阿里云安全防护方案
1.1边界安全
1.1.1边界描述
边界安全防护目标是保证边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击;在发生安全事件前期能够通过对安全日志及入侵检测事件的分析发现攻击企图,安全事件发生后提供入侵事件记录以进行审计追踪
1.1.2边界安全
对信息内网纵向边界和信息内网横向边界,利用云防火墙边界安全防护设备,配置访问控制、入侵检测、日志记录和审计等安全策略,实现边界隔离和安全防护。
边界类型
安全要求
等级
实现方式及措施
是否符合
用户域
边界
网络访问控制
二级要求
1.部署防火墙,开启相关策略,实现不同域间的访问控制
2.针对业务系统间数据交互制定访问控制策略,细化至端口级别
3.启用基于单个用户的网络访问控制
安全审计
二级要求
4.配置网络设备的运行状况、网络流量、用户行为等日志记录,记录信息包括:事件的日期和时间、用户、事件类型、事件是否成功等,生成审计报表并审计分析。
5.日志记录至少存储六个月。
增强防护措施
信息内网横向域间边界
网络访问控制
二级要求
1.部署防火墙,开启相关策略,实现边界访问控制
2.启用基于端口的网络访问控制
实现方式及措施:配置用户策略,限定访问用户仅限于北京电力公司内网用户,同时配置好用户权限,利用现有防火墙访问控制策略,只允许特定端口连接,拒绝非授权访问
3.启用基于单个用户的网络访问控制
安全审计
二级要求
4.配置网络设备的运行状况、网络流量、用户行为等日志记录,记录信息包括:事件的日期和时间、用户、事件类型、事件是否成功等,生成审计报表并审计分析。
5.日志记录至少存储六个月。
边界完整性检查
二级要求
6.采用桌面终端安全管理系统、IP/MAC地址绑定等技术手段进行接入认证和控制,并阻断非授权设备的接入。
增强防护措施
云漏洞扫描,主要针对资产漏洞、网页篡改、挂马暗链、敏感、违规违法内容检测、全面发现关联资产。
1.2应用安全
在系统服务器端,主要需要实现身份鉴别、授权、输入输出验证、配置管理、会话管理、加密技术、参数操作、异常管理、日志与审计等安全功能。其中系统管理用户的身份鉴别和授权基于系统开发配置策略来实现
安全要求
等级
实现方式及措施
是否符合
身份鉴别
认证方式
二级要求
1.基于公司统一权限平台进行身份标识鉴别。
2.采用数字证书进行身份鉴别时,应使用国网CA系统签发的数字证书。涉及第三方业务的系统,可采用国家主管机构认证的第三方数字证书。
实现方式及措施:未采用数字证书方式,本系统通过统一权限平台进行身份认证。
口令安全
二级要求
3.账号要实名制创建,保证账号可追溯。
云数据库服务
4.根据用户账号使用周期区分长期账号和临时账号;根据账号使用状态区分激活账号、休眠账号和已注销账号。
5.仅授权的管理员配置账号扫描策略,依据策略定期自动扫描账号,并对3个月及以上未使用的账号进行锁定或将其转为休眠账号。
6.提供鉴别信息复杂度检查功能,用户口令长度不小于8位,为大写字母、小写字母、数字、特殊字符中的三种或三种以上的组合;用户名和口令不相同。
7.强制要求用户定期(至少3个月一次)修改口令,且修改前后不能完全一样。
8.为每个用户创建独立且满足复杂度要求的初始口令,并通过邮件或其他安全渠道发送给用户;第一次登录系统时要修改分发的初始口令,并定期更换
9.保证除系统管理员外的用户只能修改自己的口令,不能修改其他用户的口令。
10.保证已登录系统的用户在执行敏感操作时被重新鉴别。
11.口令不明文存储和传输,使用密码技术加密存储和传输。
实现方式及措施基于统一权限平台实现口令加密传输和存储。
登录失败
二级要求
12.提供登录失败处理功能,对24小时之内登录失败次数达到设定值(1-10次之内)的用户账号进行锁定,用户锁定时间至少为20分钟。
实现方式及措施对24小时登录失败次数3次(该值可设置)的用户账号进行锁定,用户账号被锁定后,需管理员进行解锁才能使用
身份标识
二级要求
13.提供用户身份标识唯一检查功能,保证应用系统中不存在重复用户身份标识。
增强防护措施
Web应用防火墙(WAF)对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。