业务系统数据安全技术方案目录1. 业务数据安全平台建设总体方案 (3)1.1.业务系统数据安全解决方案 (3)1.1.1. 示范要点 (3)1.1.2. 建设内容 (3)2.技术设计方案 (12)1.业务数据安全平台建设总体方案1.1.业务系统数据安全解决方案1.1.1.示范要点(1)探索建立企业信息系统数据分级分类体系：研究系统化的数据分类分级保护。

(2)建立信息安全管理体系，建立企业信息系统保护规范、保护基线和检查办法、人员行为规范、信息安全事件应急响应规范，建立信息保护意识培训与宣贯机制和相关材料。

(3)建立新一代信息系统业务数据敏感标记策略和打标机制。

(4)建立企业信息系统保护的整体安全架构，其中整体安全策略、安全架构、安全基础设施和安全措施的设计,以及安全构件库的实现具有很大的参考性和推广价值，值得各相关机构借鉴，有利于形成信息保护的信息安全技术标准。

(5)信息保护相关安全设计、开发与测试知识库具有通用性，可以进行推广和培训，提升业系统研发人员的安全素质。

1.1.2.建设内容1.1.2.1数据分类分级策略建立企业信息系统数据分类分级体系：对业务数据进行梳理和识别，制定数据分类分级框架，形成数据分类分级列表，识别出重要业务敏感数据的类型、所属部门、CIA保护级别、存储方式、期限以及应采取的保护措施建议等。

1.1.2.2信息安全管理体系(1)建立信息安全管理规范，确定信息保护方面的总体安全策略、信息安全交换管理机制和信息安全技术防护与安全管理要求。

(2)建立信息保护基线与检查管理办法，确定信息保护最低技术要求和最低管理要求，以及相应检查项、检查方法和整体评估打分机制。

(3)建立人员安全行为规范，规范信息操作运维人员的行为，并建立相关个人信息保护奖励与处罚机制。

1.1.2.3数据敏感标记策略和打标机制根据现有的敏感数据传输、处理与存储机制，建立数据敏感标记策略，使得数据标记可以反映数据类别，CIA安全保护级别等。

建立敏感标记附加机制，绑定数据与标记，方便执行安全策略。

1.1.2.4企业信息系统总体安全架构设计和安全架构策略企业信息系统整体安全架构实现过程中需要考虑如下方面：●企业信息系统业务数据【旅客数据】分类分级策略●企业信息系统整体安全架构设计实现需要遵循的策略●企业信息系统整体安全架构设计需要简单化和有一定的经济性，将所有安全措施实现切分为通用安全措施实现和个性化安全措施实现，前者应归纳到安全基础设施中，后者作为嵌入到各子系统，单独编码实现。

●企业信息系统安全基础设施及其支撑安全运行的方式●企业信息系统主要安全措施及其与安全基础设施之间的关系图3-1-1企业信息系统整体安全架构设计示意图一图3-1-2 企业信息系统整体安全架构设计示意图二关注应用分区分层、纵深防御、差异化部署和安全访问策略，企业信息系统群的运行环境安全设计和自身安全设计。

（1）安全架构设计策略1)企业信息系统的分区分层。

分区是为了横向隔离各web前端，如各航空公司的专属系统，为了保证相互操作不会产生干扰，某个航空公司系统被攻击或沦陷后不影响其他航空公司的系统，需要采取有效设计对子系统系统以及子系统数据进行解耦，进行必要的子系统间的隔离。

企业信息系统分层是为了建立系统的整体纵深层次，在各个不同层次上添加不同的安全措施，使得同一威胁，有多个安全防护措施同时进行针对性防御。

目前已知的企业信息系统的网络安全层次为Internet区域、DMZ Web服务器区域和内网应用服务器层次，信任度逐渐升高，项目执行过程中可能会根据实际情况和安全需要划分更多的网络层次，使得不同网络层次专注不同网络威胁，并为后续的纵深防御打下基础。

对于数量庞大的web应用，将会根据其数据敏感属性、用户敏感属性、访问链路的安全级别进行归类分区，形成合理的基于云计算的web网站群分布格局，尽量缩小网络出口的数量，以利于后续的统一监测、统一管理和统一防范。

图3-1-3企业信息系统安全域划分示意图2)纵深防御策略。

单一安全防御措施经常因为设计不当、维护不当、硬件失效等原因无法永久有效的应对某类网络威胁，这种情况需要针对某类威胁具有多层次的防御措施，比如SQL注入攻击，可以在DMZ区域web服务器前端串接部署WAF设备，同时在应用程序内采取防SQL注入手段和报警与日志审计手段，如果前端的WAF安全功能失效，应用程序自身仍然可以抵御和发现该类攻击。

针对具体威胁的防护手段具有多种形式，主要可分为防御、检测和审计等形式，为了防御安全威胁，第一选择是防御措施，使得该攻击不产生不良后果；第二选择是检测措施，发现攻击的行为，及时报警、及时响应、及时阻断，也能够做到攻击影响最小化；第三选择是审计措施，通过对攻击行为和过程记录日志，并进行事后分析，还原攻击过程，确定攻击者身份，找出内部脆弱性，并追究攻击者法律责任，在某种程度上也能起到威慑和挽回损失的效果。

企业信息系统纵深防御会根据风险分析的结果，在多个网络层次上部署不同安全措施，形成全方位和立体化的防御体系。

3)攻击面最小化。

企业信息系统包含了不同安全级别的数据，并且面对了不同敏感度的用户。

从用户的体验角度出发，为用户提供全方位的接入方式和访问方式，如全天候的BYOD的支持，但从安全角度出发，需要对接入方式、访问方式进行限制，如某航空公司的Web应用，覆盖了航空公司所有业务操作内容，如航班控制、座位控制、用户管理、授权管理等内容，为了保证总体的安全性，并减少总体安全成本，总体设计要求用户管理和授权管理等操作需要VPN接入到内网进行操作，而那些不敏感的查阅操作，或影响较小的操作可以提供Internet访问方式。

通过这种方式规避了敏感业务暴露在Internet中产生的高风险。

为了实现攻击面最小化策略，需要对企业信息系统功能细分，根据其数据、业务和用户的敏感性，区别发布与部署，进而提供差异化的安全访问方式，而减少整体安全风险。

对于一些敏感的查询，需要控制每次的查询量和查询范围，有效降低数据泄露造成的影响面。

（2）企业信息系统在整体设计中包含的主要控制措施如下：1)身份管理，企业信息系统中包含了众多的用户，如航空公司用户、机场用户、代理商用户、以及越来越多的旅客用户和与航空公司形成战略合作关系的酒店、出租车、旅游景点用户等，用户，对这些用户进行全生命周期管理，不仅可以增加其对航空公司的价值，还能显著提高系统的安全性。

身份管理应至少支持身份创建、修改、挂失、激活、查询、冻结、备份、删除等功能。

应至少支持集中管理模式、自助管理模式和外部其他大客户自助管理模式。

企业信息系统的访问者还包括对端的服务器或客户端，此类机器或软件的身份也应纳入到身份管理范围。

2)权限管理，权限与用户关联，因为用户具有不稳定特征，权限时常发生变化。

通常权限的生命周期短于用户的生命周期，一个用户经常与多个权限关联，造成权限管理工作量远超过身份管理的工作量，权限管理的相关设计显得尤为重要，业界较为通用的RBAC权限管理模式具有适用范围广，高可扩展，并且可大幅降低权限管理的工作量。

系统将会采取RBAC权限管理模式，进行灵活授权。

权限管理也应该支持集中管理模式、公司自助管理模式和外部其他大客户自助管理模式。

3)身份认证，用户在使用系统前必须通过身份验证，由于web用户的类别复杂性和网络位置不确定性，企业信息系统将会提供多种身份认证模式，以适应这些复杂情况。

身份认证的脆弱性将会产生极高的安全风险，因此身份认证方式的多样性应该以不能影响企业信息系统的整体安全强度为前提。

企业信息系统中计划支持身份认证方式至少包括：口令认证、U盾【数字证书】认证、短信认证、及其三者之间的复合认证方式。

4)访问控制，未来的企业信息系统将会基于用户的角色进行访问控制，权限管理系统提供角色权限信息，应用功能负责调用通用的权限匹配决策接口进行访问控制。

访问控制将会从三个层次开展工作。

第一个层次为DMZ区web服务器层，通过配置防火墙策略、WAF策略、IPS策略、蜜罐策略、防篡改策略以及web服务器安全策略，应对该层次的主要威胁。

第二层为应用服务器层，通过应用自身安全设计实现、应用服务器安全策略、前端路由器和防火墙策略、防篡改策略、加解密策略、监控与日志审计策略和防火墙策略等，应对该层次的安全威胁，第三个层次为数据层，通过部署数据库自身安全策略，数据库审计策略、数据库多级备份策略等方式，应对本层次安全威胁，数据层还包括另外一个分支，即后台系统，主要是通过准入控制策略和数据安全策略应对本层次的安全威胁。

5)安全传输，安全传输需要防范各航空公司敏感数据外泄，同时还需要隔离各航空公司相关数据，防范相互干扰。

安全传输可能会涉及到各种不同技术，如HTTPS/SSL，VPN，应用层加密，专线等技术。

安全传输设计会根据不同场景运用不同技术，实现安全传输目标。

企业信息系统确立的安全传输策略为：●所有跨不安全等级网络连接均需要进行安全连接，如ALG访问后端系统。

●所有Internet连接均需要进行安全连接，如对ALG和APG的访问。

●所有外部相关机构的连接，在合规的前提下，应尽量考虑安全连接。

如CITA、公安部等单位的访问。

●所有共用物理信道的各航空公司的数据流，应进行逻辑隔离。

6)安全存储，企业信息系统的安全存储需要实现以下目的：●黑客即使窃取了数据也无法加以利用●保护内部运维人员，防范其意志不坚定，发生倒卖敏感数据的情况●对不同公司的数据实现逻辑隔离安全存储可能会涉及到加解密相关技术，还可能涉及到账户权限管理与访问控制，物理存储设备的物理隔离和逻辑存储的逻辑隔离。

安全存储设计内容只包括数据存储的隔离与加解密相关设计。

7)日志审计与监控，系统的日志审计能力应具有如下能力：●可还原用户各种访问会话，具有跨系统的日志信息整合能力，对用户行为可进行全方位的监控与审计。

●可掌握所有系统的状态信息，并可对系统运行状态进行实时显示和报警●可根据用户和系统的状态信息，判断是否发生的违规行为和攻击行为，并能引导运维或应急人员进行实时分析、快速阻断、及时恢复和完整取证。

8)抗抵赖，主要是指企业信息系统用户或运维人员对自己的操作行为负责，将会采取如下两种手段进行抗抵赖设计：●日志记录，通过对用户行为记录日志，并采取措施保障日志信息的完整性。

主体日志信息为文本信息，另外一种补充日志信息为视频信息，主要是针对一些极端重要场合，如运维人员的敏感操作。

●数字签名，用户的所有操作行为进行数字签名，前提是用户具有系统颁发的数字证书。

数字签名抗抵赖主要运用在财务相关操作上，如用户购买机票的在线付款操作。

9)系统完整性防护。

该项措施主要是保护信息系统的完整性，包括应用、操作系统和网络，主要是防止系统被篡改，注入病毒木马，或者恶意调整了系统结构。