系统安全设计方案.docx

1、系统安全设计方案XXXX安全设计方案1 编写依据 12 安全需求说明 12.1 风险分析 12.1.1 设备安全风险分析 12.1.2 网络安全系统分析 12.1.3 系统安全风险分析 22.1.4 应用安全风险分析 22.1.5 数据安全风险分析 32.2 数据安全需求 32.3 运行安全需求 33 系统结构及部署 43.1 系统拓扑图 43.2 负载均衡设计 53.3 冗余设计 64 系统安全设计 84.1 网络安全设计 84.1.1 访问控制设计 84.1.2 入侵防范设计 84.2 主机安全设计 104.2.1 操作系统 104.2.2 数据库 134.2.3 中间件 154.3 应用

2、安全设计 154.3.1 身份鉴别防护设计 154.3.2 访问控制防护设计 164.3.3 自身安全防护设计 174.3.4 应用审计设计 184.3.5 通信完整性防护设计 194.3.6 通信保密性防护设计 224.3.7 防篡改设计 234.3.8 防抵赖设计 234.3.9 系统交互安全设计 244.4 数据及备份安全设计 244.4.1 数据的保密性设计 244.4.2 数据的完整性设计 254.4.3 数据的可用性设计 254.4.4 数据的不可否认性设计 264.4.5 备份和恢复设计 281编写依据信息系统安全等级保护基本要求GB/T22239-2008信息技术安全 信息系统

3、等级保护安全设计技术要求GB/T 25070-20102安全需求说明2.1 风险分析2.1.1网络设备安全风险分析网络设备的安全是保证网络安全运行的一个重要因素。网络设备中包含路由器、交换机、防火墙等，它们的设置比较复杂，可能由于疏忽或不正确理解而使这些设备可用但安全性不佳。没有网络设备的安全，整个系统的安全就无法保证。所以，必须首先从多个维度来保证网络设备的安全。2.1.2网络安全风险分析网络层位于系统平台的最低层，是信息访问、共享、交流和发布的必由之路，也是黑客（或其它攻击者）等进行其截获、窃听窃取信息、篡改信息、伪造和冒充等攻击的必由之路。所以，网络层所面临的安全风险威胁是整个系统面临的

4、主要安全风险之一。网络层的安全风险包括以下几方面： 外部网络安全威胁基于网络系统的范围大、涵盖面广，外网通过防火墙与Internet公众网相连，入侵者每天都在试图闯入网络节点，内部网络将面临更加严重的安全威胁。Internet上的各种各样的黑客攻击、病毒传播等都可能威胁到系统的安全。其存在的安全风险主要是黑客攻击，窃取或篡改重要信息，攻击网站等。许多内部机器临时性（甚至经常性的）连接到外网上或直接连接到Internet上。这样Internet上的黑客或敌对势力使用木马等黑客攻击手段，就可以将该员工机器用作一个侦察站。 内网可能存在的相互攻击由于公司内网中的各级网络互连，这些设备在网络层是可以互

5、通的，在没有任何安全措施的情况下，一个单位的用户可以连接到某一个外部使用的机器，访问其中的数据，这样就会造成网络间的互相病毒等其他因素引起的网络攻击。2.1.3系统安全风险分析系统安全通常分为系统级软件比如操作系统、数据库等的安全漏洞、病毒防治。 系统软件安全漏洞系统安全漏洞是在系统具体实现和具体使用中产生的错误，并且威胁到系统安全，称之为系统安全漏洞。如果系统在安全方面存在漏洞，非法网站、病毒和非法插件会通过这个漏洞入侵系统，会破坏系统的安全性。 病毒侵害计算机病毒一直是困扰每一个计算机用户的重要问题，一旦计算机程序被感染了病毒，它就有可能破坏用户工作中的重要信息。网络使病毒的传播速度极大的

6、加快，公司内部网络与Internet相连，这意味着每天可能受到来自世界各地的新病毒的攻击。2.1.4应用安全风险分析应用系统的安全涉及很多方面，应用系统是动态的、不断变化的，应用的安全性也是动态的。基于B/S模式的业务系统由于身份认证、数据传输、访问控制、授权、口令等存在安全隐患，从而对整个系统造成安全威胁。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全防护和修复措施，降低应用的安全风险。2.1.5数据安全风险分析数据安全对企业来说尤其重要，数据在公网线路上传输，很难保证在传输过程中不被非法窃取、篡改。现今很多先进技术，黑客或一些企业间谍会通过一些手段，设法在线路上做些手脚，获得在网上

7、传输的数据信息，也就造成泄密。2.2数据安全需求XXXX运行的数据需要通过一系列相关的系统或者其他关联系统进行数据传输和交易，在进行各个环节交易过程中会涉及的相关的问题：数据的使用、交易数据处理、数据备份以及容错数据的修改等。中间各个环节相互关联、互为影响，只要一个环节出现问题，都可能涉及到安全的问题，尤其是薄弱环节出现问题，都会造成信息安全“短板”。结合上述，对XXXX运营数据在访问控制、机密性、完整性、可用性、不可否认性方面需要提出更高的数据安全需求。因此，要加强XXXX数据库以及应用层面安全体系的建设，采用多种网络技术手段，使用各种程序和安全技术来保护客户的个人信息免受XX的访问或使用，

8、努力开发更先进的网络方式和手段，降低信息泄露风险的发生，保障客户个人信息安全，增加XXXX综合业务的安全性。2.3 运行安全需求XXXX安全监控阿里云云盾：通过阿里巴巴集团“云盾”及“云计算”，为系统提供Web应用防火墙、安骑士、数据库审计、态势感知、堡垒机、安全管家等全方位安全防护。安全审计：安全审计可通过在两个方面进行配置和追溯。通过开启ECS服务器日志记录，可从多维度进行线索分析：根据时间、用户、IP、访问时间和登陆类型等多角度进行分析和记录。在具体的应用程序和对应的系统数据库可分析具体的访问日志详情以及开启数据对应的审计日志功能，从而实现安全审计目的。数据传输安全：采用SSL128位数

9、据传输加密保护技术，系统在进行用户身份信息管理、信用管理、个人账户管理等敏感信息的操作时，信息被自动加密，确保信息传输的安全性。通过配置白名单的方式设置边界互联系统和接口请求域指定IP白名单列表确保边界安全防护。数据库作为企业重要资产，备份数据库必不可少，为了降低在故障发生后数据丢失，RDS使用mysqldump对 MySQL 数据库进行逻辑全量备份，使用开源软件Xtrabackup进行物理全量备份，是实例级别的备份。数据虽备份了，但在实际操作过程中，有可能出现由于误操作等原因导致数据丢失的情况。通过 RDS 提供的创建恢复到时间点的临时实例的方法，可以比较容易的找回数据。完善内控流程：运用完

10、善内部控制制度，配备专职安全系统运维工程师，保障系统连续、可靠地运行，保护系统不因偶然或恶意的原因而遭到破坏。权限管理保障：严守国家相关的法律法规，对用户的隐私信息进行保护，未经您的同意，绝不对任何第三方公司、组织和个人披露您的个人信息、账户信息以及交易信息。（法律法规另有规定的除外）严遵保密责任：设有高系数安全系统，防止XX的任何人包括本公司的职员获取客户信息。对因服务而必须获得信息的第三方均被要求遵守保密责任，违者将追究法律责任。3系统结构及部署3.1系统拓扑图XXXX拓扑结构如下图所示。该图描述了网络基本结构、网络区域划分状况、网络设备型号、边界划分情况等。 图 微信和核心系统拓扑图上图

11、为微信和核心系统的网络架构，从逻辑上分为互联网区、微信区，包括微信前端官网、微信官网rds及合作方微信后端，阿里外网slb代理集群白名单配置、三方组件、业务核心处理层、数据库层和中间件区。互联网区通过部署的Web应用防火墙等安全防护措施，实现网络安全和访问控制；同时部署了入侵防御系统，通过侦听、分析网络数据，随时发现网络中的非法访问与入侵行为并记录，以便及时地报警和通知网络管理员进行处理，也可按照预先的设定，对危害较大的入侵行为进行阻断或者通知联动的防火墙阻断；阿里云其他关键位置均部署了防火墙、路由器、交换机等网络设备，保证整个网络的安全顺畅运行。3.2负载均衡设计XXXX为增强应用服务可用性

12、，通过部署负载均衡（Server Load Balancer）产品，同时让负载均衡对多台云服务器进行流量分发的负载均衡服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。在产品选型和网络结构设计上，根据终端使用类型进行分析部署，将XXXX平台日常访问流量划分为移动端和电脑端两大流量。对移动端和PC端通过分别部署SLB，该部署方式有极大的优越性，主要体现两大方面：分布部署一方面保证了产品的性能稳定，降低融合部署的带来故障发生的耦合；另一方面保证了该产品的带宽资源的充足，在访问速率方面提供了保障。在产品型号选择方面，采用全部是性能保障型实例配置。性能保障

13、型实例提供了可保障的性能指标（性能SLA）。与之相对的是性能共享型实例，即不保障实例的性能指标，资源是所有实例共享的。性能保障型实例的三个关键指标如下： 最大连接数-Max Connection 每秒新建连接数-Connection Per Second (CPS) 每秒查询数-Query Per Second (QPS)XXXX的具体型号如下表所示：规格 数量 最大连接数 每秒新建连接数 (CPS) 每秒查询数(QPS)高阶型 2 200000 20000 20000负载均衡采用集群部署，会话同步策略，以消除服务器单点故障，提升冗余，保证服务的稳定性。在协议方面使用四层TCP协议配置，将请求

14、直接转发到后端服务器实例，而且不修改请求标头。 根据加权轮询（WRR）调度算法配置转发请求。此外，负载均衡还具备抗DDoS攻击的能力，增强了应用服务的防护能力。3.3冗余设计要实施高吞吐量的Internet连接，冗余、对称和负载均衡是每个信息系统设计必须面对的关键问题。对网络来说，冗余是不可或缺的。然而，最为关键的是必须在冗余和对称之间找到平衡。因此在系统网络设计方面和产品选择方面需要考虑链路接入的冗余设计。为达到良好的高可用设计和冗余设计，在信息系统核心网络接入上，选择满足存在主备可用区的负载均衡最为前置接入。负载均衡产品采用全冗余设计，无单点，支持同城容灾。搭配DNS可实现跨地域容灾，可用

15、性高达99.95%。为了解决后端服务器和应用软件的单点故障的发生。选择可用性高的的云服务器对产品软件做冗余部署，统一集中的配置文件和数据文件的共享访问存储方式，保证了对外服务数据的一致性。从应用软件角度保证用户多终端会话统一访问。云服务器中的数据备份选择基于分布式存储架构的弹性块存储产品，采用三副本的分布式机制，为ECS实例提供99.9999999%的数据可靠性保证。该类存储为实例提供块级别的数据访问能力，具有低时延、高随机IOPS、高吞吐量的I/O能力。RDS在系统从网络到硬件再到系统都是基于高可用设计，采用的是主从热备的架构，主实例宕机或出现故障30s内自动切换到备实例,即可以做到故障30

16、秒无缝转移，无需变更应用的连接配置项，对应用完全透明。自动备份和手动临时备份都在备库上实现，不占用主实例资源。RDS高可用服务主要保障数据链路服务的可用性，除此之外还负责处理数据库内部的异常。另外，RDS 还通过迁移到支持多可用区的地域和采用适当的高可用策略，提升 RDS 的高可用服务。4系统安全设计4.1网络安全设计4.1.1访问控制设计网络层安全主要设计网络安全域的合理划分问题，其中最重要的是进行访问控制。而访问控制技术最常用的就是防火墙技术。XXXXweb访问用的是阿里的云盾Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力实现的Sa

17、as化的安全产品，Web应用防火墙通过内置的安全防护策略能发现异常、非法的Web应用请求，并阻止其到达网站服务器上造成相应的破坏。通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，过滤海量恶意CC攻击，避免网站资产数据泄露，保障网站的安全与可用性。4.1.2入侵防范设计入侵检测系统关注所有可疑事件，如那些基于统计的事件，随着定义阀值的不同而有较大报警弹性空间。而入侵防御产品仅关注确切的攻击行为，两者在检测对象层面存在很大的区别。入侵防御产品是一种对网络深层威胁行为（尤其是那些防火墙所不能防御的威胁行为）进行抵御的安全产品，通常以串行

18、方式透明接入网络。和其他安全产品不同的是，入侵防御产品的主要防御对象是网络上TCP/IP的四层以上的实时恶意数据流（四层以下的攻击可以由其他安全产品如防火墙等防御）。在本方案中入侵防范设计主要保护那些对外提供服务的业务系统的安全。在应用服务域前通过云盾态势感知系统加强针对应用服务器的安全防护。态势感知平台，具备基础安全检测能力。包含以下功能： 页面篡改，网络流量异常，暴力破解，后门，DDoS肉鸡，流行蠕虫病毒,应后台弱口令等攻击发现 定点Web攻击，非常用IP连接数据库，跳板机识别SQL注入、XSS应用漏洞扫描。 支持告警联系人短信和邮件方式进行配置。建设信息系统安全体系实现事前分析，事中检测

19、，事后回溯的防范设计。 事前：弱点分析，资产态势监控，资产依赖关系梳理，定时漏洞扫描，安全配置监控预防：漏洞补丁，资产弱点告警 事中：入侵检测，攻击识别，异常检测 ，实时发现web层，主机层攻击，通过全网威胁情报和大数据分析对入侵事件进行实时检测阻断：攻击阻断，入侵防御 事后：回溯对安全事件进行回溯和调查，并提供全量原始日志的检索功能，对攻击事件的影响和系统防御效果态势进行自定义调查。4.2主机安全设计4.2.1操作系统4.2.1.1安全基线检查通过安装在服务器上的安骑士组件Agent插件与云端防护中心的规则联动，实时感知和防御入侵事件，保障服务器的安全。 基线检查： 账户安全检测：检测服务器

20、上是否存在黑客入侵后，留下的账户，对影子账户、隐藏账户、克隆账户，同时对密码策略合规、系统及应用弱口令进行检测 系统配置检测：系统组策略、登录基线策略、注册表配置风险检测 数据库风险检测：支持对Redis数据库高危配置进行检测 合规对标检测：CIS-Linux Centos7系统基线合规检测 入侵检测 异常登录：异地登录：系统记录所有登录记录，对于非常用登录的行为进行实时提醒，可自由配置常用登录地 非白名单IP登录提醒：配置白名单IP后，对非白名单IP的事件进行告警 非法时间登录提醒：配置合法登录时间后，对非合法时间登录事件进行告警 非法账号登录提醒：配置合法登录账号后，对非合法账号登录事件进

21、行告警 暴力破解登录拦截：对非法破解密码的行为进行识别，并上报到阿云处罚中心进行拦截，避免被黑客多次猜解密码而入侵 网站后门（Webshell）查杀： 自研网站后门查杀引擎，拥有本地查杀加云查杀体系，同时兼有定时查杀和实时防护扫描策略，支持常见的php、jsp等后门文件类型 主机异常(含云查杀)： 进程异常行为：反弹Shell、JAVA进程执行CMD命令、bash异常文件下载等 异常网络连接：C&C肉鸡检测、恶意病毒源连接下载等 恶意进程（云查杀）：常见DDoS木马、挖矿木马及病毒程序检测，支持云端一键隔离（自研沙箱+国内外主流杀毒引擎） 敏感文件篡改：系统及应用的关键文件被黑客篡改 异常账号

22、：黑客入侵后创建隐藏账号、公钥账号等4.2.1.2主机安全加固主要对XXXX主机系统进行安全加固，内容如下: 检查主机系统的补丁管理； 账号及口令策略； 网络与服务 文件系统； 日志审核； 防火墙策略； 系统钩子； 木马、后门及rookit； 安全性增强；Linux 服务器系统安全加固 用户帐户设置 UID用户ID基本要求 Linux中Root安全标准 默认系统帐户安全标准 密码要求 密码保护 限制登陆失败次数 GID组ID的基本要求 网络设置 IP协议栈的安全设置 套接字队列长度定义用来防护SYN攻击 重定向 源站路由 TIME_WAIT设置 ECHO回应广播 地址掩码查询和时间戳广播 X

23、Window系统 /etc/hosts.deny和/etc/hosts.allow的配置规范 权限控制 用户文件和HOME目录属性 操作系统资源 操作系统补丁管理 审计策略 系统访问日志 日志记录保存期限4.2.2数据库4.2.2.1安全基线配置1)检查项名称：检查是否配置指定网络连接数据库；2)检查项名称：检查是否禁止MySQL对本地文件存取；3)检查项名称：数据库连接账号审计，检查是否使用 root等高权限账号连接数据库；4)检查项名称：删除默认test数据库和空密码root用户；5)检查项名称：使用独立用户运行 MySQL；6)检查项名称：用户目录权限限制；7)检查项名称：配置数据库用户

24、密码复杂度。4.2.2.2 数据库系统安全加固数据库系统主要从系统版本、用户账号、口令管理、传输情况、文件系统、日志审核等方面进行安全加固，主要内容如下： 数据库组件安装优化 适度应用数据库补丁程序 数据库服务运行权限改善 清理数据库默认配置无用账号 改善程序包权限设置 改善登录认证方式设置 设置客户端连接IP限制策略 清理不必要的存储过程 增强数据库日志审计功能根据对数据库系统的威胁与风险分析，信息系统的数据库安全需求主要集中在以下方面： 全面监测数据库超级账户、临时账户等重要账户的数据库操作； 实时监测数据库操作行为，发现非法违规操作能及时告警响应； 详细记录数据库操作信息，并提供丰富的审

25、计信息查询方式和报表，方便安全事件定位分析，事后追查取证因此通过在信息系统部署安全审计功能，可有效监控数据库访问行为，准确掌握数据库系统的安全状态，及时发现违反数据库安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，保障单位数据库安全。通过部署数据库审计系统能够实现所有对数据库进行访问的行为进行全面的记录，以及包括对数据库操作的：“增、删、改、查等”全方位细粒度的审计。同时支持过程及行为回放功能，能够还原并回放所有对数据库的操作行为，包括：“访问的表、字段、返回信息、操作等”。从而使安全问题得到追溯，提供有据可查的功能和相关能力。4.2.3中间件对于中间件的安全风险主要是

26、在网络互连及数据通信过程中来自不速之客的非法性动作，主要有非法截取阅读或修改数据、假冒他人身份进行欺骗、未授权用户访问网络资源等。4.2.3.1安全基线配置1)配置操作系统保护特殊内核参数保护匹配的中间件服务；2)禁用用不到的中间件模块3)配置中间件服务器的SSL加密套件；4)基于Iptables防火墙的限制；5)控制缓冲区溢出攻击；6)控制并发连接数；7)设置允许安全域名的访问；8)限制可用的请求方法；9)拒绝扫描器常规使用的User-Agents10)防止图片盗链；11)中间件所在的指定的目录设置访问权；12)禁用危险系统函数，对需要上传配置文件大小；13)删除编译环境代码缓存目录。4.3

27、应用安全设计4.3.1身份鉴别防护设计 通过用户身份认证系统对用户的身份进行确认之后，即可对用户的访问请求根据系统运行环境和访问控制策略进行授权，以确定用户对他人资源、网络资源和信息资源的访问权限。在XXXX中心内部，实施有效的访问授权的基础是系统访问授权规则的制定，结合安全管理体系对全网内部工作流程和安全职责划分进行调研。针对人为操作造成的风险，必须从系统的应用层进行防范，因此应用系统在建设时需考虑系统的安全性。具体包括以下几个方面： 身份验证：通过采用口令识别、数字认证方式，来确保用户的登录身份与其真实身份相符，保证数据的安全性、完整性、可靠性和交易的不可抵赖性、增强顾客、商家、企业等对网

28、上交易的信心。 数据加密存储：关联及关键数据加密存储，提取数据库中表间关联数据或重要数据信息，采用MD5算法，生成加密字段，存放在数据表中，保证数据库中关联数据的一致性、完整性，防止重要数据的非法篡改。 日志记载：数据库日志：使得系统发生故障后能提供数据动态恢复或向前恢复等功能，确保数据的可靠性和一致性。应用系统日志：通过记录应用系统中操作日志，通过事后审计功能为将来分析提供数据分析源，确保业务的可追溯性。4.3.2访问控制防护设计合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，部分信息是可以对外开放，而有些信息是需要经过授权才能

29、够进行访问。外部用户被允许正常访问的一定的信息，但他同时通过一些手段越权访问了别人不允许他访问的信息，因此造成他人信息的泄密。所以，必须加强信息系统访问控制的机制，对服务及访问权限进行严格控制。 访问控制：操作系统的用户管理、权限管理；限制用户口令规则和长度，禁止用户使用简单口令，强制用户定期修改口令；按照登录时间、登录方式限制用户的登录请求；加强文件访问控制管理，根据访问的用户范围，设置文件的读、写、执行权限；对重要资料设置被访问的时间和日期。 权限控制和管理：按照单位、部门、职务、工作性质等对用户进行分类，不同的用户赋予不同的权限、可以访问不同的系统、可以操作不同的功能模块；应用系统的权限

30、实行分级管理，每个系统的管理员自己定义各类用户对该系统资源的可访问内容。授权与访问控制：根据“最小授权”的基本原则，保证用户只具备完成工作所需的最小操作权限，杜绝超越合法授权的操作行为4.3.3自身安全防护设计4.3.3.1注入攻击防护设计建议在外网业务区域边界部署WEB应用防火墙（WAF）设备，对Web应用服务器进行保护，即对网站的访问进行7X24小时实时监控。通过Web应用防火墙的部署，可以解决WEB应用服务器所面临的各类网站安全问题，如：SQL注入攻击、跨站攻击（XSS攻击，俗称钓鱼攻击）、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响形象的安

31、全事件发生。4.3.3.2漏洞利用防护设计漏洞扫描（也叫漏洞检测）目前已经越来越为网络安全管理员所重视，因为，利用系统设计、配置和管理中的漏洞来攻击系统是最为典型的技术型攻击手段。专家认为，如果系统在建立时就具备严密的安全环境，那么成功的技术入侵事件数量就会大大减少。漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。高效的漏洞检测工具可以检测出上述四类中的大部分已知漏洞，把网络系统的安全隐患降低到最小。这种技术通常采用两种策略，即被动式策略和主动式策略。被动式策略是基于主机的检测(System Scanner)，对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查；而主动式策略是基于网络的检测(Network Scanner)，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。4.3.4应用审计设计审核跟踪是指一系列关于操作系统、应用和用户活动相关的计算机事件。它能够增进计算机系统的可审计性。对于一个计算机系统可能有几个审核跟踪，每个都针对特定的相关活动类型。对审核跟踪的记录可以保存在日志文件或相关的日