信息安全保障體系設(shè)計(jì)方案

信息安全保障體系設(shè)計(jì)方案為最大限度地保障政務(wù)數(shù)據(jù)信息資源的安全，保障系統(tǒng)運(yùn)行的安全；本項(xiàng)目對(duì)于安全要求較高，按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）及相關(guān)文件要求進(jìn)行定級(jí)；項(xiàng)目建設(shè)完成后，將委托專業(yè)機(jī)構(gòu)對(duì)項(xiàng)目成果進(jìn)行安全等級(jí)測(cè)評(píng)；在信息系統(tǒng)定級(jí)基礎(chǔ)上，從管理體系、技術(shù)體系上進(jìn)行安全系統(tǒng)同步設(shè)計(jì)規(guī)劃與建設(shè)，形成多個(gè)層面的安全保障體系，實(shí)現(xiàn)用戶身份鑒別、訪問控制、系統(tǒng)安全審計(jì)、用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保護(hù)、客體安全重用、系統(tǒng)備份與故障恢復(fù)、系統(tǒng)安全監(jiān)測(cè)、系統(tǒng)可執(zhí)行程序保護(hù)等計(jì)算環(huán)境安全防護(hù)；1安全保障目標(biāo)及對(duì)象：本項(xiàng)目依托婦幼服務(wù)中心開展建設(shè)，并根據(jù)本項(xiàng)目的實(shí)際情況，加強(qiáng)網(wǎng)絡(luò)安全保護(hù)建設(shè)，圍繞應(yīng)用系統(tǒng)安全建立數(shù)據(jù)安全防護(hù)機(jī)制和技術(shù)支撐體系，為不同部門和用戶的業(yè)務(wù)數(shù)據(jù)采集、傳輸、使用、交換、存儲(chǔ)等提供全生命周期的數(shù)據(jù)安全防護(hù)服務(wù)，避免和減少數(shù)據(jù)安全事件造成的損失；滿足用戶身份鑒別、訪問控制、系統(tǒng)安全審計(jì)、用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保密性保護(hù)、客體安全重用、系統(tǒng)備份與故障恢復(fù)、系統(tǒng)安全監(jiān)測(cè)、系統(tǒng)可執(zhí)行程序保護(hù)等計(jì)算環(huán)境安全防護(hù)，使得系統(tǒng)的安全建設(shè)方案最終既可以滿足等級(jí)保護(hù)的相關(guān)要求，又能夠全方面為系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力；本項(xiàng)目安全保障的對(duì)象包括項(xiàng)目建設(shè)的所有應(yīng)用系統(tǒng)；2安全等保定級(jí)：根據(jù)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2020）有關(guān)要求，結(jié)合項(xiàng)目實(shí)際情況，確定項(xiàng)目涉及的所有相對(duì)獨(dú)立信息系統(tǒng)的安全等級(jí)；1）業(yè)務(wù)信息安全保護(hù)等級(jí)的確定：①業(yè)務(wù)信息描述本系統(tǒng)主要提供云HIS、醫(yī)技導(dǎo)診等系統(tǒng)；②業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定該業(yè)務(wù)信息遭到破壞后，所侵害的客體是：社會(huì)秩序和公共利益；侵害的客觀方面表現(xiàn)為：一旦信息系統(tǒng)的業(yè)務(wù)信息遭到入侵、修改、增加、刪除等不明侵害，會(huì)對(duì)社會(huì)秩序和公共利益造成影響和損害，可以表現(xiàn)為：嚴(yán)重影響正常工作的開展，導(dǎo)致業(yè)務(wù)能力下降；③信息受到破壞后對(duì)侵害客體的侵害程度上述結(jié)果的程度表現(xiàn)為對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害；工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降，出現(xiàn)較嚴(yán)重的法律問題，較大范圍的不良影響等；④確定業(yè)務(wù)信息安全等級(jí)根據(jù)業(yè)務(wù)信息受破壞后，對(duì)主體影響層面和客體損害程度的詳細(xì)分析；同時(shí)結(jié)合《定級(jí)指南》中“業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表”，確定業(yè)務(wù)信息安全保護(hù)等級(jí)為第二級(jí)；業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)2）系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定：①系統(tǒng)服務(wù)描述本系統(tǒng)主要提供云HIS、醫(yī)技導(dǎo)診等系統(tǒng)；②系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定該系統(tǒng)服務(wù)遭到破壞后，所侵害的客體是社會(huì)秩序和公共利益；③信息受到破壞后對(duì)侵害客體的侵害程度侵害的客觀方面表現(xiàn)為：一旦系統(tǒng)服務(wù)中斷，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重影響，可以表現(xiàn)為：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降，出現(xiàn)較嚴(yán)重的法律問題，較大范圍的不良影響等；④確定系統(tǒng)服務(wù)安全等級(jí)根據(jù)系統(tǒng)服務(wù)受破壞后，對(duì)主體影響層面和客體損害程度的詳細(xì)分析；同時(shí)結(jié)合《定級(jí)指南》中“系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表”，確定系統(tǒng)服務(wù)安全保護(hù)等級(jí)為第二級(jí)；業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)3）安全保護(hù)等級(jí)的確定：由于業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)均為二級(jí)；最終確定本項(xiàng)目安全等級(jí)初定為第二級(jí)；3安全技術(shù)方案：3.1安全策略：1）物理安全：為保障網(wǎng)絡(luò)系統(tǒng)的安全，醫(yī)院機(jī)房、區(qū)疾控?cái)?shù)據(jù)中心提供本項(xiàng)目機(jī)房、電力環(huán)境保障以及設(shè)備、設(shè)施、介質(zhì)的防盜、防破壞等防護(hù)措施；2）網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全從結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范和網(wǎng)絡(luò)設(shè)備防護(hù)等幾方面進(jìn)行考慮；①結(jié)構(gòu)安全為滿足業(yè)務(wù)高峰期需求，主要網(wǎng)絡(luò)設(shè)備的處理能力、帶寬需要具備冗余空間；應(yīng)用核心服務(wù)器應(yīng)劃分獨(dú)立的網(wǎng)段，采用統(tǒng)一的隔離技術(shù)進(jìn)行隔離；對(duì)于應(yīng)用之間的帶寬、應(yīng)用與其他業(yè)務(wù)應(yīng)用系統(tǒng)之間的帶寬分配較高優(yōu)先級(jí)別，保證最小帶寬；②訪問控制按照統(tǒng)一要求，與內(nèi)網(wǎng)之間使用防火墻等邏輯訪問控制設(shè)備進(jìn)行訪問控制，對(duì)于其他網(wǎng)絡(luò)使用信息安全網(wǎng)絡(luò)隔離裝置進(jìn)行訪問控制；基于本系統(tǒng)構(gòu)建“白名單”訪問機(jī)制，設(shè)置響應(yīng)分級(jí)、分類訪問權(quán)限管理；內(nèi)網(wǎng)之間的通信，采用單向光閘傳輸?shù)姆绞?；③安全審?jì)應(yīng)用IMS系統(tǒng)對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行記錄，并根據(jù)記錄進(jìn)行分析，定期生成審計(jì)報(bào)表；④邊界完整性檢查訪問應(yīng)用的全部?jī)?nèi)網(wǎng)終端部署非法外連監(jiān)測(cè)系統(tǒng)，對(duì)內(nèi)網(wǎng)終端非法外連和外網(wǎng)終端私自接入內(nèi)網(wǎng)的行為進(jìn)行檢測(cè)，并對(duì)其進(jìn)行有效阻斷；⑤入侵防范通過網(wǎng)絡(luò)入侵檢測(cè)/網(wǎng)絡(luò)入侵防護(hù)設(shè)備對(duì)端口掃描、暴力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊等行為進(jìn)行檢測(cè)，在檢測(cè)到攻擊行為時(shí)進(jìn)行記錄和告警；⑥惡意代碼防范網(wǎng)絡(luò)邊界應(yīng)用防病毒過濾網(wǎng)關(guān)對(duì)惡意代碼進(jìn)行過濾，及時(shí)更新惡意代碼庫(kù)和檢測(cè)系統(tǒng)；⑦網(wǎng)絡(luò)設(shè)備防護(hù)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別，限制網(wǎng)絡(luò)管理員登錄地址；不同網(wǎng)絡(luò)設(shè)備用戶應(yīng)使用不同的用戶；對(duì)于核心網(wǎng)絡(luò)設(shè)備應(yīng)采用多因素身份鑒別技術(shù)進(jìn)行身份鑒別，同時(shí)口令應(yīng)滿足一定復(fù)雜度要求并定期更換；系統(tǒng)應(yīng)具備登錄失敗處理功能，在鑒別會(huì)話結(jié)束、登錄連接超時(shí)后自動(dòng)退出，限制非法登錄嘗試次數(shù)等方式；網(wǎng)絡(luò)遠(yuǎn)程管理應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離；3）系統(tǒng)安全：系統(tǒng)安全包括系統(tǒng)運(yùn)行安全、權(quán)限管理設(shè)計(jì)、系統(tǒng)備份與恢復(fù)、安全事件管理等內(nèi)容，從各個(gè)層次來(lái)保證系統(tǒng)的安全性；①系統(tǒng)運(yùn)行安全系統(tǒng)采用容錯(cuò)設(shè)計(jì)，為系統(tǒng)提供更好的訪問質(zhì)量；提高服務(wù)器響應(yīng)速度；提高服務(wù)器及其他資源的利用效率；避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)故障；②權(quán)限管理設(shè)計(jì)在權(quán)限管理上，系統(tǒng)要支持?jǐn)?shù)據(jù)特權(quán)、部門權(quán)限、客戶端權(quán)限、流程權(quán)限、模塊使用特權(quán)等全面的權(quán)限定義，并且可以根據(jù)IP地址和時(shí)間段控制系統(tǒng)的訪問；各種權(quán)限可以組合為角色，角色可以嵌套；通過權(quán)限管理工具，用戶可以方便地進(jìn)行用戶權(quán)限配置；A.統(tǒng)一用戶管理統(tǒng)一用戶管理為各級(jí)管理員提供一個(gè)統(tǒng)一的用戶管理入口，由各級(jí)管理員對(duì)機(jī)構(gòu)、組群、用戶、應(yīng)用進(jìn)行相應(yīng)的管理維護(hù)；功能包括：統(tǒng)一管理員管理：由超級(jí)管理員為各級(jí)管理員進(jìn)行相應(yīng)的機(jī)構(gòu)、人員、組群、應(yīng)用等管理權(quán)限的管理維護(hù)；用戶應(yīng)用授權(quán)：將向管理員展現(xiàn)出一棵機(jī)構(gòu)樹，管理員通過委托授權(quán)方式以不同的視角對(duì)相應(yīng)的人員或組群進(jìn)行授權(quán)，實(shí)現(xiàn)用戶的應(yīng)用授權(quán)；分級(jí)分權(quán)管理：通過集中管理人員信息，各級(jí)管理人員可為各級(jí)機(jī)構(gòu)人員進(jìn)行分級(jí)委托授權(quán)；統(tǒng)一用戶數(shù)據(jù)管理：所有用戶信息、機(jī)構(gòu)信息和授權(quán)信息都?xì)w于系統(tǒng)，保存在相應(yīng)的數(shù)據(jù)庫(kù)中；統(tǒng)一身份認(rèn)證：支持用戶名/口令方式登錄；安全審計(jì)：對(duì)所有操作行為進(jìn)行的安全日志記錄；提供全面、可靠的安全審計(jì)功能；可以記錄用戶登錄的時(shí)間、具體操作行為等；B.統(tǒng)一授權(quán)管理統(tǒng)一授權(quán)對(duì)所有應(yīng)用系統(tǒng)中授權(quán)信息進(jìn)行集中管理，服務(wù)于所有的應(yīng)用系統(tǒng)服務(wù)；當(dāng)需要在授權(quán)模塊中進(jìn)行角色管理時(shí)，直接在統(tǒng)一的授權(quán)模塊中進(jìn)行更改，而不單獨(dú)修改某個(gè)應(yīng)用系統(tǒng)管理的權(quán)限管理模塊，降低了管理的復(fù)雜度，減少各應(yīng)用系統(tǒng)的授權(quán)模塊不統(tǒng)一所帶來(lái)的安全隱患；（1）角色授權(quán)常見的授權(quán)方式可以分為兩種：基于用戶的授權(quán)和基于角色的授權(quán)：基于用戶的授權(quán)管理通常是直接對(duì)用戶的操作權(quán)限進(jìn)行設(shè)置，以判斷用戶是否能夠執(zhí)行某項(xiàng)功能；這種基于用戶的授權(quán)方式具有一定的不足：如某用戶原來(lái)只能夠執(zhí)行功能1，現(xiàn)在由于職位的變化，具有了執(zhí)行功能2和功能3的權(quán)限，那么就需要針對(duì)用戶1重新設(shè)置其權(quán)限；然而本項(xiàng)目的使用部門、用戶層次復(fù)雜多變，在職位的變化過程中往往會(huì)涉及很多人，由于這種方式只能實(shí)現(xiàn)一對(duì)一的授權(quán)，因此，需要對(duì)職位發(fā)生變化的所有用戶重新一一授權(quán)，這無(wú)疑增加了管理的復(fù)雜性，也增大了開銷；采用統(tǒng)一授權(quán)模塊使用的是基于角色的授權(quán)方式；先根據(jù)需要定義不同的角色，使每個(gè)角色擁有不同的操作權(quán)限，然后將用戶賦予不同的角色，從而將用戶與權(quán)限的關(guān)系分離開來(lái)；當(dāng)用戶的操作職能發(fā)生變化時(shí)，只需要?jiǎng)h除掉當(dāng)前的角色信息，重新賦予新的角色即可，這種授權(quán)模式從根本上避免了基于用戶的授權(quán)方式中存在的不足，大大減少了權(quán)限管理的復(fù)雜性，同時(shí)也降低了管理開銷；（2）授權(quán)控制授權(quán)控制是建立在基于統(tǒng)一用戶管理的基礎(chǔ)之上，在統(tǒng)一資源目錄的管理下對(duì)信息資源進(jìn)行統(tǒng)一的授權(quán)；基于統(tǒng)一資源目錄，對(duì)不同的資源進(jìn)行授權(quán)；應(yīng)通過統(tǒng)一資源目錄映射到各應(yīng)用系統(tǒng)的功能模塊或子系統(tǒng)中，從而在授權(quán)時(shí)，不用關(guān)心該應(yīng)用在什么位置，具體有什么內(nèi)容和作用，只需根據(jù)靈活的授權(quán)策略進(jìn)行授權(quán)；（3）分級(jí)授權(quán)分級(jí)授權(quán)建立在多維度的部門組織架構(gòu)關(guān)系基礎(chǔ)之上，各個(gè)層級(jí)管理員可以授權(quán)用戶可以訪問的業(yè)務(wù)應(yīng)用系統(tǒng)；（4）分層授權(quán)分層授權(quán)在入口級(jí)資源的授權(quán)基礎(chǔ)之上利用應(yīng)用本身的內(nèi)部授權(quán)功能，完成對(duì)本系統(tǒng)內(nèi)部功能細(xì)顆粒度的授權(quán)，以支撐統(tǒng)一應(yīng)用門戶進(jìn)行定制化服務(wù)；（5）授權(quán)傳遞對(duì)于平臺(tái)中擁有自身用戶數(shù)據(jù)庫(kù)的新建應(yīng)用系統(tǒng)或遺留應(yīng)用系統(tǒng)，因?yàn)榻巧?用戶組/級(jí)別等用戶權(quán)限身份標(biāo)識(shí)信息，在用戶目錄數(shù)據(jù)和應(yīng)用系統(tǒng)自身的用戶數(shù)據(jù)庫(kù)都需要分別進(jìn)行存儲(chǔ)；對(duì)這類應(yīng)用分層次授權(quán)時(shí)，系統(tǒng)自動(dòng)將授權(quán)信息傳遞到應(yīng)用系統(tǒng)，從而完成賦予該用戶對(duì)相關(guān)應(yīng)用系統(tǒng)內(nèi)部的授權(quán)；C.系統(tǒng)備份與恢復(fù)可對(duì)系統(tǒng)中重要的業(yè)務(wù)數(shù)據(jù)、操作日志、關(guān)鍵數(shù)據(jù)、數(shù)據(jù)庫(kù)以及操作系統(tǒng)進(jìn)行備份，通過定義備份策略，如全備份、增量備份、差異備份等，定時(shí)將系統(tǒng)中的數(shù)據(jù)備份到備份介質(zhì)，以防止系統(tǒng)出現(xiàn)故障后（如數(shù)據(jù)誤刪除、病毒感染、自然災(zāi)害等）能夠及時(shí)地恢復(fù)數(shù)據(jù)，保證系統(tǒng)運(yùn)行；D.安全事件管理提供相關(guān)安全事件收集、分析、預(yù)警、響應(yīng)和故障處理，全過程進(jìn)行監(jiān)督和合規(guī)比對(duì)；4)應(yīng)用安全:①身份鑒別使用統(tǒng)一的身份認(rèn)證系統(tǒng)，對(duì)用戶進(jìn)行身份認(rèn)證；設(shè)計(jì)密碼的存儲(chǔ)和傳輸安全；禁止明文傳輸用戶登錄信息及身份憑證；應(yīng)采用SSL加密隧道確保用戶密碼的傳輸安全；禁止在數(shù)據(jù)庫(kù)或文件系統(tǒng)中明文存儲(chǔ)用戶密碼；禁止在COOKIE中保存用戶密碼；應(yīng)采用單向散列值在數(shù)據(jù)庫(kù)中存儲(chǔ)用戶密碼，并使用強(qiáng)密碼；在生成單向散列值過程中加入隨機(jī)值，降低存儲(chǔ)的用戶密碼被字典攻擊的風(fēng)險(xiǎn)；設(shè)計(jì)密碼策略，保證密碼安全；默認(rèn)密碼策略：如果管理員未設(shè)置自定義密碼策略，則系統(tǒng)用戶密碼必須符合默認(rèn)密碼策略；默認(rèn)密碼策略強(qiáng)制執(zhí)行下列條件：（1）密碼長(zhǎng)度最短為8字符，最長(zhǎng)為128字符；（2）至少包含以下三種字符類型的組合：大寫、小寫、數(shù)字，以及指定符號(hào)；（3）密碼與賬戶名稱或手機(jī)號(hào)不同；自定義密碼策略：為賬戶配置自定義密碼策略時(shí)，可以指定以下條件：（1）密碼最小長(zhǎng)度，支持指定最少6個(gè)字符和最多128個(gè)字符；（2）密碼強(qiáng)度，可以復(fù)選以下任一條件來(lái)定義用戶密碼的強(qiáng)度：至少需要一個(gè)大寫拉丁字母（A-Z）；至少需要一個(gè)小寫拉丁字母（a-z）；至少需要一個(gè)數(shù)字；至少需要一個(gè)非字母數(shù)字字符；（3）啟用密碼過期；支持選擇并指定用戶密碼設(shè)置后的有效期；例如，如果指定的過期時(shí)間為90天，則會(huì)立即影響所有用戶；對(duì)于密碼超過90天的用戶，更改后登錄系統(tǒng)時(shí)，必須設(shè)置新密碼；（4）防止密碼重復(fù)使用；支持組織用戶重復(fù)使用指定數(shù)量的前密碼；（5）對(duì)需要重新設(shè)置密碼的，管理員重置為初始密碼；用戶首次使用該密碼時(shí)，強(qiáng)制要求修改初始密碼；增加密碼有效期限制，同一密碼超出有效期后用戶必須更改新密碼；設(shè)計(jì)圖形驗(yàn)證碼，增強(qiáng)身份認(rèn)證安全對(duì)于重要系統(tǒng)，采用圖形驗(yàn)證碼來(lái)增強(qiáng)身份認(rèn)證安全；圖形驗(yàn)證碼要求長(zhǎng)度至少4位，隨機(jī)生成且包含字母與數(shù)字的組合，經(jīng)過一定的噪點(diǎn)和扭曲干擾，能夠抵抗工具的自動(dòng)識(shí)別但同時(shí)不影響用戶的正常使用；設(shè)計(jì)賬號(hào)鎖定功能系統(tǒng)應(yīng)限制用戶賬號(hào)連續(xù)登錄失敗次數(shù)，當(dāng)客戶端多次嘗試失敗后，應(yīng)對(duì)用戶賬號(hào)進(jìn)行短時(shí)鎖定；系統(tǒng)鎖定策略應(yīng)支持配置解鎖時(shí)長(zhǎng)；保護(hù)身份驗(yàn)證Cookie系統(tǒng)應(yīng)通過加密來(lái)保護(hù)驗(yàn)證憑證，并限制驗(yàn)證憑證的有效期，以防止因重復(fù)攻擊導(dǎo)致的欺騙威脅；區(qū)分公共區(qū)域和受限區(qū)域信息系統(tǒng)應(yīng)根據(jù)實(shí)際業(yè)務(wù)需求將系統(tǒng)資源劃分為公共訪問區(qū)域和受限訪問區(qū)域；受限區(qū)域只能接受特定用戶的訪問，而且用戶必須通過站點(diǎn)的身份驗(yàn)證；當(dāng)未經(jīng)認(rèn)證的用戶試圖訪問受限資源時(shí)，應(yīng)用應(yīng)自動(dòng)提示用戶認(rèn)證；同一用戶同時(shí)只允許登錄一個(gè)系統(tǒng)應(yīng)具有判斷用戶是否重復(fù)登錄的功能；②授權(quán)在授權(quán)功能方面，系統(tǒng)應(yīng)具備根據(jù)用戶的權(quán)限和登錄位置等條件進(jìn)行授權(quán)的功能：設(shè)計(jì)資源訪問控制方案，驗(yàn)證用戶訪問權(quán)限；根據(jù)系統(tǒng)訪問控制策略對(duì)受限資源實(shí)施訪問控制，限制客戶不能訪問未授權(quán)的功能和數(shù)據(jù)；限制用戶對(duì)系統(tǒng)級(jí)資源的訪問；設(shè)計(jì)后臺(tái)管理控制方案；后臺(tái)管理應(yīng)采用黑名單或白名單方式對(duì)訪問的來(lái)源IP地址進(jìn)行限制，防止非法IP的接入以及地址欺騙；設(shè)計(jì)在服務(wù)器端實(shí)現(xiàn)訪問控制；在服務(wù)器端實(shí)現(xiàn)對(duì)系統(tǒng)內(nèi)受限資源的訪問控制，禁止僅在客戶端實(shí)現(xiàn)訪問控制；設(shè)計(jì)統(tǒng)一的訪問控制機(jī)制；采用統(tǒng)一的訪問控制機(jī)制，保證整體訪問控制策略的一致性；同時(shí)應(yīng)確保訪問控制策略不被非法修改；③訪問控制防護(hù)自主性訪問控制是在確認(rèn)主體身份及其所屬的組的基礎(chǔ)上對(duì)訪問進(jìn)行控制的一種控制策略；它的基本思想是：允許某個(gè)主體顯示的指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問以及執(zhí)行；自主訪問控制有兩種實(shí)現(xiàn)機(jī)制：一是基于主體DAC實(shí)現(xiàn)，它通過權(quán)限表明主體對(duì)所有客體的權(quán)限，當(dāng)刪除一個(gè)客體時(shí)，需遍歷主體所有的權(quán)限表；另一種是基于客體的DAC實(shí)現(xiàn)，它通過訪問控制鏈表ACL（AccessControlList）來(lái)表明客體對(duì)所有主體的權(quán)限，當(dāng)刪除一個(gè)主體時(shí)，要檢查所有客體的ACL；為了提高效率，系統(tǒng)一般不保存整個(gè)訪問控制矩陣，是通過基于矩陣的行或列來(lái)實(shí)現(xiàn)訪問控制策略；業(yè)務(wù)系統(tǒng)應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫(kù)表等客體的訪問，訪問控制范圍應(yīng)覆蓋于資源訪問相關(guān)的主體、客體及他們之間的操作，應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限；采用的措施主要包括：?jiǎn)⒂迷L問控制功能：制定嚴(yán)格的訪問控制安全策略，根據(jù)策略控制用戶對(duì)應(yīng)用系統(tǒng)的訪問，特別是文件操作、數(shù)據(jù)庫(kù)訪問等，控制粒度主體為用戶級(jí)、客體為文件或數(shù)據(jù)庫(kù)表級(jí)；權(quán)限控制：對(duì)于制定的訪問控制規(guī)則要能清楚地覆蓋資源訪問相關(guān)的主體、客體及它們之間的操作；對(duì)于不同的用戶授權(quán)原則是進(jìn)行能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過大，并在它們之間形成相互制約的關(guān)系；賬號(hào)管理：嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限，重命名默認(rèn)賬戶修改默認(rèn)口令，及時(shí)刪除多余的過期的賬戶，避免共享賬戶的存在；訪問控制的實(shí)現(xiàn)主要采取兩種方式：采用安全操作系統(tǒng)，或?qū)Σ僮飨到y(tǒng)進(jìn)行安全增強(qiáng)改造；④配置管理確保對(duì)配置文件的修改、刪除和訪問權(quán)限的變更，都有驗(yàn)證授權(quán)并且詳細(xì)記錄到日志；避免授予賬戶更改自身配置信息的權(quán)限，除非設(shè)計(jì)有明確的要求；使用最小特權(quán)進(jìn)程和服務(wù)賬戶；確保管理界面的安全；配置管理功能只能由經(jīng)過授權(quán)的操作員和管理員訪問，在管理界面上實(shí)施強(qiáng)身份驗(yàn)證，如使用證書，建議限制或避免使用遠(yuǎn)程管理，并要求管理員在本地登錄；如果需要支持遠(yuǎn)程管理，應(yīng)使用加密通道，如SSL或VPN技術(shù)；⑤會(huì)話管理設(shè)計(jì)登錄成功使用新的會(huì)話；在用戶認(rèn)證成功后，應(yīng)為用戶創(chuàng)建新的會(huì)話并釋放原有會(huì)話，創(chuàng)建的會(huì)話憑證應(yīng)滿足隨機(jī)性和長(zhǎng)度要求，避免被攻擊者猜測(cè)；會(huì)話應(yīng)與IP地址綁定，降低會(huì)話被盜用的風(fēng)險(xiǎn)；設(shè)計(jì)會(huì)話數(shù)據(jù)的存儲(chǔ)安全；用戶登錄成功后所生成的會(huì)話數(shù)據(jù)應(yīng)存儲(chǔ)在服務(wù)器端，并確保會(huì)話數(shù)據(jù)不能被非法訪問，當(dāng)更新會(huì)話數(shù)據(jù)時(shí)，應(yīng)對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格的輸入驗(yàn)證，避免會(huì)話數(shù)據(jù)被非法篡改；設(shè)計(jì)會(huì)話數(shù)據(jù)的傳輸安全；用戶登錄信息及身份憑證應(yīng)加密后進(jìn)行傳輸；如采用COOKIE攜帶會(huì)話憑證，必須合理設(shè)置COOKIE的Secure、Domain、Path和Expires屬性；禁止通過HTTPGET方式傳輸會(huì)話憑證，禁止設(shè)置過于寬泛的Domain屬性；設(shè)計(jì)會(huì)話的安全終止；當(dāng)用戶登錄成功并成功創(chuàng)建會(huì)話后，應(yīng)在信息系統(tǒng)的各個(gè)頁(yè)面提供用戶登出功能，登出時(shí)應(yīng)及時(shí)注銷服務(wù)器端的會(huì)話數(shù)據(jù)；當(dāng)處于登錄狀態(tài)的用戶直接關(guān)閉瀏覽器時(shí)，提示用戶執(zhí)行安全登出或者自動(dòng)為用戶完成登出過程，從而確保本次會(huì)話的安全終止；設(shè)計(jì)合理的會(huì)話存活時(shí)間；不合理的會(huì)話存活時(shí)間可能會(huì)導(dǎo)致會(huì)話被劫持和重放攻擊，應(yīng)當(dāng)合理設(shè)置會(huì)話存活時(shí)間，超時(shí)后銷毀會(huì)話，清除會(huì)話的信息；設(shè)計(jì)避免跨站請(qǐng)求偽造；在涉及關(guān)鍵業(yè)務(wù)操作的頁(yè)面，應(yīng)為當(dāng)前頁(yè)面生成一次性隨機(jī)令牌，作為主會(huì)話憑證的補(bǔ)充；信息系統(tǒng)在執(zhí)行關(guān)鍵業(yè)務(wù)前，應(yīng)檢查用戶提交的一次性隨機(jī)令牌，確保其與服務(wù)器端保存的一次性隨機(jī)令牌匹配；⑥異常管理一般系統(tǒng)在出錯(cuò)時(shí)，均會(huì)拋出異常，而異常信息一般包含了針對(duì)開發(fā)和維護(hù)人員調(diào)試使用的系統(tǒng)信息；對(duì)于惡意用戶，這些信息將增加發(fā)現(xiàn)潛在缺陷并進(jìn)行攻擊的機(jī)會(huì)，對(duì)于異常管理，主要功能要求包括：使用結(jié)構(gòu)化異常處理機(jī)制；使用結(jié)構(gòu)化異常處理機(jī)制捕捉異?，F(xiàn)象，可以避免將應(yīng)用程序置于不協(xié)調(diào)的狀態(tài)，有助于保護(hù)應(yīng)用程序免受拒絕服務(wù)攻擊；使用通用錯(cuò)誤信息；程序發(fā)生異常時(shí)，應(yīng)向外部服務(wù)或應(yīng)用程序的客戶發(fā)送通用的信息或重定向到特定應(yīng)用網(wǎng)頁(yè)，不要暴露可能導(dǎo)致信息泄漏的消息；例如，不要暴露包括函數(shù)名以及調(diào)試內(nèi)部版本時(shí)出問題的行數(shù)的堆棧跟蹤詳細(xì)信息；程序發(fā)生異常時(shí)，應(yīng)終止當(dāng)前業(yè)務(wù)，并對(duì)當(dāng)前業(yè)務(wù)進(jìn)行回滾操作，保證業(yè)務(wù)的完整性和有效性，必要時(shí)可以注銷當(dāng)前用戶會(huì)話；通信雙方中一方在一段時(shí)間內(nèi)未作反應(yīng)，另一方應(yīng)自動(dòng)結(jié)束回話；程序發(fā)生異常時(shí)，應(yīng)在日志中記錄詳細(xì)的錯(cuò)誤消息；⑦應(yīng)用交換安全系統(tǒng)互聯(lián)應(yīng)僅通過接口設(shè)備（前置機(jī)、接口機(jī)、通信服務(wù)器、應(yīng)用服務(wù)器等設(shè)備）進(jìn)行，禁止直接訪問核心數(shù)據(jù)庫(kù)；接口設(shè)備上的應(yīng)用只能包含實(shí)現(xiàn)系統(tǒng)互聯(lián)所必需的業(yè)務(wù)功能，不包含信息系統(tǒng)的所有功能；接口設(shè)備必須部署在信息系統(tǒng)的系統(tǒng)互聯(lián)區(qū)域；禁止明文傳輸，傳輸?shù)拿舾袛?shù)據(jù)必須經(jīng)過加密，可以采用加密傳輸協(xié)議，如HTTPS，對(duì)于密碼、密鑰必須在傳輸前進(jìn)行加密；對(duì)于大量數(shù)據(jù)加密，應(yīng)使用對(duì)稱加密算法或同等密鑰強(qiáng)度的其他加密算法，要對(duì)需暫時(shí)存儲(chǔ)的數(shù)據(jù)加密，應(yīng)考慮使用加密速度較快但強(qiáng)度較弱的算法；互聯(lián)系統(tǒng)的連接中應(yīng)通過防火墻或其他可以限制非授權(quán)范圍的設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制；其他系統(tǒng)訪問本系統(tǒng)設(shè)備應(yīng)經(jīng)過認(rèn)證，根據(jù)傳送數(shù)據(jù)的敏感程度和處理業(yè)務(wù)的重要性考慮使用比簡(jiǎn)單的用戶名、口令或更強(qiáng)的身份認(rèn)證方式，如指定來(lái)源、數(shù)字證書、USBKey；各種收發(fā)數(shù)據(jù)、消息的日志都應(yīng)予以保存，以備審計(jì)與核對(duì)；5）數(shù)據(jù)安全：本項(xiàng)目主要涉及健康管理事項(xiàng)，在數(shù)據(jù)安全、數(shù)據(jù)脫敏方面需要做好相關(guān)的防護(hù)工作，通過數(shù)據(jù)安全防控建立一套數(shù)據(jù)安全的管理應(yīng)用；①數(shù)據(jù)處理安全（1）采集傳輸安全對(duì)傳輸協(xié)議、鏈路進(jìn)行加密，保障傳輸安全；對(duì)數(shù)據(jù)進(jìn)行簽名和驗(yàn)簽，防止身份抵賴；（2）數(shù)據(jù)分發(fā)特權(quán)賬號(hào)管理對(duì)數(shù)據(jù)庫(kù)賬號(hào)進(jìn)行安全管理，防止賬號(hào)被篡改；數(shù)據(jù)分發(fā)服務(wù)訪問數(shù)據(jù)資源庫(kù)時(shí)，通過特權(quán)賬號(hào)管理服務(wù)獲取數(shù)據(jù)庫(kù)賬號(hào)；（3）數(shù)據(jù)操作審計(jì)對(duì)分布式文件系統(tǒng)、分布式數(shù)據(jù)庫(kù)和數(shù)據(jù)倉(cāng)庫(kù)、關(guān)系型數(shù)據(jù)庫(kù)、非關(guān)系型數(shù)據(jù)庫(kù)等的數(shù)據(jù)操作行為進(jìn)行審計(jì)；根據(jù)預(yù)置規(guī)則或語(yǔ)義分析，發(fā)現(xiàn)并記錄異常數(shù)據(jù)操作行為、高危操作行為、敏感數(shù)據(jù)操作行為；（4）數(shù)據(jù)服務(wù)數(shù)據(jù)服務(wù)訪問控制：根據(jù)最小權(quán)限原則分配數(shù)據(jù)服務(wù)訪問權(quán)限；基于可信API代理服務(wù)，訪問數(shù)據(jù)服務(wù)；對(duì)應(yīng)用服務(wù)進(jìn)行身份認(rèn)證，確保應(yīng)用服務(wù)身份的合法性；鑒別應(yīng)用服務(wù)訪問權(quán)限，確保沒有超出授權(quán)使用范圍；支持基于標(biāo)簽的訪問控制或可用不可見模式，實(shí)現(xiàn)數(shù)據(jù)安全服務(wù)；（5）第三方日志審計(jì)通過日志審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)用戶操作行為和接口服務(wù)情況的完整記錄，有效防范因數(shù)據(jù)盜取、越權(quán)訪問等行為造成的敏感信息泄露的違法違紀(jì)行為，保護(hù)數(shù)據(jù)安全；②數(shù)據(jù)組織安全數(shù)據(jù)組織是指根據(jù)數(shù)據(jù)應(yīng)用需求，按照數(shù)據(jù)定義的標(biāo)準(zhǔn)統(tǒng)一、數(shù)據(jù)規(guī)范的組織方案，實(shí)現(xiàn)數(shù)據(jù)資源分類建庫(kù)；通過文件加密、數(shù)據(jù)庫(kù)加密等方式，保障數(shù)據(jù)存儲(chǔ)安全；（1）對(duì)傳輸?shù)奈募M(jìn)行加密；（2）對(duì)保存在數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行加密，阻止數(shù)據(jù)庫(kù)文件被下載或者被復(fù)制，防止數(shù)據(jù)被泄露和破壞；③數(shù)據(jù)服務(wù)安全數(shù)據(jù)服務(wù)是指各類數(shù)據(jù)資源對(duì)外提供的訪問和管理能力，數(shù)據(jù)資源包括原數(shù)據(jù)庫(kù)、數(shù)據(jù)資源目錄等；數(shù)據(jù)服務(wù)安全基于現(xiàn)有的資源進(jìn)行建設(shè)；（1）數(shù)據(jù)服務(wù)化通過數(shù)據(jù)層接口提供數(shù)據(jù)服務(wù)，降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)；采用前后臺(tái)分離的方式，數(shù)據(jù)服務(wù)控制數(shù)據(jù)訪問，基于可信API代理訪問數(shù)據(jù)；（2）數(shù)據(jù)服務(wù)訪問控制在應(yīng)用服務(wù)調(diào)用數(shù)據(jù)服務(wù)的過程中，驗(yàn)證應(yīng)用服務(wù)身份，鑒別訪問請(qǐng)求權(quán)限：根據(jù)最小權(quán)限原則分配數(shù)據(jù)服務(wù)訪問權(quán)限；基于可信API代理服務(wù)，訪問數(shù)據(jù)服務(wù)；對(duì)應(yīng)用服務(wù)進(jìn)行身份認(rèn)證，確保應(yīng)用服務(wù)身份的合法性；鑒別應(yīng)用服務(wù)訪問權(quán)限，確保沒有超出授權(quán)使用范圍；支持基于標(biāo)簽的訪問控制或可用不可見模式，實(shí)現(xiàn)數(shù)據(jù)安全服務(wù)；（3）數(shù)據(jù)授權(quán)根據(jù)用戶屬性、數(shù)據(jù)屬性、數(shù)據(jù)操作行為配置數(shù)據(jù)訪問權(quán)限策略；通過權(quán)限管理服務(wù)，基于用戶級(jí)別、數(shù)據(jù)級(jí)別配置數(shù)據(jù)訪問權(quán)限策略，數(shù)據(jù)訪問權(quán)限策略包含業(yè)務(wù)范圍界定、數(shù)據(jù)分級(jí)分類、數(shù)據(jù)訪問頻度、時(shí)間范圍界定等，應(yīng)根據(jù)主體的環(huán)境屬性及安全狀態(tài)動(dòng)態(tài)調(diào)整訪問權(quán)限，支持靜態(tài)授權(quán)和動(dòng)態(tài)授權(quán)；支持對(duì)分級(jí)分類的數(shù)據(jù)按照用戶、角色或類別進(jìn)行授權(quán)；（4）數(shù)據(jù)備份A.本系統(tǒng)相關(guān)數(shù)據(jù)每天執(zhí)行一次增量備份，每周執(zhí)行一次全量備份；B.數(shù)據(jù)脫敏安全C.針對(duì)涉及國(guó)家安全、個(gè)人隱私等敏感數(shù)據(jù)，需進(jìn)行數(shù)據(jù)脫敏脫密處理，同時(shí)保證在不違反系統(tǒng)規(guī)則下保持改造的脫敏數(shù)據(jù)信息格式正確有效；數(shù)據(jù)脫敏依據(jù)敏感數(shù)據(jù)等級(jí)劃分，制定相應(yīng)的脫敏規(guī)則，選取適當(dāng)?shù)拿撁羲惴?，開展敏感數(shù)據(jù)脫敏；數(shù)據(jù)脫敏過程執(zhí)行完成后，應(yīng)對(duì)脫敏數(shù)據(jù)有效性進(jìn)行驗(yàn)證，保證脫敏后的數(shù)據(jù)可用性和安全性達(dá)到相應(yīng)的要求；3.2信息系統(tǒng)安全管理方案信息系統(tǒng)的安全，是指為信息系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏，以保證系統(tǒng)連續(xù)正常運(yùn)行；信息系統(tǒng)的安全方案是為發(fā)布、管理和保護(hù)敏感的信息資源而制定的一級(jí)法律法規(guī)和措施的總和，是對(duì)信息資源使用、管理規(guī)則的正式描述，是所有人員都必須遵守的規(guī)則；信息系統(tǒng)受到的安全威脅有：操作系統(tǒng)的不安全性、防火墻的不安全性、來(lái)自內(nèi)部人員的安全威脅、缺乏有效的監(jiān)督機(jī)制和評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性手段、系統(tǒng)不能對(duì)病毒有效控制等；1）設(shè)備的物理安全:硬件設(shè)備事故對(duì)信息系統(tǒng)危害極大，如電源事故引起的火災(zāi)，機(jī)房通風(fēng)散熱不好引起燒毀硬件等，嚴(yán)重的可使系統(tǒng)業(yè)務(wù)停頓，造成不可估量的損失；輕的也會(huì)使相應(yīng)業(yè)務(wù)混亂，無(wú)法正常運(yùn)轉(zhuǎn)；對(duì)系統(tǒng)的管理、看護(hù)不善，可使一些不法分子盜竊計(jì)算機(jī)及網(wǎng)絡(luò)硬件設(shè)備，從中牟利，使企業(yè)和國(guó)家財(cái)產(chǎn)遭受損失，還破壞了系統(tǒng)的正常運(yùn)行；因此，信息系統(tǒng)安全首先要保證機(jī)房和硬件設(shè)備的安全；要制定嚴(yán)格的機(jī)房管理制度和保衛(wèi)制度，注意防火、防盜、防雷擊等突發(fā)事件和自然災(zāi)害，采用隔離、防輻射措施實(shí)現(xiàn)系統(tǒng)安全運(yùn)行；2）管理制度：在制定安全策略的同時(shí)，要制定相關(guān)的信息與網(wǎng)絡(luò)安全的技術(shù)標(biāo)準(zhǔn)與規(guī)范；技術(shù)標(biāo)準(zhǔn)著重從技術(shù)方面規(guī)定與規(guī)范實(shí)現(xiàn)安全策略的技術(shù)、機(jī)制與安全產(chǎn)品的功能指標(biāo)要求；管理規(guī)范是從政策組織、人力與流程方面對(duì)安全策略的實(shí)施進(jìn)行規(guī)劃；這些標(biāo)準(zhǔn)與規(guī)范是安全策略的技術(shù)保障與管理基礎(chǔ)，沒有一定政策法規(guī)制度保障的安全策略形同一堆廢紙；要備好國(guó)家有關(guān)法規(guī)，如：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》《商用密碼管理?xiàng)l例》等，做到有據(jù)可查；同時(shí)，要制定信息系統(tǒng)及其環(huán)境安全管理的規(guī)則，規(guī)則包含下列內(nèi)容：崗位職責(zé)：包括門衛(wèi)在內(nèi)的值班制度與職責(zé)，管理人員和工程技術(shù)人員的職責(zé)；信息系統(tǒng)的使用規(guī)則，包括各用戶的使用權(quán)限，建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫(kù)，嚴(yán)格對(duì)系統(tǒng)日志進(jìn)行管理，對(duì)公共機(jī)房實(shí)行精確到人、到機(jī)位的登記制度，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)客戶、IP地址、MAC地址、服務(wù)賬號(hào)的精確管理；軟件管理制度；機(jī)房設(shè)備（包括電源、空調(diào)）管理制度；網(wǎng)絡(luò)運(yùn)行管理制度；硬件維護(hù)制度；軟件維護(hù)制度；定期安全檢查與教育制度；下屬單位入網(wǎng)行為規(guī)范和安全協(xié)議；3）網(wǎng)絡(luò)安全：按照網(wǎng)絡(luò)OSI七層模型，網(wǎng)絡(luò)系統(tǒng)的安全貫穿于整個(gè)七層模型；針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行的TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的以下層次：物理層安全：主要防止物理通路的損壞、物理通路的竊聽、對(duì)物理通路的攻擊（干擾等）；鏈路層安全：需要保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊