(jī)制，確保服務(wù)請(qǐng)求和資源訪問的防抵賴。針對(duì)本項(xiàng)目的信息資源的安全級(jí)別的特點(diǎn)，其安全策略主要包括統(tǒng)一的身份認(rèn)證、權(quán)限管理、日記審計(jì)等。身份鑒別用戶端進(jìn)行登錄認(rèn)證時(shí)，根據(jù)用戶設(shè)備信息、系統(tǒng)版本、終端類型、終端版本等相關(guān)信息進(jìn)行組合并通過加密算法生成的唯一密鑰，合法授權(quán)后下發(fā)登錄令牌Token。整個(gè)數(shù)據(jù)交互過程加密，同時(shí)發(fā)起授權(quán)與登錄的過程間隔時(shí)間服務(wù)器嚴(yán)格控制，不管登錄成功還是失敗，授權(quán)碼當(dāng)次有效，保證登錄過程不被攻擊。通過安全服務(wù)加固的方式對(duì)用戶鑒別信息復(fù)雜度、時(shí)效性進(jìn)行加固，配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出進(jìn)行配置，并采用兩種或以上組合的鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別，加強(qiáng)用戶身份管理。本項(xiàng)目需采用安全服務(wù)中主機(jī)加固服務(wù)來滿足等保三級(jí)建設(shè)安全計(jì)算環(huán)境——身份鑒別要求。子項(xiàng)等保要求防護(hù)措施身份鑒別a)應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；b)應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施；主機(jī)加固訪問控制通過安全服務(wù)主機(jī)加固進(jìn)行有效的計(jì)算環(huán)境主機(jī)訪問控制，保障計(jì)算環(huán)境安全，加固內(nèi)容包括但不限于：（1）對(duì)登錄的用戶分配賬戶和權(quán)限；（2）重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；（3）及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；（4）授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；（5）由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對(duì)客體的訪問規(guī)則；（6）訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫表級(jí)；（7）對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問。本項(xiàng)目需采用主機(jī)加固服務(wù)來滿足等保三級(jí)建設(shè)安全計(jì)算環(huán)境——訪問控制要求。子項(xiàng)等保要求防護(hù)措施訪問控制a)應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限；b)應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；c)應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；d)應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；e)應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對(duì)客體的訪問規(guī)則；f)訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫表級(jí)；g)應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問。主機(jī)加固安全審計(jì)計(jì)算環(huán)境安全審計(jì)主要從主機(jī)安全審計(jì)以及數(shù)據(jù)庫系統(tǒng)安全審計(jì)兩方面來設(shè)計(jì)。（1）針對(duì)主機(jī)的安全審計(jì)通過啟用本地的安全審計(jì)功能，針對(duì)關(guān)鍵節(jié)點(diǎn)的用戶行為進(jìn)行審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。同時(shí)利用平臺(tái)日志審計(jì)系統(tǒng)針對(duì)主機(jī)日志進(jìn)行統(tǒng)一的收集與審計(jì)，審計(jì)記錄包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。（2）針對(duì)數(shù)據(jù)庫系統(tǒng)的安全審計(jì)，通過數(shù)據(jù)庫審計(jì)系統(tǒng)對(duì)云平臺(tái)內(nèi)數(shù)據(jù)庫進(jìn)行跟蹤，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的查詢、新增、刪除、修改、授權(quán)等各種操作行為進(jìn)行解析、記錄和智能分析，審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等，并提供多種靈活方便的查詢方法、統(tǒng)計(jì)報(bào)表，供管理員查詢、分析、決策。該數(shù)據(jù)庫安全監(jiān)測探針還可提供數(shù)據(jù)庫入侵檢測功能，對(duì)惡意攻擊或者誤操作等敏感行為進(jìn)行實(shí)時(shí)報(bào)警。本項(xiàng)目利用日志審計(jì)系統(tǒng)進(jìn)行日志審計(jì)，滿足等保三級(jí)建設(shè)安全計(jì)算環(huán)境——安全審計(jì)要求。子項(xiàng)等保要求防護(hù)措施安全審計(jì)a)應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；c)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；d)應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。日志審計(jì)系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)入侵防范針對(duì)主機(jī)的入侵防范，將從多個(gè)角度進(jìn)行處理：（1）在網(wǎng)絡(luò)層面，通過入侵檢測系統(tǒng)可以起到防范網(wǎng)絡(luò)的攻擊行為。（2）采用安全掃描對(duì)信息系統(tǒng)主機(jī)進(jìn)行安全性檢測，以及漏洞的檢測并及時(shí)修補(bǔ)漏洞；（3）僅安裝需要的組件和應(yīng)用程序，關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；（4）針對(duì)業(yè)務(wù)服務(wù)器，可通過對(duì)操作系統(tǒng)人工加固的方式，來提升服務(wù)器的抗攻擊能力，保障服務(wù)器的安全性，建議對(duì)操作系統(tǒng)采取的加固方式。針對(duì)應(yīng)用代碼的防范，主要從應(yīng)用代碼審計(jì)加固進(jìn)行處理：（1）采用專業(yè)的安全檢測工具和人工評(píng)審代碼相結(jié)合的方式，實(shí)現(xiàn)業(yè)務(wù)和測試的分離，保障業(yè)務(wù)連續(xù)性和安全性。（2）根據(jù)檢測結(jié)果，提供詳細(xì)的代碼加固建議，并協(xié)助完成代碼加固，并提供復(fù)查以確保漏洞得到修復(fù)。本項(xiàng)目利用防火墻、IPS、漏洞掃描進(jìn)行入侵防范滿足等保三級(jí)建設(shè)安全計(jì)算環(huán)境——入侵防范要求：子項(xiàng)等保要求防護(hù)措施入侵防范a)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序；安全配置加固b)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；c)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；d)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求；e)應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評(píng)估后，及時(shí)修補(bǔ)漏洞；漏洞掃描f)應(yīng)能夠檢測到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。防火墻、IPS惡意代碼防范在所有終端主機(jī)和服務(wù)器上部署網(wǎng)絡(luò)防病毒系統(tǒng)，進(jìn)行了有效的惡意代碼防范。同時(shí)，防毒系統(tǒng)可以為平臺(tái)提供關(guān)于病毒威脅和事件的監(jiān)控、審計(jì)日志，為全網(wǎng)的病毒防護(hù)管理提供必要的信息。本項(xiàng)目利用防病毒系統(tǒng)，滿足等保三級(jí)建設(shè)安全區(qū)域邊界——惡意代碼防范要求：子項(xiàng)等保要求防護(hù)措施惡意代碼防范應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷。防病毒軟件數(shù)據(jù)完整性對(duì)操作日志等采用基于SM3國產(chǎn)摘要算法+SM2數(shù)字簽名技術(shù)，將日志數(shù)據(jù)、信息摘要、簽名驗(yàn)證信息一并保存到數(shù)據(jù)庫，用于日志審計(jì)與追蹤，保證日志數(shù)據(jù)的完整性、安全性和可用性。數(shù)據(jù)保密性在通信環(huán)境進(jìn)行加密傳輸，進(jìn)行數(shù)據(jù)安全的多重保護(hù)，同時(shí)將政務(wù)應(yīng)用與企業(yè)應(yīng)用、個(gè)人應(yīng)用隔離、集成訪問權(quán)限認(rèn)證、限制非法訪問、提供數(shù)據(jù)安全傳輸隧道和安全接口實(shí)現(xiàn)企業(yè)應(yīng)用容器的安全隔離。數(shù)據(jù)備份和恢復(fù)參照等級(jí)保護(hù)基本要求，對(duì)重要數(shù)據(jù)的本地備份，主要應(yīng)用系統(tǒng)采用雙機(jī)熱備部署，保證其可用性。采用數(shù)據(jù)備份系統(tǒng)來實(shí)現(xiàn)統(tǒng)一、自動(dòng)化、集中的備份。對(duì)于備份軟件的選擇，不僅要注重使用方便、自動(dòng)化程度高，還要有好的擴(kuò)展性和靈活性。同時(shí)，跨平臺(tái)的網(wǎng)絡(luò)數(shù)據(jù)備份軟件能滿足用戶在數(shù)據(jù)保護(hù)、系統(tǒng)恢復(fù)和病毒防護(hù)方面的支持。一個(gè)專業(yè)的備份軟件配合高性能的備份設(shè)備，能夠使損壞的系統(tǒng)迅速起死回生。目前被采用最多的備份策略主要有完全備份（FullBackup）、增量備份(IncrementalBackup)、差分備份(DifferentialBackup)三種。本方案建議備份策略采用以上三種方式的結(jié)合。例如：數(shù)據(jù)庫全備份：選擇在周五（或周六）自動(dòng)進(jìn)行。數(shù)據(jù)庫增量/差分備份：每晚由主機(jī)系統(tǒng)執(zhí)行，批處理人員觸發(fā)或由系統(tǒng)自動(dòng)執(zhí)行。文件全備份：將主機(jī)系統(tǒng)和其它服務(wù)器的數(shù)據(jù)作全備份，選擇在周日自動(dòng)進(jìn)行。文件增量備/差分備份份：在周一到周四（或周五）之間備份文件的增量。系統(tǒng)全量備份：在月初的周日備份系統(tǒng)及數(shù)據(jù)庫的全量。系統(tǒng)增量/差分備份：在其余的時(shí)間僅備份系統(tǒng)和數(shù)據(jù)庫配置的增量。跟蹤備份：實(shí)時(shí)備份系統(tǒng)增量(事務(wù)日志備份)。本項(xiàng)目對(duì)重要數(shù)據(jù)的進(jìn)行備份，以此滿足等保三級(jí)建設(shè)安全計(jì)算環(huán)境——數(shù)據(jù)備份恢復(fù)要求。子項(xiàng)等保要求防護(hù)措施數(shù)據(jù)備份恢復(fù)a)應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能；b)應(yīng)提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場地；c)應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。數(shù)據(jù)備份應(yīng)用信息安全防護(hù)信息應(yīng)用身份認(rèn)證身份認(rèn)證是安全系統(tǒng)的基礎(chǔ)，可以包括用戶密碼、數(shù)字證書、隨機(jī)驗(yàn)證碼（將一串隨機(jī)產(chǎn)生的數(shù)字上英文字每，生成一幅圖片，圖片里加上一些干擾象素（防止OCR），由用戶肉眼識(shí)別其中的驗(yàn)證碼信息，輸入表單提交驗(yàn)證）等多種模式，防止惡意軟件自動(dòng)登錄攻擊，實(shí)現(xiàn)對(duì)各類用戶訪問訪問系統(tǒng)的合法性進(jìn)行驗(yàn)證。其中數(shù)字證書可采用福建省電子政務(wù)認(rèn)證服務(wù)平臺(tái)頒發(fā)的數(shù)字證書。應(yīng)用系統(tǒng)開發(fā)中，還應(yīng)提供以下功能要求：（1）提供強(qiáng)制要求修改口令的功能。通過管理端的設(shè)置，可要求所有或部分用戶必須定期或在符合特定條件的情況下修改口令；（2）具有登錄失敗處理的功能，鎖定登錄失敗次數(shù)超過一定數(shù)量的用戶賬號(hào)；（3）具有超時(shí)處理的功能，當(dāng)用戶登錄后在一段時(shí)間內(nèi)無任何動(dòng)作，應(yīng)用系統(tǒng)應(yīng)鎖定界面并清除用戶狀態(tài)，用戶必須再次進(jìn)行身份認(rèn)證才可恢復(fù)。訪問控制賬號(hào)權(quán)限范圍在系統(tǒng)中，可以按照權(quán)限的高低劃分賬號(hào)的等級(jí)，也可以以權(quán)限大小作為認(rèn)證程度高低的判斷依據(jù)。系統(tǒng)的角色采用在業(yè)界接受度較高的功能權(quán)限模型是RBAC（Role-BasedAccessControl）模型，其基本理念是將“角色”這個(gè)概念賦予用戶，在系統(tǒng)中用戶與權(quán)限之間通過角色進(jìn)行關(guān)聯(lián)，以這樣的方法來實(shí)現(xiàn)靈活配置。根據(jù)業(yè)務(wù)劃分，其主要權(quán)限區(qū)別分為管理員、一般角色與特殊角色。管理員角色具有：查看較大范圍內(nèi)的數(shù)據(jù)權(quán)限、管理其權(quán)值范圍內(nèi)的賬號(hào)信息權(quán)限、更改當(dāng)前賬號(hào)信息權(quán)限，而一般的賬號(hào)具有：業(yè)務(wù)功能使用權(quán)限、當(dāng)前賬號(hào)信息權(quán)限等，另外管理員后臺(tái)提供角色權(quán)限字典表配置功能，支持根據(jù)需求創(chuàng)建特殊權(quán)限類型的角色。賬號(hào)安全認(rèn)證賬號(hào)安全認(rèn)證從兩方面體現(xiàn)在：賬號(hào)生成規(guī)則、賬號(hào)實(shí)名制認(rèn)證。嚴(yán)格設(shè)定為管理員可新增和修改其管理范圍內(nèi)的用戶和信息。這一點(diǎn)只要做好權(quán)限范圍控制就不會(huì)出現(xiàn)賬號(hào)問題賬戶風(fēng)險(xiǎn)控制 為了保障用戶的賬戶安全，在系統(tǒng)上會(huì)對(duì)關(guān)鍵點(diǎn)進(jìn)行必要的安全保護(hù)。因此需要建立一個(gè)安全平臺(tái)中的交互需要針對(duì)每一步操作行為行為進(jìn)行動(dòng)態(tài)打分。每一步操作的分值不是孤立的，具有連貫性，都會(huì)基于歷史的操作來進(jìn)行判定。一旦觸發(fā)了相應(yīng)的閾值，系統(tǒng)就采取相應(yīng)的保護(hù)機(jī)制。為操作設(shè)定做風(fēng)險(xiǎn)評(píng)估，并設(shè)計(jì)對(duì)應(yīng)場景解決辦法。（1）無風(fēng)險(xiǎn)：正常使用，不存在任何風(fēng)險(xiǎn)；（2）低風(fēng)險(xiǎn)：存在過于頻繁請(qǐng)求、過長時(shí)間登陸等明顯區(qū)別于一般賬號(hào)的行為時(shí)，系統(tǒng)會(huì)采用告知存在異常的方式保證安全性，一般為：郵件、短信、APP通知；（3）中度風(fēng)險(xiǎn)：存在特殊風(fēng)險(xiǎn)操作，例如多次錯(cuò)誤輸入口令、弱口令、執(zhí)行危險(xiǎn)操作等，系統(tǒng)會(huì)強(qiáng)制用短信驗(yàn)證碼、圖片驗(yàn)證碼、APP驗(yàn)證碼等方式進(jìn)行二次驗(yàn)證；（4）高度風(fēng)險(xiǎn)：操作或使用高風(fēng)險(xiǎn)操作時(shí)，系統(tǒng)會(huì)強(qiáng)制凍結(jié)賬號(hào)、限制訪問IP、限制使用時(shí)間等； 系統(tǒng)對(duì)每一次賬號(hào)的完整過程（從登錄到活躍）進(jìn)行評(píng)估，達(dá)到相應(yīng)級(jí)別，系統(tǒng)采取相應(yīng)的保護(hù)措施，其具體為：1、密碼口令風(fēng)控一般對(duì)于用戶賬號(hào)，其登陸賬號(hào)一般為身份證，口令為統(tǒng)一規(guī)則生成，容易發(fā)生賬號(hào)盜用與口令遺忘的情況，針對(duì)此類問題需做好密碼安全風(fēng)險(xiǎn)控制：（1）口令安全：用戶口令采用加密傳輸，并且由用戶關(guān)系中心唯一管理，其他系統(tǒng)通過統(tǒng)一認(rèn)證接口驗(yàn)證用戶信息，做到密碼統(tǒng)一管理。用戶口令保存在核心數(shù)據(jù)庫，口令采用加密算法不可逆破解，杜絕了用戶口令被破解的可能性。（2）口令找回：系統(tǒng)實(shí)現(xiàn)用戶與郵箱、手機(jī)綁定，如果用戶口令出現(xiàn)遺忘等情況，用戶可以通過多種手段找回。（3）弱口令：會(huì)強(qiáng)制提示用戶更改口令并完成修改。2、登錄風(fēng)控登錄是安全保護(hù)的第一道防線，這個(gè)階段就可以攔截大量的異常操作。（1）登錄失敗次數(shù)。記錄賬號(hào)短時(shí)間內(nèi)登錄失敗的次數(shù)，防止別人通過大量的測試來獲取你的密碼，這也是最基本的保護(hù)。比如，有的密碼輸入錯(cuò)誤次數(shù)達(dá)到3次以上后，就會(huì)加驗(yàn)證碼。有的輸入密碼錯(cuò)誤次數(shù)達(dá)到閾值后，限制一時(shí)間內(nèi)才能的再試（2）IP地址。一般用做判斷登錄地點(diǎn)是否為常在城市。另一方面用做輔助信息來做一些異常判斷，做進(jìn)一步限制。比如發(fā)現(xiàn)在某個(gè)IP存在頻繁的指令行為，可以限制該IP的上賬號(hào)活動(dòng)。內(nèi)部系統(tǒng)交互安全，內(nèi)部系統(tǒng)與管理中心交互采用的是內(nèi)網(wǎng)限制ip請(qǐng)求，做到外網(wǎng)基本絕緣的情況。外網(wǎng)無法或間接直連管理中心（3）使用設(shè)備。輔助信息，識(shí)別異常操作信號(hào)（4）登錄時(shí)間。記錄用戶的活躍情況，畫出用戶的工作時(shí)間分布圖，幫助識(shí)別異常操作。比如用戶一般都是工作時(shí)間登錄，突然某一天出現(xiàn)凌晨2:00登錄的現(xiàn)象，用戶在些之前并沒有登錄連續(xù)活躍的記錄，這時(shí)候就有一定的可疑性（5）登錄及活躍地點(diǎn)。輔助信息，識(shí)別用戶的異常行為，可畫出用戶活動(dòng)范圍圖，減少對(duì)異常情況的誤判。現(xiàn)在有第三方IP地址庫的公司，提供定位服務(wù)。所以即使是用PC，在不借助GPS和基站定位的情況下，也能精確地定位到你在某一棟樓里3、驗(yàn)證與請(qǐng)求風(fēng)控為預(yù)防賬號(hào)被盜、惡意刷號(hào)、惡意攻擊等風(fēng)險(xiǎn)，需要進(jìn)一步實(shí)現(xiàn)驗(yàn)證與請(qǐng)求的風(fēng)險(xiǎn)控制。一般需要在驗(yàn)證和請(qǐng)求環(huán)節(jié)可疑行為可能有：大量的下載、導(dǎo)出文件、大量的轉(zhuǎn)發(fā)內(nèi)容、大量的發(fā)送信息、發(fā)送帶有私密信息或敏感關(guān)鍵詞的信息或內(nèi)容、發(fā)送之后立即刪除等。比如：不法分子利用已經(jīng)獲得的賬號(hào)資料，通過技術(shù)手段，大量驗(yàn)證“用戶賬號(hào)是否存在”，從而知道手里的賬號(hào)哪些是已經(jīng)在平臺(tái)上注冊(cè)過的賬號(hào)。賬號(hào)驗(yàn)證需要向服務(wù)器發(fā)起請(qǐng)求，因此惡意者可以用技術(shù)手段大量發(fā)起請(qǐng)求攻擊，導(dǎo)致網(wǎng)絡(luò)、服務(wù)器和數(shù)據(jù)庫癱瘓甚至宕機(jī)。需要基于以下幾點(diǎn)做到：（1）手機(jī)賬號(hào)真實(shí)性的風(fēng)控：為了保證用戶輸入的手機(jī)號(hào)是其本人的，通常我們都需要設(shè)計(jì)短信驗(yàn)證碼功能（2）郵箱賬號(hào)真實(shí)性的風(fēng)控：為了保證用戶輸入的郵箱是其本人的，通常我們都需要設(shè)計(jì)郵件驗(yàn)證碼功能或者通過郵件進(jìn)行激活確認(rèn)的功能（3）短信通道、真實(shí)手機(jī)號(hào)的風(fēng)控：短信驗(yàn)證碼是業(yè)務(wù)系統(tǒng)利用運(yùn)營商或者代理商的短信通道，下發(fā)驗(yàn)證碼，對(duì)用戶所輸入的手機(jī)號(hào)進(jìn)行真實(shí)驗(yàn)證的功能。為了防止惡意者攻擊短信通道，或者隨意輸入其他人的手機(jī)號(hào)濫發(fā)短信給其他人造成騷擾，這里需要增加兩項(xiàng)風(fēng)控：保護(hù)短信通道、減少對(duì)其他手機(jī)號(hào)短信騷擾。（4）注冊(cè)請(qǐng)求的風(fēng)控：當(dāng)用戶將所有信息都填寫完成，點(diǎn)擊“立即注冊(cè)”按鈕即可向服務(wù)器發(fā)起請(qǐng)求，程序判斷用戶填寫的信息完整無誤，則返回注冊(cè)成功的提示；如果判斷某些輸入項(xiàng)有問題，則返回對(duì)應(yīng)的錯(cuò)誤提示。這里需要增加兩項(xiàng)風(fēng)控：防止用戶惡意大量請(qǐng)求攻擊服務(wù)器，防止用戶繞過輸入項(xiàng)驗(yàn)證直接提交注冊(cè)請(qǐng)求。綜上所述，在注冊(cè)功能中，我們需要考慮的風(fēng)險(xiǎn)點(diǎn)和風(fēng)控目標(biāo)可以歸納為：禁止非正常的、大量的“驗(yàn)證賬號(hào)是否存在”的服務(wù)器請(qǐng)求；確保輸入的手機(jī)號(hào)是用戶本人的、真實(shí)的手機(jī)號(hào)；郵件驗(yàn)證碼功能或者通過郵件進(jìn)行激活確認(rèn)的功能；保護(hù)短信通道不被惡意者大量刷短信，造成堵塞；減少對(duì)其他手機(jī)號(hào)碼的短信騷擾；防止惡意用戶大量發(fā)起注冊(cè)請(qǐng)求，攻擊服務(wù)器；防止用戶繞過輸入項(xiàng)驗(yàn)證，直接發(fā)起請(qǐng)求。安全審計(jì)對(duì)應(yīng)用系統(tǒng)的操作日志、數(shù)據(jù)生成日志等采用基于SM3國產(chǎn)摘要算法+SM2數(shù)字簽名技術(shù)，將日志數(shù)據(jù)、信息摘要、簽名驗(yàn)證信息一并保存到數(shù)據(jù)庫，用于日志審計(jì)與追蹤，保證日志數(shù)據(jù)的完整性、安全性和可用性。剩余信息保護(hù)敏感信息保護(hù)系統(tǒng)在使用中不僅要對(duì)各項(xiàng)基礎(chǔ)信息的安全保證，還要對(duì)隱私數(shù)據(jù)進(jìn)行嚴(yán)格的劃分和保護(hù)，隱私數(shù)據(jù)主要體現(xiàn)在用戶在使用中產(chǎn)生的用戶姓名、手機(jī)號(hào)碼、郵箱、登錄系統(tǒng)日志、操作埋點(diǎn)記錄等數(shù)據(jù)。從數(shù)據(jù)的生命周期角度來考慮，對(duì)數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、流轉(zhuǎn)、使用、廢棄等不同階段涉及介質(zhì)、系統(tǒng)、終端、人員進(jìn)行識(shí)別，明確不同階段的使用要求。另外，則是從用戶隱私信息涉及到的所有者、管理者、使用者的角度，分別提出不同的要求，基本要求應(yīng)當(dāng)包括：用戶個(gè)人隱私數(shù)據(jù)的可接受使用，即哪些人通過哪些系統(tǒng)可以訪問哪些數(shù)據(jù)（應(yīng)當(dāng)有數(shù)據(jù)所有者來定義）；用戶個(gè)人隱私數(shù)據(jù)的使用流程，即對(duì)于批量數(shù)據(jù)查詢、非授權(quán)人員對(duì)用戶隱私數(shù)據(jù)使用的場景應(yīng)當(dāng)如何通過流程進(jìn)行授權(quán)管理，保證披露范圍合法、可控，披露過程可追溯（使用者應(yīng)當(dāng)遵守的流程）；用戶個(gè)人隱私數(shù)據(jù)的管理流程，即從信息系統(tǒng)管理者的角度如何保證用戶個(gè)人隱私數(shù)據(jù)不被非授權(quán)訪問、隱私信息介質(zhì)被妥善保護(hù)、數(shù)據(jù)訪問過程可追溯、廢棄數(shù)據(jù)妥善被銷毀等（管理者應(yīng)當(dāng)執(zhí)行的流程）。用戶隱私信息范圍 項(xiàng)目用戶隱私信息保護(hù)的前提條件，是明確定義出哪些信息應(yīng)當(dāng)作為用戶個(gè)人隱私信息進(jìn)行保護(hù)。從風(fēng)險(xiǎn)的角度，識(shí)別風(fēng)險(xiǎn)場景和信息的相關(guān)性，從而明確隱私保護(hù)的重點(diǎn)范圍，將有限的資源分配到高風(fēng)險(xiǎn)的用戶信息字段，將姓名、手機(jī)號(hào)、郵箱地址、賬號(hào)密碼、聯(lián)系地址等作為重點(diǎn)隱私數(shù)據(jù)保護(hù)的對(duì)象列為隱私數(shù)據(jù)。用戶信息收集的范圍和用途規(guī)范除了用戶隱私信息范圍，需要與用戶就信息的收集、使用達(dá)成一致性的共識(shí)，在明顯的位置顯示系統(tǒng)需要收集的隱私數(shù)據(jù)內(nèi)容，服務(wù)過程中會(huì)收集到哪些信息，以及這些信息將被用于哪些用途以及使用的范圍。只有在獲得用戶許可的前提下，才可以收集相關(guān)的信息。系統(tǒng)不會(huì)將數(shù)據(jù)以公告外的方式使用數(shù)據(jù)，名按照規(guī)范嚴(yán)格執(zhí)行數(shù)據(jù)保護(hù)。用戶信息保護(hù)根據(jù)敏感數(shù)據(jù)加密的數(shù)據(jù)類型、數(shù)據(jù)內(nèi)容，在數(shù)據(jù)產(chǎn)生并存儲(chǔ)在數(shù)據(jù)庫過程中對(duì)所需加密數(shù)據(jù)進(jìn)行SM4國產(chǎn)密碼算法加密服務(wù)，并對(duì)所需傳輸過程的數(shù)據(jù)進(jìn)行SM2國產(chǎn)密碼算法加密服務(wù)，加密完成后再進(jìn)行數(shù)據(jù)傳輸和存儲(chǔ)，當(dāng)需要進(jìn)行數(shù)據(jù)解密時(shí)，進(jìn)行SM2數(shù)據(jù)解密后，將解密后的數(shù)據(jù)發(fā)送至系統(tǒng)。數(shù)據(jù)泄露的風(fēng)險(xiǎn)來源可以分為三個(gè)方面：外部黑客攻擊導(dǎo)致、內(nèi)部的惡意人員的泄露、系統(tǒng)設(shè)計(jì)漏洞導(dǎo)致數(shù)據(jù)泄露。對(duì)外部黑客攻擊而言，一般性的安全工具組合可能會(huì)包括：應(yīng)用防火墻（WAF）、入侵偵測系統(tǒng)（IPS）、數(shù)據(jù)庫審計(jì)工具（DBA）、數(shù)據(jù)庫加密工具通過這些工具的組合，試圖對(duì)可能發(fā)生的黑客入侵行為進(jìn)行預(yù)警、阻斷和追溯，盡最大可能避免大規(guī)模的數(shù)據(jù)泄露事件發(fā)生。對(duì)內(nèi)部惡意人員的泄露，一般性的安全工具組合可能包括終端安全管理工具（對(duì)數(shù)據(jù)傳輸接口進(jìn)行限制）、文檔加密工具、數(shù)據(jù)加密工具、數(shù)據(jù)脫敏工具、數(shù)據(jù)庫審計(jì)工具等。通過這些工具的組合，可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫管理員、數(shù)據(jù)工程師、業(yè)務(wù)運(yùn)營人員的高危數(shù)據(jù)操作風(fēng)險(xiǎn)的管理，包括數(shù)據(jù)導(dǎo)出、下載、外傳、批量查詢等。系統(tǒng)設(shè)計(jì)上，完全采用保密傳輸、暗碼等的方式，不在瀏覽器地址、緩存中有隱私數(shù)據(jù)，移動(dòng)互聯(lián)需要進(jìn)行協(xié)議加密等方式研發(fā)，杜絕設(shè)計(jì)導(dǎo)致的隱私數(shù)據(jù)泄露。數(shù)據(jù)分級(jí)分類數(shù)據(jù)分級(jí)針對(duì)數(shù)據(jù)的敏感程度或共享范圍進(jìn)行劃分，構(gòu)建合理的數(shù)據(jù)分級(jí)管理體系。數(shù)據(jù)分類針對(duì)數(shù)據(jù)來源、業(yè)務(wù)屬性、數(shù)據(jù)類型等進(jìn)行劃分，構(gòu)建數(shù)據(jù)的分類管理體系。平臺(tái)數(shù)據(jù)越齊全，安全風(fēng)險(xiǎn)也越大，為避免相關(guān)用戶隱私信息等敏感數(shù)據(jù)泄露，利用數(shù)據(jù)處理技術(shù)手段，將敏感數(shù)據(jù)進(jìn)行屏蔽，包括姓名、身份證、工作單位、職務(wù)、手機(jī)號(hào)、家庭住址等。1、功能設(shè)計(jì)數(shù)據(jù)分級(jí)分類服務(wù)具備以下功能：（1）數(shù)據(jù)分級(jí)分類管理：提供相關(guān)管理規(guī)定和規(guī)范的展示；支持?jǐn)?shù)據(jù)敏感級(jí)別規(guī)則的制定和管理；支持?jǐn)?shù)據(jù)資源庫、知識(shí)庫、主題庫等分類管理；支持其他分級(jí)分規(guī)則設(shè)定等。（2）數(shù)據(jù)授權(quán)管理：支持對(duì)分級(jí)分類的數(shù)據(jù)，按照用戶、角色進(jìn)行授權(quán)；支持按照業(yè)務(wù)角色或類別進(jìn)行授權(quán)。（3）數(shù)據(jù)分級(jí)分類審核：支持分級(jí)分類的審核審批管理；經(jīng)過審批后，平臺(tái)將根據(jù)授權(quán)規(guī)則提供相應(yīng)數(shù)據(jù)訪問服務(wù)。2、數(shù)據(jù)分級(jí)分類方式（1）要素分類：系統(tǒng)采用人員、事件等要素對(duì)主要業(yè)務(wù)共享結(jié)構(gòu)化信息加以涵蓋和抽象。（2）業(yè)務(wù)性質(zhì)分類：信息服務(wù)類、業(yè)務(wù)管理類、系統(tǒng)運(yùn)維類等。（3）敏感等級(jí)分類：信息按敏感等級(jí)區(qū)分（1級(jí)、2級(jí)、3級(jí)、4級(jí)）。（4）數(shù)據(jù)結(jié)構(gòu)分類：按數(shù)據(jù)結(jié)構(gòu)進(jìn)行分類，如數(shù)據(jù)庫信息、普通文件、表格等各種內(nèi)容。物聯(lián)網(wǎng)安全防護(hù)接入控制物聯(lián)終端設(shè)備接入安全，根據(jù)安全策略，保障只有被授權(quán)的的感知節(jié)點(diǎn)（設(shè)備）才可以被允許接入。加固內(nèi)容包括但不限于：（1）對(duì)接入的感知節(jié)點(diǎn)進(jìn)行權(quán)限分配；（2）重命名或刪除默認(rèn)感知節(jié)點(diǎn)，修改默認(rèn)感知節(jié)點(diǎn)的默認(rèn)口令；（3）及時(shí)刪除或停用多余的、過期的節(jié)點(diǎn)，避免共享節(jié)點(diǎn)的存在；（4）授予管理節(jié)點(diǎn)所需的最小權(quán)限，實(shí)現(xiàn)管理節(jié)點(diǎn)的權(quán)限分離；（5）由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對(duì)客體的訪問規(guī)則。入侵防范針對(duì)物聯(lián)平臺(tái)環(huán)境的入侵防范，將從終端感知節(jié)點(diǎn)及網(wǎng)關(guān)節(jié)點(diǎn)與平臺(tái)通信的維度進(jìn)行處理，防止非法節(jié)點(diǎn)或設(shè)備連接到平臺(tái)。加固內(nèi)容包括但不限于：（1）限制與感知節(jié)點(diǎn)通信的目標(biāo)地址,以避免對(duì)陌生地址的攻擊行為；（2）限制與網(wǎng)關(guān)節(jié)點(diǎn)通信的目標(biāo)地址,以避免對(duì)陌生地址的攻擊行為；（3）設(shè)置訪問IP白名單，防止非法IP訪問。感知節(jié)點(diǎn)設(shè)備安全防范應(yīng)保證感知節(jié)點(diǎn)設(shè)備上的軟件、網(wǎng)關(guān)設(shè)備、路由節(jié)點(diǎn)進(jìn)行身份唯一性標(biāo)識(shí)及鑒別，確保感知節(jié)點(diǎn)設(shè)備的安全加固內(nèi)容包括但不限于：（1）限制只有授權(quán)的用戶可以對(duì)感知節(jié)點(diǎn)設(shè)備上的軟件應(yīng)用進(jìn)行配置或變更；（2）對(duì)其連接的網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備(包括讀卡器)進(jìn)行身份標(biāo)識(shí)和鑒別；（3）對(duì)其連接的其他感知節(jié)點(diǎn)設(shè)備(包括路由節(jié)點(diǎn))進(jìn)行身份標(biāo)識(shí)和鑒別。網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全防范針對(duì)合法連接設(shè)備進(jìn)行標(biāo)識(shí)和鑒別，并確保節(jié)點(diǎn)發(fā)送數(shù)據(jù)的合法性驗(yàn)證及關(guān)鍵密鑰和配置參數(shù)進(jìn)行在線更新。加固內(nèi)容包括但不限于：（1）實(shí)現(xiàn)對(duì)合法連接設(shè)備(包括終端節(jié)點(diǎn)、路由節(jié)點(diǎn)、數(shù)據(jù)處理中心)進(jìn)行標(biāo)識(shí)和鑒別；（2）實(shí)現(xiàn)過濾非法節(jié)點(diǎn)和偽造節(jié)點(diǎn)所發(fā)送的數(shù)據(jù)；（3）具備授權(quán)用戶應(yīng)能夠在設(shè)備使用過程中對(duì)關(guān)鍵密鑰進(jìn)行在線更新；（4）具備授權(quán)用戶應(yīng)能夠在設(shè)備使用過程中對(duì)關(guān)鍵配置參數(shù)進(jìn)行在線更新。抗數(shù)據(jù)重放應(yīng)具備數(shù)據(jù)的最新狀態(tài)鑒別能力，避免通過修改歷史數(shù)據(jù)進(jìn)行重放攻擊。加固內(nèi)容包括但不限于：（1）實(shí)現(xiàn)鑒別數(shù)據(jù)的新鮮性,避免歷史數(shù)據(jù)的重放攻擊；（2）實(shí)現(xiàn)鑒別歷史數(shù)據(jù)的非法修改,避免數(shù)據(jù)的修改重放攻擊。數(shù)據(jù)融合處理應(yīng)對(duì)來自物聯(lián)傳感網(wǎng)的數(shù)據(jù)進(jìn)行數(shù)據(jù)融合處理,并進(jìn)行數(shù)據(jù)標(biāo)簽，使不同種類的數(shù)據(jù)可以在同一個(gè)平臺(tái)被使用。感知節(jié)點(diǎn)設(shè)備運(yùn)維管理為保障終端節(jié)點(diǎn)設(shè)備的安全及穩(wěn)定運(yùn)行，應(yīng)確保定期巡檢對(duì)應(yīng)設(shè)備的運(yùn)行狀態(tài)，并記錄巡檢狀態(tài)記錄。