【正文】 功能模塊部署在信息外網(wǎng)。加強對部署在信息外網(wǎng)應(yīng)用的安全防護，避免營銷業(yè)務(wù)敏感信息的泄漏，以及成為黑客、計算機病毒的攻擊目標和跳板。理清營銷業(yè)務(wù)應(yīng)用與外圍接口模塊之間的邊界，針對不同的安全需求和安全風險，采取相應(yīng)的安全措施。：營銷業(yè)務(wù)應(yīng)用的安全不能完全依賴基礎(chǔ)環(huán)境和外圍安全設(shè)備的安全來保證。營銷業(yè)務(wù)應(yīng)用自身具備有效的認證、授權(quán)和審計機制；在權(quán)限分級和數(shù)據(jù)分類的基礎(chǔ)上，能夠?qū)﹃P(guān)鍵操作、敏感數(shù)據(jù)進行重點防護；同時對外部攻擊和濫用具備一定的檢測和防御能力。：針對不同的安全威脅和安全隱患，采用多種防護措施，多層次的加以保護，并加強不同層次之間的協(xié)同，建立一個完整的、縱深安全防護體系。：“三分技術(shù)，七分管理” ，完善安全防護的組織體系和制度建設(shè)，明確安全防護的責任與分工；加強安全運維和安全審計工作，根據(jù)安全風險的變化，持續(xù)改進安全防護策略；制定應(yīng)急響應(yīng)流程和事故處理流程，積極應(yīng)對突發(fā)安全事件。、數(shù)據(jù)安全和管理安全等方面的內(nèi)容，基礎(chǔ)環(huán)境的安全在建設(shè)中需要其他部門協(xié)助和配合，這里僅提出安全要求。 應(yīng)用安全設(shè)計 用戶管理與認證 與身份管理系統(tǒng)集成按照水電集團統(tǒng)一規(guī)劃，營銷業(yè)務(wù)應(yīng)用中的用戶管理和身份認證必需納入到統(tǒng)一權(quán)限平臺中，因此，在進行營銷業(yè)務(wù)應(yīng)用的設(shè)計時，為保證與統(tǒng)一權(quán)限平臺中的有效集成，必需符合統(tǒng)一權(quán)限平臺的相關(guān)要求。營銷業(yè)務(wù)應(yīng)用除具備支持身份認證系統(tǒng)的集成外，自身也應(yīng)該具備用戶管理的能力，認證策略不變。下面就其自身的用戶管理與認證的安全進行設(shè)計。 用戶屬性用戶具有的屬性包括：系統(tǒng)訪問口令、從屬的部門、從屬的角色組、系統(tǒng)的訪問權(quán)限、當前狀態(tài)等。可以設(shè)置用戶密碼強度、用戶登錄時間限制、用戶登錄嘗試次數(shù)、用戶鎖定/解鎖等。 用戶維護通過部門樹實現(xiàn)了對系統(tǒng)用戶的維護管理，包括：增加、系統(tǒng)登錄名稱修改、名稱修改、管理崗位設(shè)定、初始密碼設(shè)定、系統(tǒng)用戶刪除、部門調(diào)轉(zhuǎn)等。其中對于系統(tǒng)用戶的刪除，通過狀態(tài)標識而不是物理刪除處理，同時對系統(tǒng)用戶系統(tǒng)采用編碼綁定，即系統(tǒng)用戶一經(jīng)建立就分配其系統(tǒng)編碼，且不允許修改。 認證策略營銷業(yè)務(wù)應(yīng)用的使用者和維護者，根據(jù)職責的不同進行分類，并采用不同的認證方式：人員層次 人員角色 職責說明 認證方式?jīng)Q策分析層 領(lǐng)導(dǎo) 審批、考核、決策 用戶名＋口令；工作管理層 專責 工作計劃制定、任務(wù)分派、質(zhì)量考核、部分業(yè)務(wù)審批用戶名＋口令；營銷業(yè)務(wù)層 業(yè)務(wù)處理人員 營銷業(yè)務(wù)受理 用戶名＋口令；第三方 社會化代收、抄表公司代收費、抄表 數(shù)字證書； 用戶名＋口令；人員層次 人員角色 職責說明 認證方式運維負責人 領(lǐng)導(dǎo) 審批、考核、決策用戶名＋口令；服務(wù)器管理員 用戶名＋口令；數(shù)據(jù)庫管理員 用戶名＋口令；技術(shù)支持人員網(wǎng)絡(luò)（安全）管理員基礎(chǔ)設(shè)施運行維護操作用戶名＋口令；業(yè)務(wù)支持人員 專責 軟件變更、發(fā)布，權(quán)限用戶名＋口令；33 / 44軟件開發(fā)商 開發(fā)人員 軟件開發(fā) 臨時口令 權(quán)限管理與授權(quán)營銷業(yè)務(wù)應(yīng)用的業(yè)務(wù)權(quán)限管理設(shè)計思想是“系統(tǒng)管理和業(yè)務(wù)管理權(quán)限分開，分級授權(quán)，逐級管理” 。營銷業(yè)務(wù)應(yīng)用在操作上涉及到營銷部門的多個層次、多個專業(yè)、不同崗位的大量人員參與，同時通過有機的協(xié)作來完成特定的任務(wù)，這樣，用戶、組件以及權(quán)限就構(gòu)成了一個獨立于具體業(yè)務(wù)的體系，即系統(tǒng)的權(quán)限管理體系，這個體系與各業(yè)務(wù)操作密切相關(guān)，直接影響到業(yè)務(wù)操作的安全性和靈活性，并影響到各項業(yè)務(wù)的實現(xiàn)方式，因此在權(quán)限管理和授權(quán)上遵循“自上向下、逐級授權(quán)”并且具備權(quán)限繼承機制的應(yīng)用權(quán)限管理設(shè)計思想。 權(quán)限體系模型體系模型中的對象包括：? 用戶：系統(tǒng)的使用者；? 部門：企業(yè)組織機構(gòu)；? 權(quán)限項：系統(tǒng)中實現(xiàn)的各項業(yè)務(wù)功能；? 角色：執(zhí)行權(quán)限項的集合，業(yè)務(wù)權(quán)限授權(quán)對象。圖表：業(yè)務(wù)權(quán)限體系模型1．角色是對業(yè)務(wù)功能或操作授權(quán)的對象，從權(quán)限角度是權(quán)限項的集合，每個角色都對應(yīng)著固定的業(yè)務(wù)范圍，可以隨時根據(jù)業(yè)務(wù)的變化而制定。用戶的業(yè)務(wù)操作權(quán)限是依附于角色的，這樣當人員變動時或增加業(yè)務(wù)功能時，只需對人員重新賦予角色或者改變角色對應(yīng)的權(quán)限即可，角色作為業(yè)務(wù)運行權(quán)限分配的基礎(chǔ)。角色的劃分基礎(chǔ)是崗位。系統(tǒng)角色劃分設(shè)計如下圖： 角 色 部 門 管 理 員業(yè) 務(wù) 用 戶安 全 管 理 員業(yè) 務(wù) 管 理 員 添 加 用 戶分 配 業(yè) 務(wù) 授 權(quán) 權(quán) 限審 計 安 全 管 理 日 志審 計 業(yè) 務(wù) 操 作 日 志增 加 部 門 用 戶分 配 業(yè) 務(wù) 授 權(quán) 權(quán) 限分 配 業(yè) 務(wù) 授 權(quán) 權(quán) 限執(zhí) 行 業(yè) 務(wù) 操 作系 統(tǒng) 管 理 員圖表 1：基本角色規(guī)劃2．權(quán)限分配支持多級授權(quán)。分為：系統(tǒng)管理員、部門管理員、業(yè)務(wù)專業(yè)管理員、操作員，每個層次的功能都不相同，每個層次可以授權(quán)的對象都不同，做到了公司人員之間的很好“隔離” ，每個層次的人員只能訪問授權(quán)范圍內(nèi)的業(yè)務(wù)和數(shù)據(jù)，對其他不相關(guān)的信息無權(quán)訪問。在部門管理員層，可以根據(jù)部門的層次關(guān)系，形成分級管理，即上級部門通過授權(quán)給下級部門的管理員，下級部門的管理員可以針對下級部門的人員進行權(quán)限管理。3．各級組織結(jié)構(gòu)、操作員、權(quán)限應(yīng)具備相應(yīng)的管理功能，并通過統(tǒng)一的身份認證機制實現(xiàn)身份認證和權(quán)限控制。4．按照組織結(jié)構(gòu)對各屬地單位、部門、營業(yè)所（班）和操作員進行統(tǒng)一編碼，用戶號原則上不能刪除。5．采用分級的管理方式，提供分級別、分角色、分用戶、高安全性、易操作的安全保障，上一級可以設(shè)置下一級的管理權(quán)限，保證從上往下進行管理。6．權(quán)限設(shè)置必須由被授權(quán)的管理人員完成，管理員不能設(shè)置大于自身權(quán)限的權(quán)限。35 / 447．管理員角色只負責系統(tǒng)配置、權(quán)限管理，沒有業(yè)務(wù)操作權(quán)限。8．安全管理員角色負責對安全、審計信息的管理。9．任何用戶不能同時具有管理員角色和安全管理員角色。 權(quán)限管理部門管理通過樹狀層次化描述實現(xiàn)各業(yè)務(wù)、管理部門的維護功能，部門在權(quán)限管理體系中只是用戶的組織方式描述手段，即系統(tǒng)用戶的固有屬性之一，其主要用途是用來進行業(yè)務(wù)劃分及統(tǒng)計分析類應(yīng)用。角色（角色組）管理可分配的業(yè)務(wù)權(quán)限和業(yè)務(wù)授權(quán)權(quán)限取決于權(quán)限管理員的自身業(yè)務(wù)權(quán)限和業(yè)務(wù)授權(quán)權(quán)限。角色管理具體功能如下：? 角色維護管理：實現(xiàn)了對角色的增加、名稱修改、刪除管理。? 系統(tǒng)管理員管理：分配具有組管理功能的系統(tǒng)用戶。? 組內(nèi)系統(tǒng)用戶管理：由具有系統(tǒng)管理權(quán)限的系統(tǒng)用戶（組管理員）完成對組內(nèi)用戶的分配。? 組業(yè)務(wù)授權(quán)管理：由具有組管理權(quán)限的系統(tǒng)用戶（組管理員）完成組的業(yè)務(wù)權(quán)限分配和業(yè)務(wù)授權(quán)權(quán)限分配。業(yè)務(wù)組件管理采用插件化、組件式設(shè)計進行系統(tǒng)功能組織，通過對營銷應(yīng)用的分析構(gòu)造功能樹，業(yè)務(wù)管理就是對系統(tǒng)提供的功能組件進行維護。根據(jù)營銷業(yè)務(wù)進行功能分類和功能劃分并可進行分類組織和維護，根據(jù)需要具有增加、刪除、修改、查詢功能。授權(quán)權(quán)限管理授權(quán)權(quán)限管理實現(xiàn)了自上向下的逐級系統(tǒng)應(yīng)用功能授權(quán)權(quán)限分配，授權(quán)權(quán)限管理的操作對象為具有授權(quán)權(quán)限分配權(quán)限的系統(tǒng)用戶，即各級權(quán)限管理人員，授權(quán)權(quán)限可以分配給指定的系統(tǒng)用戶或角色組。業(yè)務(wù)授權(quán)管理業(yè)務(wù)組件是業(yè)務(wù)操作權(quán)限的授權(quán)對象，為角色賦予業(yè)務(wù)操作權(quán)限就是建立業(yè)務(wù)操作和角色之間的關(guān)系。業(yè)務(wù)授權(quán)管理由具有授權(quán)權(quán)限的系統(tǒng)用戶完成對具體系統(tǒng)用戶或角色組的業(yè)務(wù)訪問權(quán)限地分配管理。 訪問授權(quán)業(yè)務(wù)組件是實現(xiàn)具體業(yè)務(wù)操作的業(yè)務(wù)程序代碼模塊，每個業(yè)務(wù)組件都有業(yè)務(wù)相關(guān)的名稱。業(yè)務(wù)組件是業(yè)務(wù)操作權(quán)限的授權(quán)單元，為角色賦予業(yè)務(wù)操作權(quán)限就是建立業(yè)務(wù)操作和角色之間的關(guān)系。對營銷業(yè)務(wù)應(yīng)用的每類業(yè)務(wù)，指定需要的策略號，業(yè)務(wù)系統(tǒng)運行時，根據(jù)相應(yīng)策略執(zhí)行相關(guān)的安全行為，保證業(yè)務(wù)系統(tǒng)整體上安全高效地運行。 數(shù)據(jù)安全 數(shù)據(jù)備份與容災(zāi)數(shù)據(jù)物理備份與容災(zāi)部分，由阿里云平臺負責輔助完成，實現(xiàn)數(shù)據(jù)的定時備份。 業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)是電力營銷業(yè)務(wù)應(yīng)用正常運行的基礎(chǔ)，必須確保業(yè)務(wù)數(shù)據(jù)在傳輸、處理、存儲過程中的機密性、完整性和可用性。我們可以將其分為三類：? 關(guān)鍵敏感數(shù)據(jù)數(shù)據(jù)，與重要客戶的信息、資金流、資產(chǎn)流相關(guān)的數(shù)據(jù)? 普通業(yè)務(wù)數(shù)據(jù)，普通用戶一般業(yè)務(wù)處理的數(shù)據(jù)? 公開數(shù)據(jù)，停電通知、電力法規(guī)等公開發(fā)布的數(shù)據(jù)針對上述業(yè)務(wù)數(shù)據(jù)及其分類情況，具體保護措施如下：關(guān)鍵敏感數(shù)據(jù)? 關(guān)鍵敏感數(shù)據(jù)是應(yīng)該做到：登錄認證、嚴格授權(quán)、傳輸加密、數(shù)據(jù)實時備份；? 認證必須采用強認證方式，如數(shù)字證書、一次性口令、生物設(shè)備等；? 采用嚴格授權(quán)管理，使數(shù)據(jù)和程序免受無權(quán)用戶的恣意篡改；? 此類數(shù)據(jù)在傳輸時一定要加密，加密算法要選擇具有一定強度的；? 數(shù)據(jù)不在需要時要安全的刪除，銷毀或處置，不能因為數(shù)據(jù)為過時數(shù)據(jù)就隨意放置。? 對重點用戶的信息和營銷業(yè)務(wù)機密信息禁止從 inter 直接訪問。? 對關(guān)鍵業(yè)務(wù)數(shù)據(jù)的每一步操作（如電價表維護）都要記錄操作日志，以37 / 44備安全檢查。? 采用信息加密技術(shù)對客戶端和應(yīng)用服務(wù)器之間、銀電聯(lián)網(wǎng)的各環(huán)節(jié)之間傳輸?shù)臄?shù)據(jù)流進行加密處理，保證在網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)安全。? 能夠檢測到營銷業(yè)務(wù)數(shù)據(jù)在處理、傳輸、存儲過程中完整性是否受到破壞。? 對用電檢查管理、計量點管理、抄表管理、核算管理、資產(chǎn)管理、電能信息采集、電費收繳及帳務(wù)管理中涉及的數(shù)據(jù)完整性重點關(guān)注。普通業(yè)務(wù)數(shù)據(jù)對于普通業(yè)務(wù)數(shù)據(jù)，原則上這些信息應(yīng)該在公司內(nèi)部安全保管，如果它需要在公共媒體上傳輸（如互聯(lián)網(wǎng)上傳輸） ，應(yīng)該先進行加密，然后再傳輸。對網(wǎng)上營業(yè)廳，采用保密措施，避免用戶隱私信息的丟失、被盜，禁止從 inter 可以匿名訪問。公開數(shù)據(jù)公開數(shù)據(jù)是指停電通知、電力法規(guī)等公開發(fā)布的數(shù)據(jù)。對于公開數(shù)據(jù)信息，應(yīng)該做到數(shù)據(jù)備份。 終端訪問控制本設(shè)計中的終端包括業(yè)務(wù)終端、管理終端以及維護終端。 登錄管理多數(shù)攻擊行為突破應(yīng)用系統(tǒng)的用戶登錄過程，非法獲取進入應(yīng)用系統(tǒng)的帳戶并非法使用系統(tǒng)業(yè)務(wù)功能。應(yīng)用系統(tǒng)應(yīng)從以下幾個方面防御：? 關(guān)鍵敏感操作登錄請求處理過程必須通過 HTTPS 連接使用，防止密碼被從網(wǎng)絡(luò)上竊聽；? 登錄頁面要求輸入隨機生產(chǎn)的請求驗證碼，防止密碼猜測機器人攻擊；? 設(shè)置登錄重試次數(shù)限制，越限用戶被鎖定；? 限制用戶登錄時間；? 限制用戶登錄終端；? 密碼具有有效期；? 用戶密碼強度：位數(shù)，混合數(shù)字、字母、特殊字符等；? 加密算法應(yīng)采用單向加密運算；? Web 應(yīng)用系統(tǒng)的受保護 URL 資源必須登錄后才能訪問，不能存在訪問路徑繞過資源保護體系。另一方面，URL 資源被訪問時也應(yīng)主動檢查當前訪問用戶的有效性；? 用戶嘗試登錄、登錄、登出等過程都是系統(tǒng)審計內(nèi)容。 用戶會話管理? 用戶會話超時，對一定時間內(nèi)沒有和系統(tǒng)交互的用戶會話設(shè)置為失效；? 用戶登出(logout)后清除 HTTP 會話。防止登出后的遺留環(huán)境被攻擊者利用；? 限制每個用戶已登錄會話個數(shù)，即可限制用戶同時只能在系統(tǒng)中有一個登錄會話；? 限制每個用戶可同時訪問某業(yè)務(wù)操作的重復(fù)個數(shù)。防止多次發(fā)出相同業(yè)務(wù)操作請求，導(dǎo)致對應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器資源的過度請求；? 對于傳輸敏感類業(yè)務(wù)應(yīng)限制必須通過 HTTPS 協(xié)議訪問，應(yīng)用軟件支持通過修改系統(tǒng)配置指定哪些業(yè)務(wù)訪問必須采用 CA 證書認證，并通過 HTTPS 通信。 終端管理安全? 訪問營銷業(yè)務(wù)應(yīng)用的所有終端不得上互聯(lián)網(wǎng)；? 不可私自安裝軟件，尤其盜版軟件；? 不可私自安裝、使用 USB、光驅(qū)等設(shè)備；? 安裝防病毒軟件，打開防病毒軟件的實時監(jiān)控功能，并且保持病毒庫更新；? 打開操作系統(tǒng)自動更新功能，保持補丁更新；? 設(shè)置 BIOS 密碼、登陸密碼和登陸營銷業(yè)務(wù)應(yīng)用的密碼，并保持不同；? 密碼必須至少 8 位，必須包含大、小寫字母字符和數(shù)字字符；? 重要數(shù)據(jù)需要加密存放，并設(shè)定嚴格的訪問控制策略；? 離開工作站時，需要注銷用戶登錄，或者使用屏幕鎖定；? 用戶名和密碼不可以用各種形式張貼或記錄在工作區(qū)域；? 用戶名和密碼不可以用普通的文本文件儲存。