业务系统数据安全技术方案

来源：五一七教育网

业务系统数据安全技术方案

................................... 3 1. 业务数据安全平台建设总体方案 1.1. 业务系统数据安全解决方案 ..........................

1.1.1. 示范要点 ......................................................... 3 1.1.2. 建设内容 ......................................................... 3

2. 技术设计方案 .

1. 业务数据安全平台建设总体方案

1.1. 业务系统数据安全解决方案

1.1.1. 示范要点

(1) 探索建立企业信息系统数据分级分类体系：研究系统化的数据分类分级保护。 (2) 建立信息安全管理体系，建立企业信息系统保护规范、保护基线和检查办法、人

员行为规范、信息安全事件应急响应规范，建立信息保护意识培训与宣贯机制和相关材料。

(3) 建立新一代信息系统业务数据敏感标记策略和打标机制。

(4) 建立企业信息系统保护的整体安全架构，其中整体安全策略、安全架构、安全基

础设施和安全措施的设计 ,以及安全构件库的实现具有很大的参考性和推广价值，值得各相关机构借鉴，有利于形成信息保护的信息安全技术标准。

(5) 信息保护相关安全设计、开发与测试知识库具有通用性，可以进行推广和培

训，提升业系统研发人员的安全素质。

1.1.2. 建设内容

1.1.2.1 数据分类分级策略建立企业信息系统数据分类分级体系：对业务数据进

行梳理和识别，制定数据分类分级框架，形成数据分类分级列表，识别出重要业务敏感数据的类型、所属部门、 CIA 保护级别、存储方式、期限以及应采取的保护措施建议等。

1.1.2.2 信息安全管理体系

(1) 建立信息安全管理规范，确定信息保护方面的总体安全策略、信息安全交换管

理机制和信息安全技术防护与安全管理要求。

(2) 建立信息保护基线与检查管理办法，确定信息保护最低技术要求和最低管理要

求，以及相应检查项、检查方法和整体评估打分机制。

(3) 建立人员安全行为规范，规范信息操作运维人员的行为，并建立相关个人

信息保护奖励与处罚机制。

1.1.2.3 数据敏感标记策略和打标机制根据现有的敏感数据传输、处理与存储机制，

建立数据敏感标记策略，使得数据标记可以反映数据类别， CIA 安全保护级别等。建立敏感标记附加机制，绑定数据与标记，方便执行安全策略。

1.1.2.4 企业信息系统总体安全架构设计和安全架构策略企业信息系统整体安全架构

实现过程中需要考虑如下方面：企业信息系统业务数据【旅客数据】分类分级策略企业信息系统整体安全架构设计实现需要遵循的策略企业信息系统整体安全架构设计需要简单化和有一定的经济性，将所有安全措施实现切分为通用安全措施实现和个性化安全措施实现，前者应归纳到安全基础设施中，后者作为嵌入到各子系统，单独编码实现。企业信息系统安全基础设施及其支撑安全运行的方式企业信息系统主要安全措施及其与安全基础设施之间的关系

图 3-1-1 企业信息系统整体安全架构设计示意图一

图 3-1-2 企业信息系统整体安全架构设计示意图二关注应用分区分层、

纵深防御、差异化部署和安全访问策略，企业信息系统群的运行环境安全设计和自身安全设计。

（1）安全架构设计策略

1）企业信息系统的分区分层。分区是为了横向隔离各 web 前端，如各航空公司

的专属系统，为了保证相互操作不会产生干扰，某个航空公司系统被攻击或沦陷后不影响其他航空公司的系统，需要采取有效设计对子系统系统以及子系统数据进行解耦，进行必要的子系统间的隔离。企业信息系统分层是为了建立系统的整体纵深层次，在各个不同层次上添加不同的安全措施，使得同一威胁，有多个安全防护措施同时进行针对性防御。目前已知的企业信息系统的网络安全层次为 Internet 区域、

DMZ Web服务器区域和内网应用服务器层次，信任度逐渐升高，项目执行过程中可

能会根据实际情况和安全需要划分更多的网络层次，使得不同网络层次专注不同网络威胁，并为后续的纵深防御打下基础。对于数量庞大的 web 应用，将会根据其数据敏感属性、用户敏感属性、访问链路的安全级别进行归类分区，形成合理的基于云计算的 web 网站群分布格局，尽量缩小网络出口的数量，以利于后续的统一监测、统一管理和统一防范。

图 3-1-3 企业信息系统安全域划分示意图

2) 纵深防御策略。单一安全防御措施经常因为设计不当、维护不当、硬件失

效等原因无法永久有效的应对某类网络威胁，这种情况需要针对某类威胁具有多层次的防御措施，比如 SQL 注入攻击，可以在 DMZ 区域 web 服务器前端串接部署 WAF 设备，同时在应用程序内采取防 SQL 注入手段和报警与日志审计手段，如果前端的

WAF 安全功能失效，应用程序自身仍然可以抵御和发现该类攻击。针对具体威胁的防护

手段具有多种形式，主要可分为防御、检测和审计等形式，为了防御安全威胁，第一选择是防御措施，使得该攻击不产生不良后果；第二选择是检测措施，发现攻击的行为，及时报警、及时响应、及时阻断，也能够做到攻击影响最小化；第三选择是审计措施，通过对攻击行为和过程记录日志，并进行事后分析，还原攻击过程，确定攻击者身份，找出内部脆弱性，并追究攻击者法律责任，在某种程度上也能起到威慑和挽回损失的效果。企业信息系统纵深防御会根据风险分析的结果，

在多个网络层次上部署不同安全措施，形成全方位和立体化的防御体系

3) 攻击面最小化。企业信息系统包含了不同安全级别的数据，并且面对了不同

敏感度的用户。从用户的体验角度出发，为用户提供全方位的接入方式和访问方式，如全天候的 BYOD 的支持，但从安全角度出发，需要对接入方式、访问方式进行，

如某航空公司的 Web 应用，覆盖了航空公司所有业务操作内容，如航班控制、座位控制、用户管理、授权管理等内容，为了保证总体的安全性，并减少总体安全成本，总体设计要求用户管理和授权管理等操作需要 VPN 接入到内网进行操作，而那些不敏感的查阅操作，或影响较小的操作可以提供 Internet 访问方式。通过这种方式规避了敏感业务暴露在 Internet 中产生的高风险。为了实现攻击面最小化策略，需要对企业信息系统功能细分，根据其数据、业务和用户的敏感性，区别发布与部署，进而提供差异化的安全访问方式，而减少整体安全风险。对于一些敏感的查询，需要控制每次的查询量和查询范围，有效降低数据泄露造成的影响面。

(2) 企业信息系统在整体设计中包含的主要控制措施如下：

1) 身份管理，企业信息系统中包含了众多的用户，如航空公司用户、机场

用户、代理商用户、以及越来越多的旅客用户和与航空公司形成战略合作关系的酒店、出租车、旅游景点用户等，用户，对这些用户进行全生命周期管理，不仅可以增加其对航空公司的价值，还能显著提高系统的安全性。身份管理应至少支持身份创建、修改、挂失、激活、查询、冻结、备份、删除等功能。应至少支持集中管理模式、自助管理模式和外部其他大客户自助管理模式。企业信息系统的访问者还包括对端的服务器或客户端，此类机器或软件的身份也应纳入到身份管理范围。

2) 权限管理，权限与用户关联，因为用户具有不稳定特征，权限时常发生变

化。通常权限的生命周期短于用户的生命周期，一个用户经常与多个权限关联，造成权限管理工作量远超过身份管理的工作量，权限管理的相关设计显得尤为重要，业界较为通用的 RBAC 权限管理模式具有适用范围广，高可扩展，并且可大幅降低权限管理的工作量。系统将会采取 RBAC 权限管理模式，进行灵活授权。权限管理也应该支持集中管理模式、公司自助管理模式和外部其他大客户自助管理模式。

3) 身份认证，用户在使用系统前必须通过身份验证，由于 web 用户的类别复

杂性和网络位置不确定性，企业信息系统将会提供多种身份认证模式，以适应这些复杂情况。身份认证的脆弱性将会产生极高的安全风险，因此身份认证方式的多样性应该以不能影响企业信息系统的整体安全强度为前提。企业信息系统中计划支持身份认证方式至少包括：口令认证、 U 盾【数字证书】认证、短信认证、及其三者之间的复合认证方式。

4) 访问控制，未来的企业信息系统将会基于用户的角色进行访问控制，权限管

理系统提供角色权限信息，应用功能负责调用通用的权限匹配决策接口进行访问控制。访问控制将会从三个层次开展工作。第一个层次为 DMZ 区 web服务器层，通过配置防火墙策略、 WAF 策略、 IPS策略、蜜罐策略、防篡改策略以及 web 服务器安全策略，应对该层次的主要威胁。第二层为应用服务器层，通过应用自身安全设计实现、应用服务器安全策略、前端路由器和防火墙策略、防篡改策略、加解密策略、监控与日志审计策略和防火墙策略等，应对该层次的安全威胁，第三个层次为数据层，通过部署数据库自身安全策略，数据库审计策略、数据库多级备份策略等方式，应对本层次安全威胁，数据层还包括另外一个分支，即后台系统，主要是通过准入控制策略和数据安全策略应对本层次的安全威胁。

5) 安全传输，安全传输需要防范各航空公司敏感数据外泄，同时还需要隔离各

航空公司相关数据，防范相互干扰。安全传输可能会涉及到各种不同技术，如

HTTPS/SSL，VPN，应用层加密，专线等技术。安全传输设计会根据不同场景运用不

同技术，实现安全传输目标。

企业信息系统确立的安全传输策略为：所有跨不安全等级网络连接均需要进行安全连

接，如 ALG 访问后端系统。

所有 Internet连接均需要进行安全连接，如对 ALG 和APG 的访问。所有外部相关机构的连接，在合规的前提下，应尽量考虑安全连接。如 CITA 、等单位的访问。

所有共用物理信道的各航空公司的数据流，应进行逻辑隔离。

6) 安全存储，企业信息系统的安全存储需要实现以下目的：黑客即使窃取了数据

也无法加以利用保护内部运维人员，防范其意志不坚定，发生倒卖敏感数据的情况对不同公司的数据实现逻辑隔离

安全存储可能会涉及到加解密相关技术，还可能涉及到账户权限管理与访问控制，物理存储设备的物理隔离和逻辑存储的逻辑隔离。安全存储设计内容只包括数据存储的隔离与加解密相关设计。

7) 日志审计与监控，系统的日志审计能力应具有如下能力：可还原用户各种访问

会话，具有跨系统的日志信息整合能力，对用户行为可进行全方位的监控与审计。

可掌握所有系统的状态信息，并可对系统运行状态进行实时显示和报警

可根据用户和系统的状态信息，判断是否发生的违规行为和攻击行为，并能引导运维或应急人员进行实时分析、快速阻断、及时恢复和完整取证。

8) 抗抵赖，主要是指企业信息系统用户或运维人员对自己的操作行为负责，将

会采取如下两种手段进行抗抵赖设计：日志记录，通过对用户行为记录日志，并采取措施保障日志信息的完整性。主体日志信息为文本信息，另外一种补充日志信息为视频信息，主要是针对一些极端重要场合，如运维人员的敏感操作。数字签名，用户的所有操作行为进行数字签名，前提是用户具有系统颁发的数字证书。数字签名抗抵赖主要运用在财务相关操作上，如用户购买机票的在线付款操作。

9) 系统完整性防护。该项措施主要是保护信息系统的完整性，包括应用、操作

系统和网络，主要是防止系统被篡改，注入病毒木马，或者恶意调整了系统结构。当发现企业信息系统被恶意篡改时，系统应及时报警，通知运维人员及时响应。系统完整性防护中包含了若干重要的技术：代码数字签名，特别是各种专属前端系统及其下载到客户端运行的代码，系统要求应进行数字签名，这种措施只能发现篡改行为，无法预防。

防篡改软硬件设备，这种设备具有发现代码篡改和快速修复代码的能力防病毒网管或统一威胁管理设备，拒病毒木马于网络之外

1.1.2.5 安全基础设施设计统一用户管理和身份认证、 RBAC 授权管理与访问控

制、统一加解密，统一日志审计中主要包括的安全基础设施如下：

（ 1）身份管理与身份认证基础设施。企业信息系统计划使用统一身份管理 IAM 作为身份管理的基础设施， IAM 的核心是 LDAP 服务器，具有复杂组织分支管理能力和快速查询响应能力，符合企业信息系统的用户组成复杂特点， IAM 的认证代理可以支持用户名口令认证方式，具备口令的复杂度检查、长度检查，以及口令生命周期控制能力。另外企业信息系统已引入 PKI 体系和硬件身份认证载体 U 盾，这将会形成企业信息系统身份认证的主要组成部分。另外已经租用了中国联通的短信网关，部分应用已经开始使用短信身份认证方式，为了保证短信认证。因此企业信息系统将会具备统一身份管理的能力，以及口令认证、数字证书认证和短信认证等三种安全身份认证方式。

2）授权管理和访问控制基础设施。企业信息系统授权管理将会采取 RBAC 基于角色

的权限管理方式，前期的权限管理将会基于统一身份管理系统，将各种角色权限标识与身份绑定，并在用户访问各子系统时，由 IAM 将角色标识推送到各子系统，由子系统调用标准接口进行授权。

3）加解密基础设施。加密系统的安全性取决于加密算法强度、加密密钥长度以及密钥

本身的存储和传输安全性。企业信息系统计划支持国际所有主流的对称 /非对称加密算法以及中国保密局要求的各种算法，以满足国际国内的加密合规要求。企业信息系统系统将会定义安全密钥的最低长度和生成方式，并将加密算法、密钥生成算法、密钥规范要求统一封装到开发库中，供各子系统调用，形成统一的加密强度。企业信息系统目前已引入 PKI 体

系，作为加密体系的信任根，通过 PKI 证书，形成密钥的安全存储和安全传输方式。另外将会采取 U 盾和加密机等硬件，形成密钥安全存储的核心支持部件。

4）系统安全管理、监控与审计基础设施。系统未来将会形成自己的 SOC平台，形成

生产环境安全策略统一分发执行、日志信息实时采集分析、安全状况实时动态形象展示、安全态势感知预警、用户全会话行为还原、聚合与跟踪审计能力。

5）高可用与灾备基础设施。为了满足与各航空公司签署的 SLA 服务水平协议，计划

建立多层次的高可用服务能力。在存储备份能力上，形成本地 RAID 磁盘、数据库本地同步备份、同城备份和异地灾难恢复备份。在信息处理能力上，服务器采取多核 CPU、双机热备、集群、和异地灾备集群方式，由于采用了虚拟化技术，处理能力可以实施扩展，有力的保证了处理备份能力。另外在网络能力上，远程传输租用不同运营商的光纤线路，具有不同的物理信道，并进行周期性测试，保障远程传输能力的高可用，在生产环境内部网络，采用了关键节点和关键线路采取热备方式保证其高可用性。 1.1.2.6 安全构件库

身份认证构件库：用户名口令认证、 U 盾认证、短信认证、基于 IAM 的认证。加解密构件库：加解密 web service 服务、对称加密、非对称加密、 Hash 算法、数字签名和数字信封，支持国际通用标准算法和国内 SM2/3/4 算法。

各构件库示例代码与使用说明手册

2. 技术设计方案

企业信息系统网络安全设计基本方案如下：

图 3-2-1 企业信息系统网络安全设计方案

ADS 流量清洗中心，主要用于部署相关策略防范流量类型的 DDOS 网络攻击。 DDoS 流量清洗解决方案由异常流量分析系统和流量清洗系统组成，异常流量分析系统

使用 Netflow 等方式对出口路由器流量数据进行采集，并对采集到的数据进行深入分析，发现 DDoS 异常流量后，将触发告警，并通知流量清洗系统。流量清洗系统接收到异常流量分析系统发送的通知后，通过路由技术（如 BGP、OSFP等）对攻击流量进行牵引，然后对攻击流量进行识别与清洗，将攻击流量过滤，最后再使用路由技术（如策略路由、 GRE 等）将清洗后的正常流量回注到网络中，由此实现对 DDoS 异常流量的清洗和过滤。

WAF 设备主要是针对应用层攻击进行阻断，如 SQL 注入、命令行注入、路径遍

历等攻击。云安全中心主要是基于云端强大的安全分析能力，对互联网疑似攻击流量进行分析，并下发安全策略给 WAF 设备和 IDP 设备，进行联动阻断。

服务器端实施抗篡改设计，并针对漏洞进行周期性扫描，发现漏洞，及时报警，及时修复。在数据库端实施数据加密和完整性保护策略，保证数据的安全性，实现数据拿走了也看不懂的效果。

信息系统安全设计方案如下：

图 3-2-2 企业信息系统安全设计方案基于各类安全基础设施，实施身份认证、访问控制、安全传输 /存储、日志审计、

抗抵赖等各类措施。

典型的企业信息系统数据访问的路径如下图所示：

图 3-2-3 企业信息系统信息访问路径

图

为保护旅客数据，防止数据泄露，引入数据安全策略管理模块、日志数据

安全模块、交易数据安全模块

图 3-2-4 数据安全模块架构图

三个模块的分工配合如下：

图 3-2-5 模块关系图

其中：

数据安全策略管理模块实现数据安全策略的管理和策略下发。交易数据安全模块负责解析数据报文，根据接收到的策略，阻断非法的数据外泄路径和报警。日志数据安全模块负责日志数据的安全访问，根据接收到的策略，阻断非法的数据外泄路径和报警。

本方案的特点在于应用和安全模块配合工作：应用实现数据打标；安全模块执行安全策略时，借助敏感数据标记，可以快速识别出敏感数据的种类，对应防护。

表 3-2-1 安全策略与安全模块对应表策略安全模块后台服务增加打标功能总线，增加敏感数敏感数据标记据标记前端增加打标功能制定《数据分级分类标准》和《数据防护技术要求》制定数据安全策略制定《敏感数据列表》，确定保护对象制定安全策略提供日志，跟踪带数据专用查看工具，控制访问执行数据安全策略所有数据出口，增加数据安全模块，强制实施安全策略，防止泄露 15

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文