# MTMS 等保 2.0 安全设计说明（v2.3 详版）
**系统**：基筑通（MTMS） · **定级建议**：二级（Level 2，若公开面对公众或承载关键数据应重新评估至三级） · **日期**：2025-09-02

## 1. 体系概览与“1+5”
- **基本要求**：GB/T 22239-2019 《网络安全等级保护基本要求》通用六域（物理、网络边界、主机、应用、数据、安全管理中心）。  
- **扩展要求**：云计算、移动互联、物联网、工控、大数据（按场景选用）。MTMS 当前为“云主机+Web 应用”，优先覆盖云计算扩展点（账号分权、资源隔离、日志取证、弹性防护）。

## 2. 定级要素
- **业务影响**：内部管理系统，对社会秩序/公共利益影响有限 → **二级**。  
- **边界**：互联网用户 → Nginx 反代（80/443）→ Node/Express → MongoDB（内网）→ 文件/3D 服务。  
- **对象**：员工/供应商账号、审批与合同元数据、仓储采购数据、系统日志。

## 3. 技术设计（逐域）
### 3.1 安全物理环境
- 云上托管（ECS）；控制台启 **MFA**、RAM 分权；快照策略；KMS/密钥托管。

### 3.2 网络与边界
- VPC 与安全组：仅放行 80/443；应用与数据库分网段；默认拒绝、最小放行。  
- Nginx：TLS1.2+、HSTS、CSP、限速；上传入口单独二级域名并强制下载头（防内联）。  
- WAF/Anti-DDoS（可选/托管）：对大量异常流量/注入/越权进行拦截与记录。

### 3.3 主机与虚拟化
- 基线：禁止 root 直登（仅密钥/跳板）；SSH RateLimit；Fail2ban；最小化服务；自动安全更新窗口。  
- 审计：sudo/命令审计；文件完整性（AIDE）；时钟同步；关键配置只读。

### 3.4 应用与服务
- **统一身份认证与 RBAC**：岗位→角色→权限；审批流“状态×角色”矩阵；资源级鉴权。  
- **安全开发**：必备单元/集成测试；依赖白名单；SCA（npm audit/OSS 审计）；敏感操作加签/幂等。  
- **上传与预览**：MIME+魔数校验、大小与后缀白名单、隔离存储（独立域名）、下载头 `Content-Disposition: attachment`、沙箱扫描。

### 3.5 数据安全
- 分类分级：账号/个人信息（II 级）、合同/财务（III 级）；按级访问审批与最小化展示；日志脱敏。  
- 加密：传输层 TLS；磁盘/卷加密；备份加密与密钥轮换。  
- 备份与恢复：RPO 24h / RTO 4h；同城/异介质两份；季度恢复演练。

### 3.6 安全管理中心
- 集中日志：Nginx、应用、Mongo、系统审计；关键事件（登录失败/越权/审批变更/上传拦截）告警。  
- 漏洞与合规：CVE/CVSS 看板；严重 48h/高危 7d；月度合规自评与缺陷闭环。

## 4. 管理制度（对应测评点）
- 账户生命周期、开发/变更/发布、供应链与外包、备份/介质管理、事件响应与演练（含 **72h 初报模板**）、应急预案、等级测评/整改流程。

## 5. 配置基线（摘录）
- Nginx TLS：禁 `TLSv1/TLSv1.1`；优先 `TLS_AES_128_GCM_SHA256`/`ECDHE` 套件；启 OCSP Stapling；`Strict-Transport-Security`≥6 个月。  
- MongoDB：启鉴权与角色、禁公网直连、慢查询日志、压缩与加密、备份脚本与恢复验证。  
- Linux：只安装所需包；自动安全更新；`ufw`/`iptables`；`auditd` 规则集。

## 6. 自查清单（L2 必测 — 摘录）
- [ ] 账户最小化与分权；[ ] 网络边界最小放行；[ ] 传输/存储加密；[ ] 日志集中与脱敏；[ ] 漏洞闭环；[ ] 备份恢复演练；[ ] 事件响应演练；[ ] 供应链安全；[ ] 人员安全。

## 7. 参考（可查）与注意
- MLPS 2.0 与 GB/T 22239-2019 概述与扩展领域；2019 年新版要求覆盖云/移动/大数据等新技术场景。