14 KiB
14 KiB
苏州教育E卡通数据安全运维方案
前言
本方案基于苏州教育E卡通平台的实际运维需求,旨在建立一套实用、可操作的数据安全管控体系。聚焦于解决实际工作中真正存在的风险问题。
本手册适用于所有参与平台运维、管理的人员,包括但不限于系统管理员、客服人员、学校管理人员等。
一、风险分级体系
1.1 三级操作分类
等保三级依据:根据GB/T 22239-2019要求,对不同风险的操作采取相应控制措施。
关键操作
识别标准:
- 系统核心配置修改
- 管理员用户权限分配
- 审计规则修改
- 批量数据处理(删改查)(≥50条)
- 系统重大运维调整
管控要求:
- 主管审批:事前纸质(电子档)审批流程
- 双人确认:一人操作,一人监督
- 双因素认证:密码+动态码,堡垒机或摄像记录
- 操作记录:详细日志记录
- 数据备份:执行前备份
重要操作
识别标准:
- 特殊敏感数据修改(身份证、家庭住址、监护人联系方式)
- 新生录入、注册报到等
- 账号创建和权限分配(非管理员,如班主任等)
管控要求:
- 主管审批:事后审核
- 双因素认证:重要操作时启用
- 操作确认:关键步骤二次确认
- 操作日志:完整记录操作链路
一般操作
识别标准:
- 学生零星信息查询(<50条)
- 系统状态查看
- 非敏感信息修改
- 补换卡订单处理
- 报表生成和统计
管控要求:
- 基本认证:用户名密码认证
- 操作记录:基础日志记录
- 访问控制:基于角色的权限控制
- 会话管理:超时自动退出
二、角色体系
2.1 核心角色定义
| 角色 | 主要职责 | 可操作范围 | 禁止操作 |
|---|---|---|---|
| 家长用户 | 查看自己孩子信息 | ✓ 查看基本信息 ✓ 修改联系方式 ✓ 查看卡状态 |
✗ 查看其他学生 ✗ 修改关键信息 ✗ 批量操作 |
| 班主任账号 | 管理本班级学生 | ✓ 新生录入 ✓ 修改本班数据 ✓ 本班数据查询 |
✗ 跨班查询 ✗ 批量导出 |
| 学校管理员 | 管理本校学生 | ✓ 新生录入 ✓ 修改本校数据 ✓ 本校数据查询 ✓ 注册报到 ✓ 调班 ✓ 创建班级 |
✗ 跨校查询 ✗ 批量导出 |
| 客服人员 | 处理补卡业务 | ✓ 查询单条学生信息 ✓ 处理补换卡订单 ✓ 查询卡状态 |
✗ 查看敏感信息 ✗ 修改数据 ✗ 批量导出 |
| 系统(区域)管理员 | 处理平台业务 | ✓ 信息修改 ✓ 敏感信息 ✓ 执行任务 ✓ 用户账号管理 |
✗ 参与业务审批 ✗ 单独操作 |
| 审核管理员 | 业务审核 | ✓ 业务审批 ✓ 信息查询 |
✗ 修改数据 ✗ 用户账号管理 ✗ 单独操作 |
| 安全审计管理员 | 安全审计 | ✓ 查看所有日志 ✓ 生成安全报告 ✓ 设置监控规则 ✓ 调查安全事件 |
✗ 修改业务数据 ✗ 执行业务操作 ✗ 查看敏感信息 ✗ 参与业务审批 |
| 系统运维人员 | 系统运维 | ✓ 服务器维护 ✓ 数据库备份 ✓ 执行审批脚本 |
✗ 查看业务数据 ✗ 参与业务审批 ✗ 单独操作 |
2.2 权限分离
核心原则:
- 操作与审核分离:操作人不能同时是审核人
- 技术与业务分离:系统运维人员不接触业务数据
- 监督与执行分离:安全管理员只监督不执行
| 操作类型 | 班主任和学校管理员 | 客服人员 | 系统管理员 | 安全管理员 | 审核管理员 | 系统运维人员 |
|---|---|---|---|---|---|---|
| 数据查询 | ✅(本班|本校) | ✅(单条) | ✅ | ✅(审计) | ✅ | ❌ |
| 数据修改 | ✅(本班|本校) | ❌ | ✅ | ❌ | ❌ | ❌ |
| 关键操作 | ❌ | ❌ | ✅(双人) | ❌ | ❌ | ❌ |
| 安全审计 | ❌ | ❌ | ❌ | ✅ | ❌ | ❌ |
| 业务审核 | ❌ | ❌ | ❌ | ❌ | ✅ | ❌ |
| 系统运维 | ❌ | ❌ | ❌ | ❌ | ❌ | ✅(双人) |
2.3 角色权限具体人员
| 角色 | 具体人员 |
|---|---|
| 系统管理员 | [市民卡-E卡通项目负责人] |
| 审核管理员 | [电教馆-E卡通负责人] |
| 安全审计管理员 | [电教馆-安全负责人] |
| 系统运维人员 | [市民卡-系统运维人员] |
| 客服 | [市民卡-客服人员] |
| 学校 | [学校-相关人员] |
三、统一的操作流程
3.1 标准三阶段流程
所有操作统一采用三阶段流程:
申请阶段 → 审批阶段 → 执行阶段
第一阶段:申请
- 操作人提交申请
- 系统自动检查权限
- 生成操作编号
第二阶段:审批
- 关键操作:需要双人确认(审批单)
- 重要操作:需要主管审批
- 一般操作:自动审批
第三阶段:执行
- 验证审批状态
- 执行操作
- 记录结果
四、权限控制和安全措施
4.1 访问控制管理
权限分配原则:
- 最小权限原则:每个角色只授予完成工作所需的最小权限
- 职责分离:关键操作需要多人协作完成
- 定期审查:每季度审查权限分配的合理性
权限分配流程:
-
申请阶段:
- 申请人填写《权限申请表》
- 部门主管初审同意
- 明确权限使用范围和期限
-
审批阶段:
- 一般权限:系统管理员直接审批
- 重要权限:需要安全管理员会签
- 关键权限:需要数据安全管理领导小组审批
-
授权阶段:
- 系统管理员执行权限分配
- 生成权限授权记录
- 通知申请人权限已生效
权限变更管理:
- 权限升级:按照新权限申请流程重新审批
- 权限降级:直接由系统管理员执行
- 权限回收:人员离职或岗位变动时立即回收
4.2 身份鉴别管理
登录认证要求:
不同风险等级的认证要求:
| 操作等级 | 认证方式 | 额外验证措施 |
|---|---|---|
| 关键操作 | 双因素认证 | 动态口令+生物特征 |
| 重要操作 | 双因素认证 | 动态口令+短信验证 |
| 一般操作 | 用户名密码 | 图形验证码 |
| 查询操作 | 用户名密码 | 无 |
登录安全控制:
- 登录失败处理:连续5次失败锁定账户30分钟
- 异常登录检测:异地登录、异常时间登录触发告警
- 会话管理:30分钟无操作自动退出,关键操作前重新认证
密码管理规范:
- 密码复杂度:至少8位,包含大小写字母、数字、特殊字符
- 密码更换周期:强制90天更换,提前7天提醒
- 密码历史:禁止使用最近5次使用过的密码
特殊情况处理:
- 忘记密码:通过绑定邮箱或手机号重置
- 账户锁定:联系安全管理员或客服人员解锁
- 紧急访问:启用应急账户,需双人确认使用
4.3 操作审计管理
审计范围:
必须审计的操作:
- 所有关键操作和重要操作
- 权限变更操作
- 批量数据操作(≥50条)
- 敏感信息访问(身份证、家庭住址、联系方式)
- 系统配置修改
- 异常登录尝试
- 数据导出操作
审计记录内容:
- 操作人信息:姓名、所属机构、角色
- 操作时间:精确到秒的时间戳
- 操作类型:增删改查、权限变更等
- 操作对象:具体的数据或功能模块
- 操作结果:成功或失败
- 操作参数:具体的输入数据(敏感信息脱敏)
- IP地址:操作来源地址
- 设备信息:操作设备标识
审计日志管理:
- 日志保存:至少保存3年,重要日志永久保存
- 日志完整性:采用数字签名防止篡改
- 日志查询:授权人员可按条件查询
- 日志分析:定期分析异常操作模式
审计报告制度:
- 日报:系统自动生成当日操作异常报告
- 周报:安全管理员汇总分析安全状况
- 月报:向数据安全管理领导小组汇报
- 年报:形成年度安全审计总结报告
4.4 账户密码管理
4.4.1 账户生命周期管理
默认账户清理机制:
- 建立默认账户清单,包括admin、root、system等常见默认用户名
- 严禁使用默认密码,新账户首次登录必须强制修改密码
- 定期扫描系统,确保没有遗漏的默认账户存在
账户定期审查流程:
- 每季度由安全管理员牵头进行账户全面审查
- 重点检查长期未登录(超过90天)的休眠账户
- 对业务变更产生的多余账户及时清理
- 建立账户责任人制度,每个账户都有明确的归属责任人
4.4.2 密码策略管理
密码复杂度标准:
- 最小长度8位,必须包含大写字母、小写字母、数字、特殊字符四类中的至少三类
- 禁止使用常见的弱密码,不能包含用户名等关联信息
密码生命周期管理:
- 强制90天更换密码,提前7天开始提醒
- 临时账户密码有效期不超过7天
4.4.3 登录安全控制
登录失败锁定策略:
- 连续5次登录失败自动锁定账户30分钟
- 记录所有登录失败的IP地址和时间
- 对异常IP地址进行监控和限制
会话安全管理:
- 用户登录后30分钟无操作自动退出
- 关键操作前需要重新验证身份
- 提供安全的退出功能,清除本地缓存信息
4.4.4 特殊账户管控
共享账户管理:
- 原则上禁止使用共享账户
- 特殊情况下需要的共享账户,必须经过安全管理员审批和登记
高权限账户管控:
- 系统管理员、审核管理员、系统运维等高权限账户实行双人管理
- 高权限账户操作必须经过审批流程或堡垒机、录屏等监控操作
- 定期审查高权限账户的必要性和权限合理性
4.4.5 账户安全管理责任
管理流程:
- 人员入职:班级教师、学校发起申请,学校、系统管理员创建账户,审核管理员审批
- 人员调动:及时调整账户权限和归属部门,系统管理员操作,审核管理员审批
- 人员离职:立即注销账户,回收所有访问权限,系统管理员操作,审核管理员审批
- 定期检查:每月生成账户安全报告,发现问题及时整改
五、监控和告警
5.1 告警规则
告警规则:
- 连续5次登录失败
- 未审批就执行的操作
告警处理:
- 系统自动发送告警
- 安全管理员15分钟内响应
- 记录处理结果
5.2 监控指标
核心监控指标:
- 登录成功率
- 操作执行成功率
- 异常操作数量
- 系统响应时间
六、数据备份
6.1 备份策略
简单的备份方案:
- 实时备份:关键数据实时同步 使用oracle ram 回闪备份技术进行实时备份
- 每日备份:全量数据备份 每日凌晨 导出 一份 dmp 文件
- 异地备份:备份到异地存储 备份文件同步到异地存储保存
- 保留期限:实时备份30天,每日备份1年
恢复策略:
- 快速恢复:关键数据15分钟内恢复
- 全面恢复:全量数据4小时内恢复
- 定期演练:每季度进行一次备份恢复演练
七、应急响应
7.1 应急流程
三级响应:
| 事件级别 | 响应时间 | 处理方式 |
|---|---|---|
| 一般事件 | 2小时内 | 在线处理 |
| 重要事件 | 30分钟内 | 紧急处理 |
| 重大事件 | 15分钟内 | 立即处理 |
八、培训和考核
8.1 培训内容
新员工培训(4小时):
- 手册内容和操作规范(2小时)
- 系统操作演示(1小时)
- 应急流程说明(1小时)
年度复训(2小时):
- 安全事件案例分析(1小时)
- 操作规范更新(1小时)
8.2 考核要求
- 每年1次操作规范考试
- 每半年1次应急演练
- 不合格人员重新培训
九、操作检查表
9.1 关键操作检查表
申请阶段:
- 操作目的明确
- 影响范围确认
- 申请人权限验证
审批阶段:
- 必要性评估
- 风险评估
- 备份方案确认
执行阶段:
- 双人确认(关键操作)
- 操作步骤按计划执行
- 结果验证
完成阶段:
- 操作记录保存
- 相关人员通知
- 异常情况处理
9.2 系统管理员操作检查表
操作前:
- 维护时间窗口确认
- 影响范围评估
- 备份完成确认
- 回滚方案准备
操作中:
- 按计划执行
- 每步确认结果
- 异常情况记录
操作后:
- 系统功能验证
- 性能检查
- 操作记录归档
十、附录
附录A:角色申请表
申请编号: [自动生成]
申请人: [姓名]
所属部门: [部门]
申请角色: [角色名称]
申请原因: [详细说明]
申请权限:
□ 查询权限
□ 修改权限
□ 删除权限
□ 系统管理权限
申请人签字: _________ 日期: _________
部门主管审批: _________ 日期: _________
安全管理员审核: _________ 日期: _________
附录B:操作申请单
申请单编号: [自动生成]
申请时间: YYYY-MM-DD HH:MM
申请人: [姓名]
操作类型: [关键/重要/一般]
操作描述: [详细说明]
影响范围: [影响的人数/系统范围]
操作步骤: [简要步骤]
申请人签字: _________ 日期: _________
审批人签字: _________ 日期: _________
执行确认: _________ 日期: _________
附录C:应急响应记录表
事件编号: [自动生成]
发生时间: YYYY-MM-DD HH:MM
事件类型: [一般/重要/重大]
事件描述: [简要描述]
响应时间: ____分钟
处理过程: [简要记录]
处理结果: [成功/失败]
处理人签字: _________ 日期: _________
确认人签字: _________ 日期: _________
本手册自发布之日起执行,由数据安全管理领导小组负责解释和修订。