note/work/教育E卡通/report_safe/教育E卡通数据安全管理方案.md

# 苏州教育E卡通数据安全运维方案

## 前言

本方案基于苏州教育E卡通平台的实际运维需求，旨在建立一套**实用、可操作**的数据安全管控体系。聚焦于解决实际工作中真正存在的风险问题。

本手册适用于所有参与平台运维、管理的人员，包括但不限于系统管理员、客服人员、学校管理人员等。

## 一、风险分级体系

### 1.1 三级操作分类

**等保三级依据**：根据GB/T 22239-2019要求，对不同风险的操作采取相应控制措施。

#### **关键操作**
**识别标准**：
- 系统核心配置修改
- 管理员用户权限分配
- 审计规则修改
- 批量数据处理（删改查）（≥50条）
- 系统重大运维调整

**管控要求**：
- **主管审批**：事前纸质（电子档）审批流程
- **双人确认**：一人操作，一人监督
- **双因素认证**：密码+动态码，堡垒机或摄像记录
- **操作记录**：详细日志记录
- **数据备份**：执行前备份

#### **重要操作**
**识别标准**：
- 特殊敏感数据修改（身份证、家庭住址、监护人联系方式）
- 新生录入、注册报到等
- 账号创建和权限分配（非管理员，如班主任等）

**管控要求**：
- **主管审批**：事后审核
- **双因素认证**：重要操作时启用
- **操作确认**：关键步骤二次确认
- **操作日志**：完整记录操作链路

#### **一般操作**
**识别标准**：
- 学生零星信息查询（<50条）
- 系统状态查看
- 非敏感信息修改
- 补换卡订单处理
- 报表生成和统计

**管控要求**：
- **基本认证**：用户名密码认证
- **操作记录**：基础日志记录
- **访问控制**：基于角色的权限控制
- **会话管理**：超时自动退出

---

## 二、角色体系

### 2.1 核心角色定义

| 角色 | 主要职责 | 可操作范围 | 禁止操作 |
|------|----------|------------|----------|
| **家长用户** | 查看自己孩子信息 | ✓ 查看基本信息<br>✓ 修改联系方式<br>✓ 查看卡状态 | ✗ 查看其他学生<br>✗ 修改关键信息<br>✗ 批量操作 |
| **班主任账号** | 管理本班级学生 | ✓ 新生录入<br>✓ 修改本班数据<br>✓ 本班数据查询 | ✗ 跨班查询<br> ✗ 批量导出 |
| **学校管理员** | 管理本校学生 | ✓ 新生录入<br>✓ 修改本校数据<br>✓ 本校数据查询 <br>✓ 注册报到 <br>✓ 调班 <br>✓ 创建班级 | ✗ 跨校查询<br>✗ 批量导出 |
| **客服人员** | 处理补卡业务 | ✓ 查询单条学生信息<br>✓ 处理补换卡订单<br>✓ 查询卡状态 | ✗ 查看敏感信息<br>✗ 修改数据<br>✗ 批量导出 |
| **系统（区域）管理员** | 处理平台业务 | ✓ 信息修改<br>✓ 敏感信息<br>✓ 执行任务<br>✓ 用户账号管理 | ✗ 参与业务审批<br> ✗ 单独操作 |
| **审核管理员** | 业务审核 | ✓ 业务审批<br>✓ 信息查询<br>  | ✗ 修改数据<br>✗ 用户账号管理<br>✗ 单独操作 |
| **安全审计管理员** | 安全审计 | ✓ 查看所有日志<br>✓ 生成安全报告<br>✓ 设置监控规则<br>✓ 调查安全事件 | ✗ 修改业务数据<br>✗ 执行业务操作<br>✗ 查看敏感信息<br>✗ 参与业务审批 |
| **系统运维人员** | 系统运维 | ✓ 服务器维护<br>✓ 数据库备份<br>✓ 执行审批脚本<br> | ✗ 查看业务数据<br>✗ 参与业务审批<br>✗ 单独操作 |

### 2.2 权限分离

**核心原则**：
- **操作与审核分离**：操作人不能同时是审核人
- **技术与业务分离**：系统运维人员不接触业务数据
- **监督与执行分离**：安全管理员只监督不执行


| 操作类型 | 班主任和学校管理员 | 客服人员 | 系统管理员 | 安全管理员 | 审核管理员|系统运维人员 |
|----------|----------|----------|------------|------------|------------|-----------|
| 数据查询 | ✅(本班｜本校) | ✅(单条) | ✅ | ✅(审计)| ✅ | ❌ |
| 数据修改 | ✅(本班｜本校) | ❌ | ✅ | ❌ | ❌| ❌ |
| 关键操作 | ❌ | ❌ | ✅(双人) | ❌ | ❌ | ❌|
| 安全审计 | ❌ | ❌ | ❌ | ✅ | ❌|❌ |
| 业务审核 | ❌ | ❌ | ❌ | ❌ | ✅|❌ |
| 系统运维 | ❌ | ❌ | ❌ | ❌ | ❌|✅(双人)

### 2.3 角色权限具体人员
| 角色 | 具体人员 |
|------|----------|
| 系统管理员 | [市民卡-E卡通项目负责人] |
| 审核管理员 | [电教馆-E卡通负责人] |
| 安全审计管理员 | [电教馆-安全负责人] |
| 系统运维人员 | [市民卡-系统运维人员] |
| 客服 | [市民卡-客服人员] |
| 学校 | [学校-相关人员] |




---

## 三、统一的操作流程

### 3.1 标准三阶段流程

**所有操作统一采用三阶段流程**：

```
申请阶段 → 审批阶段 → 执行阶段
```

#### **第一阶段：申请**
- 操作人提交申请
- 系统自动检查权限
- 生成操作编号

#### **第二阶段：审批**
- **关键操作**：需要双人确认（审批单）
- **重要操作**：需要主管审批
- **一般操作**：自动审批

#### **第三阶段：执行**
- 验证审批状态
- 执行操作
- 记录结果


---

## 四、权限控制和安全措施

### 4.1 访问控制管理

**权限分配原则**：
- **最小权限原则**：每个角色只授予完成工作所需的最小权限
- **职责分离**：关键操作需要多人协作完成
- **定期审查**：每季度审查权限分配的合理性

**权限分配流程**：
1. **申请阶段**：
   - 申请人填写《权限申请表》
   - 部门主管初审同意
   - 明确权限使用范围和期限

2. **审批阶段**：
   - **一般权限**：系统管理员直接审批
   - **重要权限**：需要安全管理员会签
   - **关键权限**：需要数据安全管理领导小组审批

3. **授权阶段**：
   - 系统管理员执行权限分配
   - 生成权限授权记录
   - 通知申请人权限已生效

**权限变更管理**：
- **权限升级**：按照新权限申请流程重新审批
- **权限降级**：直接由系统管理员执行
- **权限回收**：人员离职或岗位变动时立即回收

### 4.2 身份鉴别管理

**登录认证要求**：

**不同风险等级的认证要求**：

| 操作等级 | 认证方式 | 额外验证措施 |
|----------|----------|--------------|
| 关键操作 | 双因素认证 | 动态口令+生物特征 |
| 重要操作 | 双因素认证 | 动态口令+短信验证 |
| 一般操作 | 用户名密码 | 图形验证码 |
| 查询操作 | 用户名密码 | 无 |

**登录安全控制**：
- **登录失败处理**：连续5次失败锁定账户30分钟
- **异常登录检测**：异地登录、异常时间登录触发告警
- **会话管理**：30分钟无操作自动退出，关键操作前重新认证

**密码管理规范**：
- **密码复杂度**：至少8位，包含大小写字母、数字、特殊字符
- **密码更换周期**：强制90天更换，提前7天提醒
- **密码历史**：禁止使用最近5次使用过的密码

**特殊情况处理**：
- **忘记密码**：通过绑定邮箱或手机号重置
- **账户锁定**：联系安全管理员或客服人员解锁
- **紧急访问**：启用应急账户，需双人确认使用

### 4.3 操作审计管理

**审计范围**：

**必须审计的操作**：
- 所有**关键操作**和**重要操作**
- 权限变更操作
- 批量数据操作（≥50条）
- 敏感信息访问（身份证、家庭住址、联系方式）
- 系统配置修改
- 异常登录尝试
- 数据导出操作

**审计记录内容**：
- **操作人信息**：姓名、所属机构、角色
- **操作时间**：精确到秒的时间戳
- **操作类型**：增删改查、权限变更等
- **操作对象**：具体的数据或功能模块
- **操作结果**：成功或失败
- **操作参数**：具体的输入数据（敏感信息脱敏）
- **IP地址**：操作来源地址
- **设备信息**：操作设备标识

**审计日志管理**：
- **日志保存**：至少保存3年，重要日志永久保存
- **日志完整性**：采用数字签名防止篡改
- **日志查询**：授权人员可按条件查询
- **日志分析**：定期分析异常操作模式

**审计报告制度**：
- **日报**：系统自动生成当日操作异常报告
- **周报**：安全管理员汇总分析安全状况
- **月报**：向数据安全管理领导小组汇报
- **年报**：形成年度安全审计总结报告
### 4.4 账户密码管理
#### 4.4.1 账户生命周期管理
  默认账户清理机制：
  - 建立默认账户清单，包括admin、root、system等常见默认用户名
  - 严禁使用默认密码，新账户首次登录必须强制修改密码
  - 定期扫描系统，确保没有遗漏的默认账户存在

  账户定期审查流程：
  - 每季度由安全管理员牵头进行账户全面审查
  - 重点检查长期未登录（超过90天）的休眠账户
  - 对业务变更产生的多余账户及时清理
  - 建立账户责任人制度，每个账户都有明确的归属责任人

####  4.4.2 密码策略管理

  密码复杂度标准：
  - 最小长度8位，必须包含大写字母、小写字母、数字、特殊字符四类中的至少三类
  - 禁止使用常见的弱密码，不能包含用户名等关联信息

  密码生命周期管理：
  - 强制90天更换密码，提前7天开始提醒
  - 临时账户密码有效期不超过7天

####  4.4.3 登录安全控制

  登录失败锁定策略：
  - 连续5次登录失败自动锁定账户30分钟
  - 记录所有登录失败的IP地址和时间
  - 对异常IP地址进行监控和限制

  会话安全管理：
  - 用户登录后30分钟无操作自动退出
  - 关键操作前需要重新验证身份
  - 提供安全的退出功能，清除本地缓存信息

####  4.4.4 特殊账户管控

  共享账户管理：
  - 原则上禁止使用共享账户
  - 特殊情况下需要的共享账户，必须经过安全管理员审批和登记

  高权限账户管控：
  - 系统管理员、审核管理员、系统运维等高权限账户实行双人管理
  - 高权限账户操作必须经过审批流程或堡垒机、录屏等监控操作
  - 定期审查高权限账户的必要性和权限合理性

####  4.4.5 账户安全管理责任

  管理流程：
  - 人员入职：班级教师、学校发起申请，学校、系统管理员创建账户，审核管理员审批
  - 人员调动：及时调整账户权限和归属部门，系统管理员操作，审核管理员审批
  - 人员离职：立即注销账户，回收所有访问权限，系统管理员操作，审核管理员审批
  - 定期检查：每月生成账户安全报告，发现问题及时整改


---

## 五、监控和告警

### 5.1 告警规则

**告警规则**：
- 连续5次登录失败
- 未审批就执行的操作

**告警处理**：
1. 系统自动发送告警
2. 安全管理员15分钟内响应
3. 记录处理结果

### 5.2 监控指标

**核心监控指标**：
- 登录成功率
- 操作执行成功率
- 异常操作数量
- 系统响应时间

---

## 六、数据备份



### 6.1 备份策略

**简单的备份方案**：
- **实时备份**：关键数据实时同步 使用oracle ram 回闪备份技术进行实时备份
- **每日备份**：全量数据备份     每日凌晨 导出 一份 dmp 文件
- **异地备份**：备份到异地存储    备份文件同步到异地存储保存
- **保留期限**：实时备份30天，每日备份1年

恢复策略：
- **快速恢复**：关键数据15分钟内恢复
- **全面恢复**：全量数据4小时内恢复
- **定期演练**：每季度进行一次备份恢复演练


---

## 七、应急响应

### 7.1 应急流程

**三级响应**：

| 事件级别 | 响应时间 | 处理方式 |
|----------|----------|----------|
| **一般事件** | 2小时内 | 在线处理 |
| **重要事件** | 30分钟内 | 紧急处理 |
| **重大事件** | 15分钟内 | 立即处理 |


---

## 八、培训和考核

### 8.1 培训内容

**新员工培训**（4小时）：
- 手册内容和操作规范（2小时）
- 系统操作演示（1小时）
- 应急流程说明（1小时）

**年度复训**（2小时）：
- 安全事件案例分析（1小时）
- 操作规范更新（1小时）

### 8.2 考核要求

- 每年1次操作规范考试
- 每半年1次应急演练
- 不合格人员重新培训

---

## 九、操作检查表

### 9.1 关键操作检查表

**申请阶段**：
- [ ] 操作目的明确
- [ ] 影响范围确认
- [ ] 申请人权限验证

**审批阶段**：
- [ ] 必要性评估
- [ ] 风险评估
- [ ] 备份方案确认

**执行阶段**：
- [ ] 双人确认（关键操作）
- [ ] 操作步骤按计划执行
- [ ] 结果验证

**完成阶段**：
- [ ] 操作记录保存
- [ ] 相关人员通知
- [ ] 异常情况处理

### 9.2 系统管理员操作检查表

**操作前**：
- [ ] 维护时间窗口确认
- [ ] 影响范围评估
- [ ] 备份完成确认
- [ ] 回滚方案准备

**操作中**：
- [ ] 按计划执行
- [ ] 每步确认结果
- [ ] 异常情况记录

**操作后**：
- [ ] 系统功能验证
- [ ] 性能检查
- [ ] 操作记录归档

---

## 十、附录

### 附录A：角色申请表

```
申请编号: [自动生成]
申请人: [姓名]
所属部门: [部门]
申请角色: [角色名称]
申请原因: [详细说明]

申请权限:
□ 查询权限
□ 修改权限
□ 删除权限
□ 系统管理权限

申请人签字: _________ 日期: _________
部门主管审批: _________ 日期: _________
安全管理员审核: _________ 日期: _________
```

### 附录B：操作申请单

```
申请单编号: [自动生成]
申请时间: YYYY-MM-DD HH:MM
申请人: [姓名]
操作类型: [关键/重要/一般]
操作描述: [详细说明]

影响范围: [影响的人数/系统范围]
操作步骤: [简要步骤]

申请人签字: _________ 日期: _________
审批人签字: _________ 日期: _________
执行确认: _________ 日期: _________
```

### 附录C：应急响应记录表

```
事件编号: [自动生成]
发生时间: YYYY-MM-DD HH:MM
事件类型: [一般/重要/重大]
事件描述: [简要描述]

响应时间: ____分钟
处理过程: [简要记录]
处理结果: [成功/失败]

处理人签字: _________ 日期: _________
确认人签字: _________ 日期: _________
```

---


**本手册自发布之日起执行，由数据安全管理领导小组负责解释和修订。**