官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
清年如水- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
1. 概述
信息系统安全架构设计方案旨在通过系统化的安全策略、技术措施和管理流程,为信息系统构建一个全方位的安全防护体系。方案应包括身份认证与访问控制、数据保护、用户权限以及审计审核等核心模块,强调从系统设计之初就融入“安全即内生”的理念。通过采用零信任架构、商用密码技术、多层次防御机制以及持续监测与响应手段,有效抵御多种威胁场景,保障信息系统的机密性、完整性和可用性。该方案还需要兼顾法规合规性和业务发展需求,支持动态调整和持续优化,以确保安全与业务的长期平衡发展。
2. 保障设计
根据系统的安全需求,我们从九个大类进行安全保障的设计。这九大类分别为访问控制、资源控制、身份鉴别、操作审计、数据安全、授权管理、通信安全、电子签名、软件容错。
2.1. 访问控制
2.1.1. 系统内访问控制
2.1.1.1. 会话管理
- 会话建立与身份鉴别
系统通过身份鉴别建立会话,验证仅在服务器端进行。
每次身份验证后分配新的、唯一的会话标识,不能复用。
不允许相同用户ID的重复登录。
- 空闲时间与会话终止
系统设置用户会话的空闲时间(建议为10分钟),超过空闲时间需重新鉴别或自动终止会话。
- 会话标识与安全
会话标识使用随机、唯一且不可预测的128位散列值。
禁止通过GET参数传递会话标识,验证客户端数据时应验证会话标识。
- 页面访问与来源控制
严格限制页面间的前后访问继承关系,重要过程使用标识控制。
页面访问来源通过referer或页面令牌散列验证。
- Cookie与安全传输
设置Cookie的Secure属性,确保仅在SSL通道传输。
- 关键操作保护
确保关键交易(如转账)操作无法通过浏览器“后退”返回。
- 认证证书保护
认证证书以加密形式存储。
- 用户注销与会话管理
提供会话注销功能,允许用户终止会话。
限制并发会话的最大数量,包括整体和单用户的并发会话。
- 并发会话限制
可对访问时间段内的并发会话数量进行限制。
- 会话标识更新
在HTTP与HTTPS切换时更新会话标识。
- 会话历史记录
显示用户上次成功和不成功会话的日期、时间、方法。
不删除未经用户回顾的会话历史信息。
2.1.2. 系统外访问控制
2.1.2.1. 数据库和数据文件
- 权限管理
授予用户最小权限,确保每个用户仅能执行其任务所需的操作,并建立权限互相制约关系。
权限分离:操作系统和数据库的特权用户应分开管理,确保互不干扰。
- 账户管理
限制默认账户的权限,重命名默认账户并修改其口令,以增强安全性。
删除过期或多余的账户,避免使用共享账户。
- 数据文件权限
对存储数据的文件实施严格的权限控制,防止未授权访问。
- 访问控制
通过操作系统和网络层控制访问端IP地址,限制对数据库和数据文件的访问。
2.1.2.2. 系统之间访问
- 加密传输
系统间通讯应使用安全加密方式(如HTTPS、SFTP等)保障数据传输安全。
- 自定义协议与端口
使用专属通道时,应采用非默认的自定义协议或端口,增强安全性。
- 访问控制
通过网络层、操作系统层或应用层限制访问端IP地址,确保仅授权系统能够访问。
2.1.2.3. 客户端非认证访问
- 访问识别与拒绝
系统应能识别并拒绝非认证用户的访问。
- 页面与文件管理
避免残留垃圾页面、可下载文件或管理功能页面对普通用户开放。
- 警告与限制
对非认证访问的请求提供警告提示,并设置访问次数限制,超出次数时实施IP锁定。
2.2. 资源控制
2.2.1. 内部资源控制
2.2.1.1. 软件资源管理
- 加密与安全存储
认证信息(如用户名、密码)应采用加密方式存储在软件配置文件中。
软件配置文件应整体加密存储,解密由系统处理,不允许明文显示。
软件源代码应存储在安全介质中(如只读介质或光盘),确保安全性。
- 文件与代码管理
删除软件配置文件中的注释、选项说明和解释信息,避免泄露敏感信息。
移除软件代码中的所有测试代码,保持代码清洁。
采用安全策略确保软件源代码的安全,并确保版本控制中使用的是最新稳定版本,支持查询历史版本。
2.2.1.2. 资源建立与释放
- 资源建立
资源创建需在身份鉴别后进行,确保安全性。
避免使用简单或有规律的规则(如顺序排列)来命名资源,防止可预测性。
资源建立过程中应避免冲突或资源用尽的情况,例如流水号应保证唯一性。
- 资源释放
提供正确的资源释放方式(如账户退出、页面关闭等),并确保适用于所有用户操作流程。
系统应识别并纠正不当释放方式,确保资源得到正确释放(如账户退出、文件关闭等)。
对账户或请求进程的资源分配设置最大和最小限额,防止资源滥用。
2.2.1.3. 敏感资源的信息保护
- 敏感信息隐藏与显示
关键用户信息(如银行卡号)应采用“部分隐藏显示”的方式处理,例如用星号代替部分字符。
审计日志中的敏感信息(如身份证号、银行卡号)也应进行“部分隐藏显示”处理。
- 身份鉴别与加密
关键用户信息应避免作为身份鉴别参数使用,若必须使用,应加密处理。
对关键用户信息使用强加密算法(如SHA-256、AES)保护。
- 客户端敏感信息管理
系统不应在客户端存储用户相关敏感信息。
禁止通过复制、粘贴等方式在系统内外输入或输出敏感信息,也禁止在客户端内存中保存敏感数据。
2.2.2. 外部资源控制
2.2.2.1. 支撑资源配置
- HTTP方法限制
系统应仅支持GET和POST HTTP(S)方法,禁止其他方法。
- 外部环境账号管理
存在缺省
畅读付费文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 49 文章数
- 105 关注者