xx系统应用服务软件系统建设安全解决方案.docx
- 文档编号:1850967
- 上传时间:2022-10-24
- 格式:DOCX
- 页数:23
- 大小:230.39KB
xx系统应用服务软件系统建设安全解决方案.docx
《xx系统应用服务软件系统建设安全解决方案.docx》由会员分享,可在线阅读,更多相关《xx系统应用服务软件系统建设安全解决方案.docx(23页珍藏版)》请在冰豆网上搜索。
xx系统应用服务软件系统建设安全解决方案
xx公司xx系统
软件安全解决方案
1.系统架构
1.1总体架构
系统主要功能为通过网点邀约码,邀约客户参与广场比赛报名(邀约时需要校验邀约码是否正确,是否对应正确的网点)。
网点邀约成功后,跳转至添加队伍信息和队长个人信息界面,从而创建队伍和添加队长信息(添加加队伍信息时,需要上传队伍合照,并验证相关队伍信息和队长信息是否正确)。
通过队伍信息注成功后,队长分享注册队员信息链接,队员通过链接自行注册个人信息。
图一系统架构图
1.2逻辑技术架构
整个系统使用当前流行的前后分离开发模式;从逻辑上,将整个系统分为了四层结构,前端表现层、代理层、接口服务层、数据存储层;
主要技术为:
WEB层主要包含技术:
html、css、js等前端技术;
代理层:
nginx;
接口服务层主要使用:
springboot、swagger等技术;
数据资源主要使用:
MySQL。
图三系统架构图
为什么使用后台springboot作为后台开发框架?
SpringBoot特性
1.快速构建一个项目
2.方便对外输出各种形式的服务,如RESTAPI、WebSocket、Web、Streaming、Tasks
3.支持关系数据库和非关系数据库
4.支持运行期内嵌容器,如Tomcat、Jetty
5.强大的开发包,支持热启动(集成jenkins实现热部署)
6.自动管理依赖
1.3功能架构
从功能上,整个系统将包括如下几个大的功能模块:
1.移动端支持
2.服务接口设计
系统功能架构图如下图所示:
2.技术方案
2.1报名管理
移动端主要实现功能为通过网点邀约码,邀约客户参与广场比赛报名(邀约时需要校验邀约码是否正确,是否对应正确的网点)。
网点邀约成功后,跳转至添加队伍信息和队长个人信息界面,从而创建队伍和添加队长信息(添加加队伍信息时,需要上传队伍合照,并验证相关队伍信息和队长信息是否正确)。
通过队伍信息注成功后,队长分享注册队员信息链接,队员通过链接自行注册个人信息。
2.2网点邀约
通过网点邀约码,邀约客户参与广场比赛报名(邀约时需要校验邀约码是否正确,是否对应正确的网点)。
2.3队伍注册
网点邀约成功后,跳转至添加队伍信息和队长个人信息界面,从而创建队伍和添加队长信息(添加加队伍信息时,需要上传队伍合照,并验证相关队伍信息和队长信息是否正确)。
2.4队员注册
通过队伍信息注成功后,队长分享注册队员信息链接,队员通过链接自行注册个人信息。
3.总体方案设计
3.1设计原则
等级保护是国家信息安全建设的重要政策,其核心是对信息系统分等级、按标准进行建设、管理和监督。
对于中国邮政集团公司四川省分公司广场舞应用信息安全建设,应当以适度风险为核心,以重点保护为原则,从业务的角度出发,重点保护重要的业务系统,在方案设计中应当遵循以下的原则:
适度安全原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统;
技术管理并重原则
信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的,仅仅通过部署安全产品很难完全覆盖中国邮政集团公司四川省分公司广场舞应用所有的信息安全问题,因此必须要把技术措施和管理措施结合起来,更有效的保障中国邮政集团公司四川省分公司广场舞应用的整体安全性,形成技术和管理两个部分的建设方案;
分区分域建设原则
对信息系统进行安全保护的有效方法就是分区分域,由于信息系统中各个信息资产的重要性是不同的,并且访问特点也不尽相同,因此需要把具有相似特点的信息资产集合起来,进行总体防护,从而可更好地保障安全策略的有效性和一致性,比如把业务服务器集中起来单独隔离,然后根据各业务部门的访问需求进行隔离和访问控制;另外分区分域还有助于对网络系统进行集中管理,一旦其中某些安全区域内发生安全事件,可通过严格的边界安全防护限制事件在整网蔓延;
标准性原则
中国邮政集团公司四川省分公司广场舞应用信息安全保护体系应当同时考虑与其他标准的符合性,在方案中的技术部分将参考《信息安全技术信息系统等级保护安全设计技术要求》进行设计,在管理方面同时参考《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》以及27001安全管理指南,使建成后的等级保护体系更具有广泛的实用性;
动态调整原则
信息安全问题不是静态的,它总是随着中国邮政集团公司四川省分公司广场舞应用管理相关的组织策略、组织架构、信息系统和操作流程的改变而改变,因此必须要跟踪信息系统的变化情况,调整安全保护措施;
成熟性原则
本方案设计采取的安全措施和产品,在技术上是成熟的,是被检验确实能够解决安全问题并在很多项目中有成功应用的;
3.2参考标准
本方案根据国家提出的等级保护管理办法和实施指南,针对中国邮政集团公司四川省分公司广场舞应用的特点和安全建设需求,进行全面的安全保障规划,设计中重点参考的政策和标准包括以下两个部分:
3.2.1信息系统安全等级保护标准和规范
本方案重点参考以下的的政策和标准:
指导思想
国务院147号令《中华人民共和国计算机信息系统安全保护条例》
中办[2003]27号文件(关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知)
公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)
公通字[2007]43号文件(关于印发《信息安全等级保护管理办法》的通知)
等级保护
GB17859-1999计算机信息系统安全保护等级划分准则
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》(简称《实施指南》)
GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》
系统定级
GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》(简称《定级指南》)
技术方面
《信息安全技术信息系统安全等级保护测评过程指南》(国标即将发布,简称《测评过程指南》)
管理方面
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求ISO/IEC27001信息系统安全管理体系标准
3.2.2其他信息安全标准和规范
ISO/IEC15408(CC):
《信息技术安全评估准则》。
该标准历经数年完成,提出了新的安全模型,是很多信息安全理论的基础。
GB/T18336:
等同采用ISO15408
ISO/IEC17799/BS7799-1:
《信息安全管理体系实施指南》。
这是目前世界上最权威的信息安全管理操作指南,对信息安全工作具有重要指导意义。
ISO/IEC13335,第一部分:
《IT安全的概念和模型》;第二部分:
《IT安全的管理和计划制定》;第三部分:
《IT安全管理技术》;第四部分:
《安全措施的选择》;第五部分:
《网络安全管理指南》。
GB9361:
《计算站场地安全要求》
公安部第51号令:
《计算机病毒防治管理办法》
《计算机信息系统安全专用产品检测和销售许可证管理办法》公安部令32号
《计算机信息网络国际联网安全保护管理办法》公安部
4.安全技术方案详细设计
4.1物理安全设计
4.1.1等保对物理安全防护的技术要求
根据对中国邮政集团公司四川省分公司广场舞应用机房区域安全保护等级达到安全等级保护三级S3A2G3的基本要求,因此中国邮政集团公司四川省分公司广场舞应用机房对物理安全的防护,应当符合以下技术要求:
1、物理位置的选择(G3)
Ø机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;
Ø机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
2、物理访问控制(G3)
Ø机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
3、需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
Ø应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
Ø重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
4、防盗窃和防破坏(G3)
Ø应将主要设备放置在机房内;
Ø应将设备或主要部件进行固定,并设置明显的不易除去的标记;
Ø应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;
Ø应对介质分类标识,存储在介质库或档案室中;
Ø应利用光、电等技术设置机房防盗报警系统;
Ø应对机房设置监控报警系统。
5、防雷击(G3)
Ø机房建筑应设置避雷装置;
Ø应设置防雷保安器,防止感应雷;
Ø机房应设置交流电源地线。
6、防火(G3)
Ø机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
Ø机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
Ø机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
7、防水和防潮(G3)
Ø水管安装,不得穿过机房屋顶和活动地板下;
Ø应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
Ø应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
Ø应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
8、防静电(G3)
Ø主要设备应采用必要的接地防静电措施;
Ø机房应采用防静电地板。
9、温湿度控制(G3)
Ø机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
10、电力供应(A2)
Ø应在机房供电线路上配置稳压器和过电压防护设备;
Ø应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。
11、电磁防护(S3)
Ø应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
Ø电源线和通信线缆应隔离铺设,避免互相干扰;
Ø应对关键设备和磁介质实施电磁屏蔽。
4.1.2对物理安全防护的技术实现
1、机房的物理安全实现
目前,机房在物理位置选择、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面均能够满足等级保护的基本要求。
在物理访问控制方面,虽然托管机房也设置了电子门禁系统和机房值守人员,但由于托管设备与其他单位设备共处一个区域内,存在一定不可控风险,这一风险的解决只能通过与托管机房管理机构的合同及保密协议来保障和约束。
2、机房的环境
Ø机房地址的选择和设计应考虑火灾、洪水、雷击、爆炸、骚乱及其他形式的自然或人为灾害导致的破坏,还应考虑相关的卫生、安全条例标准及周边的任何安全威胁;
Ø危险或易燃物品应安全存放,与安全区域保持一定的安全距离。
一般情况下,在安全区域内不得存放大量的、短期内不使用的材料和物品。
Ø备用设备和备份媒介应安置在与主场所保持安全距离的区域内,以防主场所发生灾难时可能造成的破坏;
Ø对设备、线缆标识进行清理、对未标识的设备或线缆进行标识,包括网络、机房所有设备、电线等;
Ø应按照专业标准安装并定期测试防盗入侵检测系统、防火探测警报系统、电视监视系统等安全设施;
Ø应定期对空调、UPS等基础设施进行维护保养;
Ø安装机房门禁系统、安装机房监控装置;
Ø使用符合国标要求的机房专用空调。
3、机房的边界
机房的物理保护可以通过在其安全区域周围设置若干物理关卡来实现。
安全边界是指那些可以建立这种关卡的实物,例如:
墙壁、门禁、接待处等。
安全边界的位置和强度取决于风险评估的结果。
建立安全边界的指导原则是:
Ø安全边界应被明确规定;
Ø安全边界在物理上应该非常坚固;
Ø应设立人工接待处或采取其他限制物理出入的措施,控制安全区域的进出;
Ø访问安全区域应仅限
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- xx 系统 应用服务 软件 建设 安全 解决方案