《信息系统等保安全方案》由会员分享,可在线阅读,更多相关《信息系统等保安全方案(10页珍藏版)》请在金锄头文库上搜索。
1、信息安全技术信息系统等级保护安全设计安全方案目录一. 概述1二. 需求分析方法和框架模型22.1需求收集22.1.2合规需求22.1.3安全体系框架22.1.4安全指南32.2需求导入和分析4三. 应用系统安全功能规范63.1身份鉴别63.2授权管理63.3访问控制63.4系统安全审计73.5通信安全73.6数据安全73.7抗抵赖83.8软件容错83.9资源控制8一-概述信息系统的安全运行关系到业务的安全,而完善的安全功能设计是保障整体系统安全性 的前提,本项目参考传统的软件开发生命周期(SDLC)的各阶段分组,并在其中嵌入了针对 安全保障的各类手段和措施,以确保该系统在最终的需求、设计、开发
2、、测试、发布各阶段 均能满足下列业务系统安全目标: 登录过程防假冒以及信息泄漏; 交易过程防假冒、防抵赖以及防止信息泄漏; 保障系统可用性。此次业务安全需求分析进行了下面具体活动: 需求收集,包括合规需求、安全体系框架和安全指南参考; 需求分析; 安全功能规范框架形成; 安全功能规范。通过最终形成的安全功能规范,可以从需求和设计的角度分析应用系统在设计阶段前需 要明确的各类安全要求,并最终形成统一的功能规范框架;通过对每一条具体功能需求的满 足,以确保其安全概要设计和具体设计细则能够真正从企业业务安全需求出发,并全面有效 地控制应用系统可能面临的风险。在本文中,我们描述了当前需求收集的主要来源
3、以及需求导入和分析的手段和方法,并 最终形成了适用于应用系统的安全功能规范框架,并通过第三章详细对其中的每一个功能模 块的具体需求进行逐一的描述,详见本文第三章“应用系统安全功能规范”二.需求分析方法和框架模型2.1需求收集应用系统安全要求在需求/设计阶段,目前PICC应用系统的安全需求来自于下列三个领域:2.1.2合规需求待完善2.1.3安全体系框架为确保能够通过体系化的方式充分考虑应用系统可能存在的风险,结合应用系统的业务 特点和防护需要,需求收集阶段采纳了 ISO/IEC 27002以及信息安全技术信息系统等级保 护安全设计技术要求,具体内容包括:ISO/IEC 27002 “信息系统的
4、获取、开发和保持”部分 12.1信息系统的安全要求 12.2.信息系统的正确处理 12.3.加密控制 12.4系统文件安全 12.5.开发和支持过程安全 12.6技术脆弱点管理信息安全技术信息系统等级保护第三级安全计算环境设计技术要求用户身份鉴别自主访问控制标记和强制访问控制系统安全审计用户数据完整性保护用户数据保密性保护客体安全重用程序可信执行保护2.1.4安全指南为使应用系统能满足Web应用开发的具体安全要求,本阶段主要参考了下列安全指南: OWASP Top 10 for 2010 http:/www.owasp.Org/index.php/Category:OWASP_Top_Ten_
5、Project OWASP Test Guide www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf2.2需求导入和分析图2.2业务安全需求收集通过对来自于行业合规要求的收集,参考ISO27002、等级保护等体系框架,并与业内最 佳实践相结合,最终形成来自于适用于应用系统的安全要求。针对如何梳理其多方面的安全要求以形成满足行业要求、安全体系框架以及业内最佳实 践的功能规范,当前参考了 GBT 18336(ISO15408)作为需求实现的主要方法,根据其第2 部分 安全功能要求的相关组件进行适用性选择,最终形成了满足应用系统业务安全需求的功
6、能规范。该功能规范主要从九个方面讨论了如何在满足业务安全要求的前提下应对可能针对应用 系统的各类威胁(见图2.3),具体内容可参考本文第三章。图2.3业务安全需求框架增加一章应用架构规范下面谈的都是应用系统应该具备的功能,那么应用系统如何来架构这些功能呢?用户展现与业务逻辑分离?应用和数据库独立?什么情况下需要前置?三.应用系统安全功能规范3.1身份鉴别 标识和鉴别:应支持用户标识和用户鉴别;在每一个用户注册到系统时,采用用户 名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性; 鉴别机制:在每次用户登录和重新连接系统时,采用受安全管理中心控制的口令、 基于生物特征的数据、数
7、字证书以及其他具有相应安全强度的两种或两种以上的组 合机制进行用户身份鉴别,且其中一种鉴别技术产生的鉴别数据是不可伪造的,其 中如采用密码作为鉴别手段,可考虑主动提供密码长度、复杂度、定期修改以及失 败登录次数限定等密码健壮度增强措施。投资者发出申购、赎回等重要操作,可考 虑提供进一步的口令确认; 鉴别数据保护:对鉴别数据进行保密性和完整性保护。3.2授权管理 访问授权:应用软件应提供基于菜单、查询功能、报表功能的访问授权; 授权清单:应用软件应能自动生成访问授权清单,以方便应用管理员对账户和其访 问授权清单进行检查或清理。3.3访问控制 自主访问控制:应在安全策略控制范围内,使用户对其创建的
8、客体具有相应的访问 操作权限,并能将这些权限部分或全部授予其他用户; 控制粒度:应确定自主访问控制主体和客体的粒度,如主体的粒度可以为用户级, 客体的粒度为文件或数据库表级和(或)记录或字段级; 特权管理:各种访问操作应尽可能使用执行该过程所需的最小用户权限。3.4系统安全审计 安全事件记录:应记录系统相关安全事件。内容应包括安全事件的主体、客体、时 间、类型和结果等信息; 用户操作记录:应在保障业务系统性能的前提下尽量详细记录用户登录后的主要操 作,至少包括用户名、操作时间、操作内容和操作结果; 特定安全事件告警:能对特定安全事件进行报警,终止违例进程等; 审计记录使用:应提供审计记录分类、
9、查询和分析功能; 审计记录保护:确保审计记录不被破坏或非授权访问以及防止审计记录丢失等。3.5通信安全 密码技术:应采用密码技术保证通信过程中数据的完整性,以确保传送或接收的通 信数据不发生篡改、删除、插入等情况。在通信双方建立连接之前,应利用密码技 术进行会话初始化验证; 通信加密:应对通信过程中的整个报文或会话过程进行加密; 加密技术和强度:应采用国家信息安全机构认可的加密技术和加密强度,并最低达 到SSL协议128位的加密强度; 数字加密技术使用:应使用数字加密技术(如数字证书方式)进行严格的数据加密 处理防止数据被篡改。3.6数据安全 完整性机制:应采用密码机制支持的完整性校验机制或其
10、他具有相应安全强度的完 整性校验机制,以防止非授权情况下的非法修改; 完整性校验:应对存储和处理的用户数据的完整性进行校验,以发现其完整性是否 被破坏; 异常恢复:在数据完整性受到破坏时能对重要数据进行恢复。数据加密:采用密码技术支持的保密性保护机制或其他具有相应安全强度的手段提 供保密性保护; 加密技术和强度:应采用国家信息安全机构认可的加密技术和加密强度。3.7抗抵赖 数据原发证据:应具有在请求的情况下为数据原发者或接收者提供数据原发证据的 功能;数据接收证据:应具有在请求的情况下为数据原发者或接收者提供数据接收证据的 功能。3.8软件容错 输入验证:应提供数据有效性检验功能,保证通过人机
11、接口输入或通过通信接口输 入的数据格式或长度符合系统设定要求; 自动保护:应提供自动保护功能,当故障发生时自动保护当前所有状态; 自动恢复:应提供自动恢复功能,当故障发生时立即自动启动新的进程,恢复原来 的工作状态。3.9资源控制 空闲会话限制:当应用系统中的通信双方中的一方在一段时间内未作任何响应,另 一方应能够自动结束会话,防止维持长时间不活动的会话; 会话限制:应能够对系统的最大并发会话连接数进行限制;应能够对单个帐户的多 重并发会话进行限制;应能够对一个时间段内可能的并发会话连接数进行限制; 资源配额:应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小 限额;应能够对系统服务水平降低到预先规定的最小值进行检测和报警;应提供服 务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级, 根据优先级分配系统资源。
