信息系统安全设计方案模板.docx

XX 公司××工程安全设计方案模板<备注：模板中斜体局部用于指导用户填写内容，在承受该模板完成交付物时，需要删除全部斜体内容>XX 公司二xX 年 X 月信息批准：审核：校核：编写：版本编号版本日期说明编制人审批人版本记录目 录1 编写依据12 安全需求说明12.1 风险分析12.2 数据安全需求12.3 运行安全需求13 系统构造及部署13.1 系统拓扑图13.2 负载均衡设计33.3 网络存储设计33.4 冗余设计33.5 灾难备份设计44 系统安全设计44.1 网络安全设计44.1.1 访问掌握设计44.1.2 拒绝效劳攻击防护设计错误!未定义书签。4.1.3 嗅探sniffer防护设计54.2 主机安全设计64.2.1 操作系统64.2.2 数据库74.2.3 中间件94.3 应用安全设计114.3.1 身份鉴别防护设计114.3.2 访问掌握防护设计124.3.3 自身安全防护设计134.3.4 应用审计设计134.3.5 通信完整性防护设计144.3.6 通信保密性防护设计144.3.7 防抵赖设计154.3.8 系统交互安全设计154.4 数据及备份安全设计164.4.1 数据的保密性设计164.4.2 数据的完整性设计164.4.3 数据的可用性设计174.4.4 数据的不行否认性设计174.4.5 备份和恢复设计184.5 治理安全设计错误!未定义书签。4.5.1 介质治理错误!未定义书签。4.5.2 备份恢复治理错误!未定义书签。4.5.3 安全大事处置错误!未定义书签。4.5.4 应急预案治理错误!未定义书签。1 编写依据信息系统安全等级保护根本要求GB/T22239-2023信息技术安全信息系统等级保护安全设计技术要求GB/T 25070-2023涉及国家隐秘的信息系统分级保护技术要求BMB17-2023IT 主流设备安全基线技术标准Q/CSG 11804-2023信息系统应用开发安全技术标准Q/CSG 11805-20232 安全需求说明2.1 风险分析此处依据安全需求分析报告描述互联网应用系统面临的威逼和脆弱性2.2 数据安全需求此处依据安全需求分析报告描述互联网应用系统的数据安全需求，包括：访问掌握、机密性、完整性、可用性、不行否认性。依据数据的生命周期产生、 传输、处理、使用、存储、删除进展描述2.3 运行安全需求此处依据安全需求分析报告描述互联网应用系统的运行安全需求，包括：安 全监控、安全审计、边界安全保护、备份与故障恢复、恶意代码防护3 系统构造及部署3.1 系统拓扑图此处描述系统各层设备的部署，主要侧重安全设备之外的设备，包括：WEB 效劳器、应用效劳器、数据库效劳器,及其所处的区域，包括：外网接入区域、DMZ 区域、内网区域、核心数据区域、测试区域，例如如下：二级系统安全需求网络拓扑构造例如信息三级系统安全需求网络拓扑构造例如3.2 负载均衡设计可选此处描述系统具体承受的负载均衡产品型号及数量，部署位置，部署目的， 主要的配置策略3.3 网络存储设计可选此处以系统网络存储设计要求，包括：SAN 和 NAS 的选择，磁盘阵列的位置要求3.4 冗余设计可选此处以系统冗余设计要求，包括：单点故障的防范、主备设计、负载均衡信息3.5 灾难备份设计可选此处以系统灾难备份设计要求，包括：同城和异地的灾难备份系统建设的 要求，网络构造的设计、备份系统设计同步4 系统安全设计4.1 网络安全设计4.1.1 访问掌握设计此处描述系统承受的防火墙的配置策略根，据系统等保级别的不同承受以下 不同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括防火墙的部署、以 网段为粒度的访问掌握策略、以用户为粒度的网络资源访问掌握策略拨、号访问的限制策略。2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括对应用层协议的过滤掌握策略、对超时会话的终止掌握策略、对网络最大流量数及连接数的掌握策略。3) 商密增加要求补充此处描述系统除了符合等保要求外需，要符合的商密增加要求的设计，包括同一网络区域的统一出口设计、对未授权外联行为的监控设计、对不同等保级别 系统的安全区域的划分、安全区域间访问掌握策略设计等。4.1.2 入侵防范设计此处描述系统针对端口扫描、强力攻击、木马后门攻击、拒绝效劳攻击、缓信息冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等的防范措施，依据系统等保级别的不同承受以下不同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括对攻击行为的监视。2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括对攻击行为的记录和报警、对恶意代码的检测和去除、对恶意代码库的更和系统更。3) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计，包括 对攻击行为的记录和报警、对恶意代码的检测和去除、对恶意代码库的更和系 统更。4.1.3 构造安全设计此处描述系统针对网络构造的防护技术，包括：使用交换网络、网络构造划 分、地址绑定、VPN，依据系统等保级别的不同承受以下不同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括依据信息重要性 的不同划分不同的子网或网段。2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括地址的绑定，VPN 的配置等。3) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计，包括 对网络区域内全部设备的自动识别与定位、地址的绑定。4.2 主机安全设计4.2.1 操作系统4.2.1.1 安全基线配置此处描述系统依据安全需求分析及公司基线要求所承受身份鉴别、访问控 制、安全审计、入侵防范及恶意代码防范、资源掌握、剩余信息保护策略，依据 系统等保级别的不同承受以下不同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括身份鉴别方面：对操作系统用户身份的标识和唯一性、静态口令的组成要求 策略、登录失败处理、治理用户鉴别信息传输安全性；访问掌握方面：安全掌握策略制定、权限分别原则、多余和过期账号的处理、 默认账号限制；安全审计方面：审计掩盖范围、审计内容、审计记录的保护及保存时间设定； 具体承受的操作审计产品型号及数量，部署位置，部署目的，主要的配置策略。 具体承受的监控审计产品型号及数量，部署位置，部署目的，主要的配置策略。入侵防范及恶意代码防范方面：操作系统的最小安装原则、恶意代码软件的 安装、更以及统一治理；资源掌握方面：终端接入方式、网络地址范围定义、操作超时处理、单个用 户对资源的最大及最小使用限度掌握。2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技术设计，包括身份鉴别方面：静态口令的更换期限设定、必需承受两种或两种以上组合的 鉴别技术、主机对相连效劳器及终端设备的身份标识和鉴别使、用加密技术防止鉴别信息传输中被窃听、重要信息资源设置敏感标记并依据安全策略进展访问； 访问掌握方面：用户最小权限原则；安全审计方面：审计数据分析及报表实现、审计进程的保护避开受到中断；剩余信息保护方面：对鉴别信息、系统文件、名目和数据库记录等资源所在 的存储空间，被释放或再安排给其他用户时，得到完全去除；入侵防范及恶意代码防范方面：入侵行为的检测、记录和报警，对重要程序 的完整性检测以及破坏后的恢复措施，主机恶意代码库必需独立网络恶意代码库；资源掌握方面：对重要效劳的监视、对系统效劳效劳水平最小值进展设置、 检测和报警。3) 商密增加要求补充此处描述系统除了符合等保要求外需，要符合的商密增加要求的设计包，括： 身份鉴别：口令策略必需通过技术手段加以保障，系统用户必需由单位内部人员进展统一治理和使用、必需承受两种或两种以上组合的鉴别技术；访问掌握：账号开设的审批程序及留档、账号权限及用户角色的对应、账号 的审核机制；入侵防范及恶意代码防范方面：软件白名单及黑名单的治理、制止通过互联 网在线安装及升级软件；4.2.2 数据库4.2.2.1 安全基线配置此处描述系统依据安全需求分析及公司基线要求所承受身份鉴别、访问控制、入侵防范、资源掌握、剩余信息保护策略，依据系统等保级别的不同承受以 下不同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括身份鉴别方面：对数据库用户身份的标识和唯一性、静态口令的组成要求策 略、登录失败处理、治理用户鉴别信息传输安全性；访问掌握方面：安全掌握策略制定、权限分别原则、多余和过期账号的处理、 默认账号限制；安全审计方面：审计掩盖范围、审计内容、审计记录的保护及保存时间设定；入侵防范及恶意代码防范方面：操作系统的最小安装原则、恶意代码软件的 安装、更以及统一治理；资源掌握方面：终端接入方式、网络地址范围定义、操作超时处理、单个用 户对资源的最大及最小使用限度掌握。2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括身份鉴别方面：静态口令的更换期限设定、必需承受两种或两种以上组合的 鉴别技术、主机对相连效劳器及终端设备的身份标识和鉴别使、用加密技术防止鉴别信息传输中被窃听，重要信息资源设置敏感标记并依据安全策略进展访问； 访问掌握方面：用户最小权限原则；安全审计方面：审计数据的分析及报表的形成、审计进程的保护避开受到中断；具体承受的操作审计产品型号及数量，部署位置，部署目的，主要的配置策 略。具体承受的数据库审计产品型号及数量，部署位置，部署目的，主要的配置 策略。剩余信息保护方面：对鉴别信息、系统文件、名目和数据库记录等资源所在的存储空间，被释放或再安排给其他用户时，得到完全去除；入侵防范及恶意代码防范方面：入侵行为的检测、记录和报警，对重要程序 的完整性检测以及破坏后的恢复措施，主机恶意代码库必需独立网络恶意代码库；资源掌握方面：对重要效劳的监视、对系统效劳效劳水平最小值进展设置、 检测和报警。3) 商密增加要求补充此处描述系统除了符合等保要求外需，要符合的商密增加要求的设计包，括： 身份鉴别：口令策略必需通过技术手段加以保障，系统用户必需由单位内部人员进展统一治理和使用、必需承受两种或两种以上组合的鉴别技术；访问掌握：账号开设的审批程序及留档、账号权限及用户角色的对应、账号 的审核机制；入侵防范及恶意代码防范方面：软件白名单及黑名单的治理、制止通过互联 网在线安装及升级软件；4.2.2.2 数据库 HA可选此处描述实现数据库HA 具体承受的产品型号及数量，部署位置，部署目的， 主要的配置策略。4.2.3 中间件4.2.3.1 安全基线配置此处描述系统依据安全需求分析及公司基线要求所承受身份鉴别、访问控 制、入侵防范、资源掌握、剩余信息保护策略，依据系统等保级别的不同承受以 下不同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括身份鉴别方面：对数据库用户身份的标识和唯一性、静态口令的组成要求策 略、登录失败处理、治理用户鉴别信息传输安全性；访问掌握方面：安全掌握策略制定、权限分别原则、多余和过期账号的处理、 默认账号限制；安全审计方面：审计掩盖范围、审计内容、审计记录的保护及保存时间设定； 系统具体承受的操作审计产品型号及数量部，署位置，部署目的，主要的配置策略。入侵防范及恶意代码防范方面：操作系统的最小安装原则、恶意代码软件的 安装、更以及统一治理；资源掌握方面：终端接入方式、网络地址范围定义、操作超时处理、单个用 户对资源的最大及最小使用限度掌握。2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括身份鉴别方面：静态口令的更换期限设定、必需承受两种或两种以上组合的 鉴别技术、主机对相连效劳器及终端设备的身份标识和鉴别使、用加密技术防止鉴别信息传输中被窃听，重要信息资源设置敏感标记并依据安全策略进展访问； 访问掌握方面：用户最小权限原则；安全审计方面：审计数据的分析及报表的形成、审计进程的保护避开受到中 断；剩余信息保护方面：对鉴别信息、系统文件、名目和数据库记录等资源所在 的存储空间，被释放或再安排给其他用户时，得到完全去除；入侵防范及恶意代码防范方面：入侵行为的检测、记录和报警，对重要程序 的完整性检测以及破坏后的恢复措施，主机恶意代码库必需独立网络恶意代码库；资源掌握方面：对重要效劳的监视、对系统效劳效劳水平最小值进展设置、 检测和报警。3) 商密增加要求补充此处描述系统除了符合等保要求外需，要符合的商密增加要求的设计包，括： 身份鉴别：口令策略必需通过技术手段加以保障，系统用户必需由单位内部人员进展统一治理和使用、必需承受两种或两种以上组合的鉴别技术；访问掌握：账号开设的审批程序及留档、账号权限及用户角色的对应、账号 的审核机制；入侵防范及恶意代码防范方面：软件白名单及黑名单的治理、制止通过互联 网在线安装及升级软件；4.2.3.2 中间件 HA可选此处描述实现中间HA 具体承受的产品型号及数量，部署位置，部署目的， 主要的配置策略。4.3 应用安全设计4.3.1 身份鉴别防护设计此处描述系统针对暴力猜解攻击的防护技术和产品包，括：身份认证手段、 密码强度、密码有效期、图片验证码、认证失败处理方式，依据系统等保级别的 不同承受以下不同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括使用专用登录控 制功能、供给用户身份标识唯一性和简单度检查功能登、录失败处理功能、用户 鉴别信息简单度检查策略可配置。2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技术设计，包括对同一用户应承受两种或两种以上组合的鉴别技术实现用户身份鉴 别，应用软件对用户在线超时时间的设定以及处理用，户初始密码的强制修改设计，密码强度、密码有效期策略设计。3) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计，包括 对用户账号的定期清查，密码强度及密码有效期策略设计及实现技术手段应，由单位内部人员进展用户的统一治理和使用。4.3.2 访问掌握防护设计此处描述系统针对信息泄漏的防护技术，包括：用户分类治理、重要用户安全治理、角色定义、权限划分、授权粒度，依据系统等保级别的不同承受以下不 同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括访问掌握功能设计，访问掌握策略设计，访问掌握范围，账号最小权限原则，默认账号的访问权 限限制，关键用户及权限的对应关系表设计。2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技术设计，包括对重要信息资源设置敏感标记的功能及依据安全策略严格掌握用户 对有敏感标记重要信息资源的操作。3) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计，包括 账号开设的审批流程、审批主管部门以及留档设计4.3.3 自身安全防护设计4.3.3.1 注入攻击防护设计此处描述系统针对注入攻击的防护技术和产品，包括：程序开发的输入检 测、应用防火墙。4.3.3.2 漏洞利用防护设计此处描述系统针对缓冲区漏洞、unicode 二次编码等漏洞的防护技术和产品， 包括：程序开发的输入数据、应用防火墙。4.3.3.3 防篡改设计此处描述系统针对防篡改的技术和产品，包括：网页防篡改。4.3.4 应用审计设计阐述本系统的审计对象、范围操作、大事、格式、报表要求，审计日志 的保存期，防删改的要求，依据系统等保级别的不同承受以下不同的设计商，密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括审计功能应掩盖每个用户，审计记录的不行删除、修改和掩盖，审计记录的内容应包含大事日期、时间、发起者信息、类型、描述和结果，审计记录保存时间设定并不少于一个月。2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括审计进程的独立性及不行中断审，计记录保存时间设定并不少于半 年，审计记录数据地统计、查询、分析及生成审计报表的功能设计，每次登录时 应显示上次成功登录的记录。3) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计，包括 集中审计数据存储、传输、外放使用、打印等行为的审计、外放内容审计。4.3.5 通信完整性防护设计此处描述系统针对通信完整性的防护技术，包括：使用消息摘要S、SL，依据系统等保级别的不同承受以下不同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括保证通信过程中 数据的完整性所承受的校验码技术。2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括保证通信过程中关键数据完整性所应承受的密码技术。3) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计。4.3.6 通信保密性防护设计此处描述系统针对嗅探的防护技术，包括：使用SSL，数据加密，依据系统 等保级别的不同承受以下不同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括会话初始化验证 时应用系统承受的密码技术，敏感信息通信过程中的加密设计；2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括对于通过互联网对外供给效劳的系统在，通信过程中的整个报文或会话过程中使用的专用通信协议或加密方式设计；3) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计。4.3.7 防抵赖设计此处描述系统针对防抵赖的技术和产品，包括：日志，数字签名，依据系统 等保级别的不同承受以下不同的设计，商密增加要求作为补充要求：1) 等保三级要求此处描述系统依据等保三级要求承受的技术设计包，括实现为数据原发者及 接收者供给数据原发及接收证据功能的技术设计，包括日志、数字签名等。2) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计，包括 实现为数据原发者及接收者供给数据原发及接收证据功能的技术设计，包括日志、数字签名等。4.3.8 系统交互安全设计4.3.8.1 本系统涉及的相关系统说明此处描述全部和本系统互联的系统介绍，传输的数据类型，承受的传输方式4.3.8.2 系统交互安全性设计此处描述系统间交互承受的方式接口还是非接口，承受的安全设计，包 括：设备部署、传输协议、数据加密、边界访问掌握、授权、审计4.3.8.3 系统安全监控和检测设计此处描述系统间交互承受的安全监控和检测设计，包括：协议分析和流量统 计、操作审计、数据库审计、集中审计监控、边界访问掌握、授权、审计4.4 数据及备份安全设计4.4.1 数据的保密性设计此处描述数据的保密性设计，包括：访问限制、身份鉴别、数据采集的保密性、数据传输的保密性、数据使用的保密性、数据存储的保密性、数据删除的 保密性。依据系统等保级别的不同承受以下不同的设计商，密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括实现鉴别信息存 储的保密性所承受的加密或其他保护措施设计；2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括实现系统治理数据、鉴别信息和重要业务数据采集、传输、使用和 存储过程的保密性所承受加密或其他有效措施设计；3) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计，包括数据的分级，密级标识及防护策略设计，数据存储类型分类及防护策略的设计， 防止数据存储介质丧失或信息非法泄露的技术设计数，据传输的加密设计、外带数据的加密设计，导出数据的审批授权设计，无线网络传输时承受的动态加密技 术，。4.4.2 数据的完整性设计此处描述数据的完整性设计、包括：数据采集的完整性、数据传输的完整性、 数据处理的完整性、数据使用的完整性、数据导出的完整性，依据系统等保级别的不同承受以下不同的设计，商密增加要求作为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括实现鉴别信息和 重要业务数据在传输过程中完整性受到破坏时所承受的检测技术设计；2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括实现系统治理数据、鉴别信息和重要业务数据在采集、传输、使用 和存储过程中完整性受到破坏时所承受的检测技术设计以，及检测到完整性错误时实行必要的恢复措施设计；3) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计，包括 实现系统治理数据、鉴别信息和重要业务数据在采集、传输、使用和存储过程中 完整性受到破坏时所承受的检测技术设计以，及检测到完整性错误时实行必要的恢复措施设计。4.4.3 数据的可用性设计此处描述数据的可用性设计，包括：数据采集的可用性、数据传输的可用 性、数据处理的可用性、数据使用的可用性、数据导出的可用性。1)商密增加要求补充此处描述系统除了以上设计外，需要符合的商密增加要求的设计，包括数据 传输黑白名单的设计，数据使用用户与使用权限的关联设计。4.4.4 数据的不行否认性设计此处描述数据的不行否认性设计，包括：审计、数据采集的不行否认性、 数据传输的不行否认性、数据使用的不行否认性、数据删除的不行否认性。1)商密增加要求补充此处描述系统除了以上设计外，需要符合的商密增加要求的设计，包括数字水印的设计，打印、 、刻录、拷贝、删除等行为审计和掌握设计，核心商密数据处理流程的审批以及审计设计，专用终端的身份认证、掌握与治理设计，专 用终端的桌面安全设计。4.4.5 备份和恢复设计4.4.5.1 系统存储设计此处描述系统针对存储介质的要求，数据不同分类存储4.4.5.2 系统备份和恢复设计4.4.5.2.1 系统备份4.4.5.2.1.1 备份数据类型此处描述系统备份的数据类型，包括：系统文件、应用软件、业务数据、日 志信息、历史数据4.4.5.2.1.2 备份方式此处描述各种数据类型的备份方式，包括：硬盘文件、磁带4.4.5.2.1.3 备份策略此处分别针对联机事务处理系统、信息治理系统、决策支持分析系统描述备 份的具体策略。依据系统等保级别的不同承受以下不同的设计商，密增加要求作 为补充要求：1) 等保二级要求此处描述系统依据等保二级要求所承受的技术设计，包括对重要信息进展 备份的策略设计；数据处理系统的冗余设计；2) 等保三级要求此处描述系统除了等保二级要求的技术外根，据等保三级要求还需承受的技 术设计，包括实时备份和异步备份、增量备份与完全备份的设计，异地数据备份的要求及设计，备份技术的可行性验证测试设计，异地数据备份中心的可用性设 计；3) 商密增加要求补充此处描述系统除了符合等保要求外，需要符合的商密增加要求的设计，包括 实时备份和异步备份、完全备份的设计，异地数据备份的要求及设计，异地数据备份中心的可用性设计。