安全保障方案模板

XXX數(shù)據(jù)分析系統(tǒng)安全保障方案1需求分析1.1XXX數(shù)據(jù)分析系統(tǒng)概述某單位擬建設(shè)一套數(shù)據(jù)分析平臺(tái)，通過(guò)與第三方數(shù)據(jù)源對(duì)接，達(dá)到查詢用戶信息的目的，數(shù)據(jù)來(lái)源可能包括多個(gè)目標(biāo)資源庫(kù)（如用于案件分析等，可能包括阿里云如淘寶信息等）。該軟件預(yù)計(jì)會(huì)完成兩種場(chǎng)景功能：1）預(yù)置查詢：按預(yù)計(jì)規(guī)則實(shí)現(xiàn)定時(shí)檢索信息推送，2）按需查詢：終端用戶登錄后按指定條件查詢搜索。因數(shù)據(jù)敏感且數(shù)據(jù)量大，計(jì)劃不在管理服務(wù)端存儲(chǔ)數(shù)據(jù)，只在需要時(shí)從數(shù)據(jù)源端獲??；具體查詢后生成的數(shù)據(jù)或報(bào)表存儲(chǔ)另行設(shè)計(jì)方案。1.2用戶安全保障需求數(shù)據(jù)傳輸需求，分析平臺(tái)需要與數(shù)據(jù)源通過(guò)專線連接；平臺(tái)訪問(wèn)者暫定都是本單位體系員工，需要考慮移動(dòng)端安全可靠的接入需求，需考慮純專網(wǎng)（不允許移動(dòng)端訪問(wèn)）和專網(wǎng)+公網(wǎng)（PC走專網(wǎng)，移動(dòng)走公網(wǎng)）兩種接入方法；系統(tǒng)管理需求，需要實(shí)現(xiàn)統(tǒng)一授權(quán)管理，能定義哪些用戶能查詢哪些數(shù)據(jù);業(yè)務(wù)流方面，希望能有統(tǒng)一的用戶管理認(rèn)證中心；安全審計(jì)需求：需要能夠記錄訪問(wèn)行為，同時(shí)訪問(wèn)日志能防止被刪除或篡改;網(wǎng)絡(luò)隔離需求：計(jì)劃部署在專用機(jī)房、虛擬網(wǎng)絡(luò)，與其它本單位業(yè)務(wù)隔離;入侵檢測(cè)需求：要能防止攻擊和黑客入侵，記錄所有訪問(wèn)行為，能識(shí)別有風(fēng)險(xiǎn)的行為；安全可用平衡：前期數(shù)據(jù)量小，暫時(shí)不用關(guān)注性能，以安全性為首要目標(biāo)。2設(shè)計(jì)原則2.1統(tǒng)一授權(quán)，實(shí)現(xiàn)用戶的集中管理分析平臺(tái)涉及信息源數(shù)量大、最終用戶分布廣，對(duì)于系統(tǒng)使用和數(shù)據(jù)查詢?nèi)绻荒苡行Э刂破錂?quán)限和范圍，就可能帶來(lái)極大的安全隱患。實(shí)現(xiàn)全網(wǎng)統(tǒng)一授權(quán)管理和用戶身份認(rèn)證，是該系統(tǒng)建設(shè)所需解決的首要問(wèn)題。本項(xiàng)目中，建議采用建設(shè)集中授權(quán)和統(tǒng)一身份認(rèn)證中心的方式實(shí)現(xiàn)，采取強(qiáng)制訪問(wèn)控制和基于角色訪問(wèn)控制結(jié)合的方式實(shí)現(xiàn)最終用戶管理。2.2縱深防御，檢測(cè)與防護(hù)能力并重系統(tǒng)包括數(shù)據(jù)分析平臺(tái)、信息采集端、用戶終端、遠(yuǎn)程接入端等多個(gè)模塊和跨地域跨部門(mén)業(yè)務(wù)協(xié)同，需要統(tǒng)籌考慮其安全防護(hù)和入侵檢測(cè)的體系建設(shè)。本方案擬通過(guò)傳輸鏈路安全、信息交換安全、防御和入侵檢測(cè)、終端接入安全、操作行為審計(jì)、信息數(shù)據(jù)安全六個(gè)層面進(jìn)行建設(shè)。2.3數(shù)據(jù)核心，全程可控可管可追溯數(shù)據(jù)分析平臺(tái)的核心是“查詢過(guò)程安全、查詢記錄保密、信息傳輸可控、分發(fā)范圍可管、使用記錄可追”，需要對(duì)整個(gè)查詢申請(qǐng)?zhí)峤?、平臺(tái)生成查詢票據(jù)、數(shù)據(jù)提供者進(jìn)行內(nèi)部檢索、平臺(tái)獲取查詢結(jié)果、結(jié)果反饋至申請(qǐng)終端的全過(guò)程進(jìn)行統(tǒng)一考慮。3總體設(shè)計(jì)思路本項(xiàng)目安全保障的主要挑戰(zhàn)是多單位協(xié)同、跨部門(mén)跨地域交互的系統(tǒng)安全防護(hù)和保密傳輸，也就是2.2節(jié)所述的信息交換安全，我們建議參照國(guó)家電子政務(wù)內(nèi)網(wǎng)建設(shè)模型，將傳輸鏈路安全、集中授權(quán)、統(tǒng)一身份認(rèn)證和信息安全交換整合為底層服務(wù)接口，對(duì)應(yīng)用層提供安全的基于身份標(biāo)識(shí)的信息安全交換服務(wù)，解決跨地域跨部門(mén)的互信和信息傳遞。對(duì)于應(yīng)用系統(tǒng)來(lái)說(shuō)，原來(lái)是基于IP網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)，與被查詢數(shù)據(jù)源不可避免會(huì)產(chǎn)生邏輯交互關(guān)系（存在交互API接口被攻擊的可能行），且數(shù)據(jù)傳輸安全除了底層隧道加密外只能自行考慮；現(xiàn)在是面向一個(gè)對(duì)其提供接口的信息交換系統(tǒng)，應(yīng)用系統(tǒng)（數(shù)據(jù)分析平臺(tái)）將查詢信息寫(xiě)入特定格式的文件，進(jìn)行簽名后標(biāo)明需進(jìn)行查詢的數(shù)據(jù)源身份，底層交換系統(tǒng)基于公鑰證書(shū)認(rèn)證體系，實(shí)現(xiàn)安全可靠可追溯的文件交換，就像郵局收到信件在確認(rèn)封裝可靠地址清晰的前提下，將信件安全傳遞到目的地的郵箱。根據(jù)保障級(jí)別要求，可以考慮在每個(gè)數(shù)據(jù)源機(jī)房?jī)?nèi)部署一臺(tái)前置設(shè)備，承擔(dān)這個(gè)“郵箱”的角色，數(shù)據(jù)源系統(tǒng)經(jīng)過(guò)身份認(rèn)證后可在特定目錄獲取查詢文件，導(dǎo)入自身系統(tǒng)查詢（系統(tǒng)日志只是系統(tǒng)自有的查詢請(qǐng)求，無(wú)法追溯到交換箱）后將查詢結(jié)果簽名投入該“郵箱”即可完成交換，對(duì)該系統(tǒng)管理人員來(lái)說(shuō)“郵箱”始終是黑盒，誰(shuí)提交查詢、為何查詢、數(shù)據(jù)去哪里了都無(wú)法獲取。4技術(shù)保障體系4.1傳輸鏈路安全物理傳輸鏈路：建議采取專線配置和隧道加密（如IPSecVPN）的方式實(shí)現(xiàn)雙重安全保障，確保通訊鏈路安全。對(duì)于部分?jǐn)?shù)據(jù)傳輸頻繁、信息敏感度高的關(guān)鍵鏈路，可采取包括網(wǎng)絡(luò)密碼機(jī)和應(yīng)用負(fù)載的方式提供增強(qiáng)防護(hù)。4.2信息交換安全信息交換體系的基本思路參見(jiàn)第3節(jié)，其主要目標(biāo)是將數(shù)據(jù)分析平臺(tái)、信息安全交換和目標(biāo)數(shù)據(jù)源系統(tǒng)進(jìn)行隔離，同時(shí)又通過(guò)多重身份認(rèn)證機(jī)制實(shí)現(xiàn)了信息的安全可靠跨地區(qū)跨系統(tǒng)交互。具體建設(shè)內(nèi)容包括：＞基于公鑰密碼體系的統(tǒng)一身份授權(quán)和認(rèn)證系統(tǒng)，實(shí)現(xiàn)系統(tǒng)、用戶和數(shù)據(jù)源身份的統(tǒng)一管理和認(rèn)證，為高敏感度的操作和數(shù)據(jù)配置強(qiáng)制訪問(wèn)控制權(quán)限，即使有管理員授權(quán)，低密級(jí)用戶也無(wú)法訪問(wèn)超限信息；＞基于上述身份認(rèn)證體系的電子文件交換系統(tǒng)，提供安全的查詢信息交換和管理，需內(nèi)置基于證書(shū)身份的審計(jì)記錄模塊，并實(shí)時(shí)同步至統(tǒng)一的審計(jì)中心；＞數(shù)據(jù)分析平臺(tái)系統(tǒng)對(duì)接應(yīng)用接口，數(shù)據(jù)源端提供身份認(rèn)證和文件共享服務(wù)無(wú)需專用接口。4.3防御和入侵檢測(cè)防御和入侵檢測(cè)系統(tǒng)建設(shè)基于傳統(tǒng)安全防護(hù)技術(shù)，結(jié)合最新的業(yè)務(wù)數(shù)據(jù)可視、攻擊行為關(guān)聯(lián)和威脅情報(bào)分析實(shí)現(xiàn)：＞建設(shè)貫穿安全事件的事前、事中和事后的防護(hù)檢測(cè)和響應(yīng)能力；＞以安全可視為基礎(chǔ)，實(shí)現(xiàn)看得見(jiàn)異常、看得清威脅和安全現(xiàn)狀；＞邊界防御把控傳統(tǒng)威脅入口，持續(xù)檢測(cè)漏網(wǎng)之魚(yú)，及時(shí)發(fā)現(xiàn)高級(jí)威脅；＞發(fā)生安全事件提供快速定位，及時(shí)處置服務(wù)，將威脅影響面降至最低；＞基于可視、檢測(cè)的結(jié)果形成各類自動(dòng)化安全報(bào)表，讓領(lǐng)導(dǎo)重視安全、讓技術(shù)人員理解安全。4.4終端接入安全需要考慮純專網(wǎng)PC安全接入方法和移動(dòng)端安全可靠的接入需求。專網(wǎng)PC接入：建議配置專用終端，采取云桌面的方式，本地不留存數(shù)據(jù)僅作為信息錄入接口和獲取服務(wù)器端的圖像顯示接口；終端用戶使用該專用PC時(shí)需插入個(gè)人Key，PC身份與個(gè)人身份雙重認(rèn)證通過(guò)后方可訪問(wèn)平臺(tái)，拔Key自動(dòng)鎖定終端。（可以實(shí)現(xiàn)行為審計(jì)到人到物理設(shè)備）移動(dòng)終端接口：移動(dòng)端接入需要充分考慮身份認(rèn)證、設(shè)備安全、鏈路安全、數(shù)據(jù)安全等多個(gè)領(lǐng)域的問(wèn)題，同樣建議采取個(gè)人Key加設(shè)備碼均認(rèn)證通過(guò)后，建立安全的加密隧道實(shí)現(xiàn)數(shù)據(jù)傳輸，查詢操作和數(shù)據(jù)訪問(wèn)需要通過(guò)隔離于手機(jī)系統(tǒng)的安全加密環(huán)境實(shí)現(xiàn)；同時(shí)需要由相應(yīng)的技術(shù)對(duì)移動(dòng)設(shè)備自身安全進(jìn)行管控，包括設(shè)備脆弱性檢測(cè)、安全沙盒運(yùn)行環(huán)境以及設(shè)備丟失后支持遠(yuǎn)程數(shù)據(jù)擦除。4.5操作行為審計(jì)操作行為審計(jì)分為兩個(gè)層面的內(nèi)容，即系統(tǒng)層面和用戶層面，需要進(jìn)行集中管理和綜合展示：系統(tǒng)層：配置網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)和堡壘機(jī)，對(duì)網(wǎng)絡(luò)通訊、主機(jī)進(jìn)程和數(shù)據(jù)庫(kù)訪問(wèn)進(jìn)行審計(jì)；用戶層：基于全網(wǎng)統(tǒng)一授權(quán)和身份認(rèn)證，可以實(shí)現(xiàn)將行為審計(jì)定位到物理的人和設(shè)備層面，真正通過(guò)審計(jì)日志實(shí)現(xiàn)追責(zé)，輔助管理制度實(shí)現(xiàn)安全可靠。4.6信息數(shù)據(jù)安全數(shù)據(jù)生命周期安全是本系統(tǒng)安全體系建設(shè)的重中之重，整個(gè)防護(hù)措施融入了上述所有技術(shù)保障措施當(dāng)中，包括查詢文件的生成、簽名、加密、傳輸、獲取、檢索，查詢結(jié)果的簽名、導(dǎo)入、傳輸、錄入、分發(fā)，需要再各安全系統(tǒng)和數(shù)據(jù)分析平臺(tái)建設(shè)過(guò)程中進(jìn)行細(xì)致的統(tǒng)籌考慮和聯(lián)合測(cè)試。由于采取了全生命周期的加密、簽名和數(shù)據(jù)不落地管控，輔助各個(gè)層面的審計(jì)日志，基于關(guān)鍵字檢索的DLP軟件無(wú)法分析數(shù)據(jù)也沒(méi)有專門(mén)配置的必要。5管理維護(hù)體系完善的技術(shù)保障體系離不開(kāi)職責(zé)清晰的管理制度和有效運(yùn)行的維護(hù)體系，建議在項(xiàng)目建設(shè)過(guò)程中，就以下兩個(gè)方面進(jìn)行統(tǒng)籌考慮：5.1職責(zé)邊界清晰，符合知必所需原則考慮到系統(tǒng)的敏感性，在內(nèi)部管理邊界清晰的基礎(chǔ)上，與各數(shù)據(jù)提供單位同樣需要?jiǎng)澏ㄘ?zé)任邊界和保密職責(zé)，根據(jù)知必所需的原則，簽訂數(shù)據(jù)共享協(xié)議和安全保密協(xié)議，除核心管理層人員外，數(shù)據(jù)提供單