大连长丰实业总公司-主数据管理平台保密改造项目需求公告

主数据管理平台保密改造

项目需求公告

一、总体目标

对现有主数据管理平台进行全面的保密性增强改造，确保在满足业务需求的同时，严格遵守国家法律法规和行业标准对于信息安全的要求。通过实施访问控制机制、审计跟踪以及数据泄露防护措施，提升平台的数据安全性和隐私保护水平，从而有效防范未经授权的数据访问、使用和泄露风险。同时，将优化平台的安全架构与流程，以实现更高的安全性能和更便捷的合规管理，为各部门提供一个安全可靠的数据共享环境。

改造后的主数据管理平台应具备良好的可扩展性和兼容性，能够支持未来业务发展的需要，并与现有的IT系统无缝集成，确保最小化对日常业务运作的影响。

二、功能需求

1.改造总体要求

目前问题：数据资产、接口、流程等无密级匹配规则，无法做到按照主体类别、客体类别进行涉密信息和重要信息的访问控制，无法实现禁止**低传、禁止低密级人员访问**级涉密信息。

改造要求：按照《涉密信息系统测评审查管理规定》中知悉范围管理要求，对系统中人员账户添加密级属性，对各类数据资产、接口、流程等添加密级属性；设置密级匹配规则，确保低密级人员不可查看、处理、流转**级数据、流程等，做到禁止**低传、**低知。

目前问题：系统管理与业务操作权限未严格分离。不符合《涉密信息系统测评审查管理规定》中对应用系统三员的相互独立的管理要求。

改造要求：管理账户与普通用户账户权限严格分离，管理员只拥有管理、配置、授权、审计等权限，用户只拥有业务处理权限。

应用系统运行维护由三员负责支撑应用系统正常运行的操作系统、数据库和中间件的运行管理工作。

目前问题：未按照涉密应用系统建设要求明确涉密应用系统三员（即系统管理员、安全保密管理员、安全审计员）三员职责划分不明确，且功能交叉，不符合涉密应用系统测评管理要求。

改造要求：按照《涉密信息系统测评审查管理规定》要求，在涉密系统中根据功能和职责不同，划分应用系统三员，确定应用系统三员的人员分工。

1.1一般用户要求

一般用户：具能够根据自身数据****超**相关涉密等级数据资产。低密人员申请**人员时，必须发起相关可配置流程后，进行期限授权。

数字化项目管理员：除具备一般用户相关要求的前提下，对数据服务模块中的应用管理系统管理功能的权限，能够创建用户、维护组织机构、用户角色、用户权限、监控流程状态、审计用户行为等。根据信息安全要求，系统管理用户分为系统管理员、安全保密管理员及安全审计员。

1.2安全保密拓扑图

系统的部署服务器环境为独立专用服务器，部署在本单位涉密服务器域内，面向全体用户提供服务。系统通过在核心交换机、对内服务器交换机、防火墙上设置访问控制规则，对用户的访问行为进行管控和审计。应将用户终端的IP与系统进行绑定，确保不发生漂移登录的情况。

存在问题：目前终端IP未予与账号绑定，存在漂移登录的情况。

改造要求：用户属性中增加IP字段，通过用户账号与登录IP 的绑定，限制漂移登录的情况。防火墙的访问控制规则应细化到具体地址和端口。

2. 应用系统安全保密要求

2.1 身份鉴别要求

2.1.1 用户身份鉴别

系统中用户账户与用户终端IP地址进行绑定，确保访问系统的用户必须为合法用户，且不可漂移登录。访问控制由系统根据系统角色规划及业务管理权限列表进行控制，系统中已注销的用户不允许登录系统。

用户的身份标识符（系统账户）由系统管理员统一生成，并确保身份标识符在系统内全生命周期的唯一性。用户权限由安全保密管理员进行分配，按照满足工作需要的最小权限进行配置，提**全性。

2.1.2三员身份鉴别

在系统中划分三员，三员职能不可交叉和替代，三员管理分为系统管理员、安全保密管理员、安全审计员，三员权限能够相互制约、相互监督，避免由于权限过于集中带来的安全风险。

系统管理员、安全保密管理员和安全审计员之间具体的管理分工如下：

系统管理员：负责系统的日常运行维护工作，包括系统运行状态监控、流程定制及监控、组织机构及用户的创建及维护等；

安全保密管理员：负责系统的日常安全保密管理工作，包括用户角色的维护、用户权限的分配与撤销、普通用户及安全审计员的操作行为审计等；

安全审计员：负责对上述两员的操作行为审计跟踪、分析和监督检查。通过日志信息来审计系统管理员、安全保密管理员的操作及权限管理日志。

2.1.3重鉴别

在系统中，用户在身份鉴别成功后空闲操作时间超过10分钟需要重新进行身份鉴别，系统可提示“登录已超时”或其它提示语。需要重新登录系统，以便保护涉密数据信息,防止数据被窃取。

存在问题：目前系统无操作超时重鉴别机制，需设置重鉴别时间为10分钟。

改造要求：设置重鉴别时间为10分钟，身份验证失败的提示信息应当避免过于明确。**：可以使用“用户名和/或密码错误”，而不要使用“用户名错误”或者“密码错误”。

2.1.4鉴别方式

使用用户名+口令的形式进行登录，设置唯一登陆页面，对用户提交的任何内容进行可靠输入验证。

2.1.5鉴别失败

应具备登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。

当用户身份鉴别失败次数连续达到5次后，应采取控制措施，对用户账户进行锁定，只能由安全保密管理员恢复账号，或登录失败锁定一定期限后自动解锁，同时鉴别失败应形成审计事件并告警。

存在问题：目前系统身份鉴别的登录失败次数无限制（可选0，不限制）。

改造要求：更改为5次连续登录失败锁定账户（账户锁定后由安全保密管理员解锁），并形成审计事件；或登录失败锁定一定期限后自动解锁，如：锁定30分钟，并形成审计事件，目前锁定期限可选0（不限制），将取消。

2.1.6鉴别审计

存在问题：目前审计日志不记录鉴别失败的日志。

改造要求：系统自动记录用户的身份鉴别行为并存储在审计日志中，日志字段包括登录用户名、终端IP地址、登录时间、鉴别结果等。

2.1.7其他鉴别要求

通过规则加强口令复杂度的要求，密码长度应大于8位，要求使用大小写字母、数字或特殊符号两者以上的组合。输入的密码应当在用户的屏幕上模糊显示（**：******），为密码填写框禁用“记住密码”功能(浏览器自带的功能)。

应用系统正式启用前，应更改所有厂商提供的默认用户名和口令，或者禁用相关帐号。

存在问题：目前系统设置中，1.口令强度只可选强中弱（无具体要求说明）、2.初始口令可为6位、3.更改周期目前可选30天、90天、180天，4.口令更改可选新旧口令一致。

改造要求：1.增加上强中弱的要求说明；2.秘密级系统口令至少8为，初始口令更改为8位，且更改后口令至少8位；3.更改周期目前可选30天、90天、180天，因为是秘密级系统，改造成只允许30天；4.改造后口令更改进行有效性核查，不可新旧口令一致。

2.2访问控制设计要求

对用户访问系统内涉密信息和重要信息采用强制访问策略，按照主体类别、客体类别进行涉密信息和重要信息的访问控制，形成功能表和访问控制矩阵，当主体执行动作时，主体先确定可以访问的客体，系统检查访问控制矩阵来确保主体是否有适当的权限执行该动作，访问控制矩阵中主体控制到单个用户，客体控制到信息类别。

2.2.1访问控制策略说明

在系统中，严禁**级信息随意传递给低密级人员。

非涉密人员经领导审批后可处理不超过9份秘密级数据资产，系统内对非密人员处理的数据资产进行校验，超过9份/每年禁止处理。

数据服务授权时，非密系统原则上不允许使用涉密数据接口。如特殊情况需要使用，需按可配置流程进行审批。

2.2.2身份验证要求

所有的身份验证过程必须在服务器上执行，不得通过终端实现身份验证功能。

只采取POST而非GET请求传输身份验证的凭据信息，对特殊字符进行过滤，同时设置sessionld的cookie为HttpOnly，防止终端非授权获取。

2.3安全审计设计要求

采用安全审计技术，确保所有用户对涉密应用系统的访问行为和操作均纳入审计的范围。对用户的审计日志应包括用户登录审计、重要操作审计等。对管理员的审计日志应包括管理员的登录审计、建立和删除用户审计、用户授权审计等。应用系统安全保密管理员应定期（秘密级为每季度）审计用户登录和操作日志。应用系统安全审计员应定期（秘密级为每季度）审计应用系统系统管理员和应用系统安全保密员的登录和操作日志。

2.3.1审计日志

在系统中，安全审计应与身份鉴别、访问控制、信息完整性校验等安全功能的设计紧密结合，并为用户操作行为、系统管理行为及权限变更行为提供审计日志记录。

系统日志记录内容应包括以下属性：

操作功能模块名称、操作详细描述、操作者姓名、操作时间、IP地址、日志类别(此列无值)、操作结果状态、客户端类型、参数(此列无值)、返回值(此列无值)。

按要求补全缺少的日志项。

安全审计员审计前两员的操作日志，安全保密管理员审计普通用户和安全审计员的操作日志。

审计日志记录一旦生成，不允许任何人员对日志内容作任何篡改、伪造和非授权删除操作，只提供管理员查看操作，系统保证审计日志的保密性、完整性、一致性。

系统可审计事件要包括以下内容：

（1）系统内组织机构及用户的新增、修改和删除；

（2）用户角色及业务管理权限的分配、变更和撤销；

（3）用户实施的流程申请、审批等业务操作；

（4）系统三员实施的日志查阅等系统管理操作；

（5）用户登录、退出等身份鉴别操作；

（6） 其他与系统安全有关的可审计事件。

系统审计日志的分类及记录内容如下表所示。

2.3.2日志格式

系统审计日志中的操作时间以服务器的实际运行时间为准，从而保证了操作时间的有效性、正确性和统一性。日志记录的项目主要有：用户操作时间、用户姓名、所属部门、终端IP地址、操作模块和用户操作内容的详细记录。此记录可以导出excel文件进行备份存储。

审计记录存储在数据库中，保证系统异常不影响记录。

2.3.3日志检索

安全保密管理员及安全审计员可以对各自负责的系统审计日志进行各种形式的检索。

组织机构检索：管理员可以根据选择特定组织机构对系统审计日志进行检索；

业务类型检索：管理员可以不同的业务流程对系统审计日志进行检索；

时间检索：管理员可根据选取特定的时间段对系统审计日志进行检索；

组合检索：管理员可以通过以上多种检索方式的组合对系统审计日志进行检索。

2.3.4日志安全要求

防止在错误响应中泄露敏感信息，包括：系统的详细信息、会话标识符或者帐号信息。使用错误处理以避免显示调试或堆栈跟踪信息,使用通用的错误消息并使用定制的错误页面。

所有的日志记录控制应当在服务器上执行，日志记录控制应当支持记录特**全事件的成功或者失败操作。确保日志记录中包含的不可信数据，不会在查看界面或者软件时以代码的形式被执行。

不在日志中保存敏感信息，包括：不必要的系统详细信息、会话标识符或密码。限制只有授权的个人才能访问日志。使用加密哈希功能以验证日志记录的完整性。

应记录所有失败的输入验证；记录所有的身份验证尝试，特别是失败的验证；记录所有失败的访问控制；记录明显的修改事件，包括对于状态数据非期待的修改；记录连接无效或者已过期的会话令牌尝试；记录所有的系统例外；记录所有的管理功能行为，包括对于安全配置设置的更改；记录所有失败的后端TLS链接。

应避免日志和审计进程被未授权关闭，应避免审计记录遭到未预期的删除、修改或覆盖。

数据库用户设计要求

系统使用MySQL数据库，平台数据库用户不具备any类型及管理员权限，只赋予数据写入修改权限（insert，update，delete，create view，create table），数据查询权限(connect,select)。

数据库设置管理员，密码满足10位以上复杂性要求，建议由5706厂涉密信息系统系统管理员进行定期更换。通过采取技术措施和采用安全数据库等措施保障数据安全，定期通过漏洞扫描进行数据库安全扫描，并针对数据库风险及时修复。数据安全分为数据完整性及抗依赖性和数据库安全。

数据库应使用强类型的参数化查询方法。使用输入验证和输出编码，并确保处理了元字符。如果失败，则不执行数据库命令。当系统访问数据库时，应使用尽可能最低的权限。

应删除或者修改所有默认的数据库管理员口令，关闭所有不必要的数据库功能（**：不必要的存储过程或服务、应用程序包、仅最小化安装需要的功能和选项（表面范围缩减）），删除厂商提供的不必要的默认信息，禁用任何不支持业务需求的默认帐户。

3.业务功能优化

3.1.前端数据操作台功能开发

为了提升业务人员的工作效率，优化用户体验，计划在主数据管理平台上增加一个前端数据操作台。该操作台将允许用户直接通过图形界面进行元数据的创建、编辑，并对**表信息内的数据执行增、删、改、查等操作

具体需求：

元数据创建：提供直观的用户界面，让业务人员能够轻松定义和创建新的元数据结构（如表格、字段类型、约束条件等）。

数据操作权限控制：实现基于角色的访问控制（RBAC），确保只有授权用户才能对特定数据执行相应的操作。

CRUD功能支持：确保用户可以在界面上对数据进行创建(Create)、读取(Read)、更新(Update)和删除(Delete)操作。

实时反馈：操作后立即显示结果，提供**的用户提示和错误处理机制。

审计跟踪：记录所有数据变更活动，以便追溯和审查。

3.2.数据集成流向图开发

背景与目标：

为提高数据透明度，帮助用户更好地理解数据流转过程，需开发数据集成流向图功能。此功能应能以可视化形式展示业务数据的流动路径及调用信息的数量统计，并支持进一步的交互式探索。

具体需求：

实时数据流展示：动态展示当前的数据流向，包括来源、目的地以及中间节点，确保信息是最新的。

跳转或下钻能力：用户点击任意节点可获得更详细的子流程视图或相关联的数据记录。

调用信息统计：展示每个步骤中涉及的数据调用次数、成功/失败率等关键性能指标。

自定义布局：允许用户根据需要调整图表布局，保存常用视图设置。

导出功能：支持将流向图及其统计数据导出为图片或文档格式，便于报告和分享。

3. 3流程功能系统集成

****中心的无缝对接，简化业务流程管理，确保所有提交的流程都能得到及时有效的处理，并且状态变化可以被准确地回传至主数据管理平台。

具体需求：

流程提交接口：开发API用于打包并发送待****中心，确保传输的安全性和完整性。

状态同步机制：设计一套机****中心的状态更新（如撤回、拒绝、中止、作废），并在主数据管理平台中相应地更新记录。

流程监控面板：提供一个清晰的界面来查看正在处理中的流程及其当前状态，方便管理员追踪进度。

通知系统：当流程状态发生变化时，自动通知相关人员，促进快速响应。

历史记录保持：维护完整的流程历史，包括每次状态变更的时间戳和原因，为后续分析提供依据。