1 总则
《系统安全保障规则》(以下简称“本规则”)是国能e购商城(以下简称“商城”)的运营商国家能源集团物资有限公司电子商务中心基于相关法律法规及国家能源集团关于信息系统安全管理相关制度制定的保障平台系统安全的基本程序和措施。
2 基本要求
2.1网络安全保障措施
2.1.1网络部署
为了能更有效地抵御来自互联网安全威胁,商城出口采用了异构防火墙分层防御的互联架构,平台系统遵循“纵向分层、水平分区”的部署原则。“纵向分层”是指随着从互联网出口、外部隔离区(外DMZ)、内部隔离区(内DMZ)到内部网络区域自外而内的不断深入,提供不断增强的安全防护能力。“水平分区”是指在同一纵向区域为不同类型应用系统,根据其自身的特点划分隔离区域有针对性的配置安全策略。系统使用内部IP地址,通过在出口设备上配置IP地址转换的方式对互联网提供服务。系统中采用应用发布、内容管理和数据库等功能模块分离的架构设计,把不同的功能模块部署于相应的安全区域。系统各功能模块在纵向上主要部署于外DMZ区和内DMZ区,结合应用系统特点在水平方向的外DMZ区部署“用户访问Web服务”,内DMZ区分为“内容管理区”和“数据区”。
2.1.1.1应用发布模块部署
应用发布模块处于系统的最前端接受来自互联网用户或应用程序的访问,其安全防护关注于识别、阻止来自互联网上的攻击保证系统的可用性,防止内容被篡改保证其完整性;应用系统的发布模块部署于外DMZ区。
2.1.1.2业务处理模块部署
业务处理部署于内DMZ的内容管理区,业务处理模块用于管理系统对外发布的内容,实现内容上传、编辑和验证等统一管理;对业务处理模块的安全防护关注于对外发布流程的控制、发布人员的身份验证以及对外发布内容的真实有效性。
2.1.1.3系统数据模块部署
系统数据模块部署于内DMZ区的系统数据区,系统数据模块为应用系统的服务内容提供后台支撑,或通过特定的服务端口对外提供数据交互;对系统数据模块的安全防护关注于自身的性能优化、身份验证、操作审计、防篡改和安全编程等。
2.1.2网络防护
2.1.2.1边界控制
系统的安全区域边界部署防火墙系统实现对系统的访问控制;边界访问控制设备配置默认拒绝的控制策略,仅允许明确允许的数据流通过;系统实现基于连接状态的访问控制,阻止低安全区向高安全区的主动连接;边界访问控制设备对区域间的访问控制颗粒度精确到端口级;边界访问控制能自动阻断非活动时间超过5分钟的会话;可以通过网络边界设备根据需要随时阻断已经建立连接的会话。
2.1.2.2入侵检测
系统部署基于网络或主机的入侵防护系统,实现对网络攻击行为的检测和防护;入侵防护系统能记录网络攻击的源IP、目的IP、类型、攻击时间等;入侵防护系统能对网络入侵提供实时报警并根据策略阻断攻击行为;系统能定期对入侵防护设备的特征库进行升级,实现对新的入侵行为的识别和防御;入侵防护系统能产生统计、分析报告,作为对入侵的审计证据和决策依据。
2.1.3业务系统自身安全
商城自身安全侧重对应用系统的各组成部分的安全,包含应用软件自身、中间件、数据库、操作系统等在内的安全配置和基于系统自身特殊的安全防护需求。
2.1.3.1服务配置
基于最小化安装原则,仅安装支撑系统正常运行的功能组件;禁用非必需的系统服务,避免这些服务可能带来的安全隐患和对资源的占用;对开机启动项进行控制,仅根据需要加载必要的服务;对需要与外界交互的系统服务进行安全配置,如身份认证和加密等,防止系统资源被滥用及造成信息泄漏。
2.1.3.2账号口令
根据实际需要分配账号,避免多人共享使用同一账号;删除或停用无效的账号,对需要保留的默认账号修改默认口令;账号口令至少包含字母、数字和特殊字符三种中的两种,口令长度不得小于8位;定期变更账号口令,变更周期为90天。
2.1.3.3管理登录
对连续尝试登录失败次数超过5次的执行账号锁定策略,锁定时间为30分钟;非必要时不得远程管理系统,使用安全的通信协议对系统进行远程管理;限制可对系统进行远程管理的IP地址范围和可用于进行远程管理的系统账号;对登录系统后无操作,时长超过10分钟的,强制退出登录或锁定登录界面。
2.1.3.4权限分配
基于操作员、管理员等角色为不同账号分配权限;根据需要为管理账号和业务账号配置所需要的最小权限;根据需要配置对系统中关键目录、文件、程序的访问和使用权限。
2.1.3.5日志审计
系统通过审计系统实现对系统本身的审计;审计包括对用户对系统的重要操作行为以及对系统自身运行状态的监控;审计记录的内容包括事件的日期、时间、类型、主体标识、客体标识和结果等;审计系统能对审计结果进行有效保护,防止非预期的访问、修改或删除;系统能通过标准协议对外输出审计日志。
2.1.3.6漏洞防护
系统根据需要安装必要的系统补丁,安装补丁前进行安装测试,完成安装后对系统及所承载应用的运行状况进行验证;定期进行漏洞扫描,漏洞扫描报告能对识别的漏洞信息进行分类、分级和统计,指出可能存在的风险及建议的改进方法;根据漏洞识别结果和安全策略修补系统漏洞,完成漏洞修补后对系统再次扫描确认,直至不可接受的漏洞都被修补。
2.1.3.7病毒防护
在互联网入口处部署病毒防护设备,实现对来自互联网的恶意代码的有效防护;在主机层和网络层部署不同厂商的病毒防护系统,以提高综合的防护能力;对病毒库进行及时升级,并根据需要升级病毒防护系统的版本;采用恶意代码实时监控和定期查杀相结合的方式对系统进行安全防护。
2.1.3.8代码安全
系统对动态网页和静态网页的真实性和完整性提供有效防护,防止被非法篡改;后台数据库使用参数化查询,严格定义数据库用户的角色和权限;系统对用户提交的所有表单、参数进行有效的合法性判断和非法字符过滤,防止攻击者实施SQL语句注入、跨站脚本、XML注入、HTTP Head注入等注入类攻击;系统对任何用户输入数据必须首先校验其长度,防范由于长度越界引起的缓冲区溢出漏洞,分配内存判断返回值,内存操作特别是内存拷贝必须检查长度是否超出分配内存的大小防止内存堆栈溢出漏洞;系统不调用外部命令处理程序,对调用数据要进行验证,在需要调用外部处理程序时应验证输入数据是否合法,防范外部程序调用漏洞;
在源代码开发中要求遵循安全开发规范,防止目录、文件名恶意构造性漏洞以及其他常见漏洞。
2.1.3.9数据安全
系统对关键数据在存储、传输过程中进行加密处理,其加密算法和密钥强度应符合相关要求;系统存储备份规则参见《存储与备份管理规则》。
2.1.3.10账号实名制
落实账号实名制,对平台已有账号进行梳理实名,停用或调整岗位调离的人员账号,新建用户账号需实名登记。
2.2运行维护
2.2.1 系统运维应制定安全检查计划和方案,对系统进行定期安全检查,根据检查结果进行安全整改;
2.2.2 在发生特殊事件或特殊时期对系统进行安全检查和整改,保障系统的安全稳定运行,当发生重大变更后进行安全检查和整改,确保安全防护的持续一致性;
2.2.3 安全检查应根据安全配置基线、漏洞识别等具体要求进行,定期安全检查和不定期检查的结果根据检查内容或日期等相关性进行复用;
2.2.4 对应用系统的运行状态和安全防护状态进行监控,运行状态的监控包括应用系统的可用性和运行负载,安全防护监控包括网络攻击、访问控制、操作审计、病毒防护等;
2.2.5 对应用系统的运行状态及信息安全事件进行告警、分析和统计。
3 附则
3.1本规则自发布之日起生效。
3.2本规则最终解释权归平台运营商所有。
3.3平台运营商将保留适时修订本规则或补充规则并进行公示的权利,修订后的规则或相关补充规则于本网站公示之日起生效或公示内容中指定的日期生效。自生效之日起,本规则对平台上相关各方均具有法律约束力。