文件名称:总体安全方案设计.doc
文件大小:1014KB
文件格式:DOC
更新时间:2022-12-25 16:12:57
文档资料
XX单位/XX公司XX系统 安全方案设计 编制日期:2018年5月 目录 目录 I 1 背景 3 2 系统现状分析 4 2.1 互联网金融行业安全现状 4 2.2 系统信息安全现状 4 2.2.1 网络平台分析 5 2.2.2好的方面 5 2.2.2 不足之处 6 2.3 信息资源分析 6 2.4 软硬件构成分析 7 2.5管理机制分析 7 3 风险分析 8 3.1 风险分析 8 4、安全需求分析 9 4.1.1物理和环境安全需求分析: 9 4.1.2网络与通信安全防范需求分析 9 4.1.3设备和计算安全防范需求分析 10 4.1.4应用与数据安全防范需求分析 10 4 方案总体设计 11 4.1 设计目标及原则 11 4.1.1 设计目标 11 4.1.2 设计原则与依据 11 4.1.3 安全设计 12 5 详细设计 12 5.1.1 设备和计算安全设计 12 5.1.2 应用和数据安全设计 14 6 管理体系设计 16 6.1 安全管理机构 16 6.2 安全管理制度 16 6.3 人员安全管理 17 6.4 系统建设管理 17 6.5 安全运维管理 18 7 运维体系设计 19 7.1 技术力量和人员配置 19 7.2 运行维护机构 20 7.3 运行管理 20 背景 随着全球信息化的发展,互联网应用渗透到了各行各业。互联网金融借助互联网技术 、移动通信技术,实现金融资源优化配置和应用普及,互联网金融的出现代表一个新兴 金融时代的到来。随着第三方支付、移动支付、P2P信贷、众筹融资等互联网金融概念已 经被各方炒作的如火如荼、方兴未艾。在2014"两会"上,"互联网金融"首次出现在国务 院总理*所做的《*工作报告》中。鼓励互联网金融创新、为"余额宝"正名、加强 互联网金融监管成为"两会"代表的共识。而传统金融行业在市场的倒推下也面临着经营 理念、经营方式、业务体系、战略渠道上的全面转型。 信息流、资金流的安全性是互联网金融发展的基础和保障,随着棱镜门、钓鱼网站、 网银盗窃等互联网安全事件层出不穷,不法分子犯罪技术不断提高,犯罪手段花样翻新 。而一旦遭遇黑客攻击,互联网金融的正常运作将会受到影响,危及消费者的资金安全 和个人信息安全。2014年的"两会"中,互联网金融的安全性成为备受关注的焦点,除了 法律法规、相关制度和行业标准不断完善的顶层设计,通过技术手段保护数据安全,防 范黑客攻击已成为保障互联网金融安全的必要举措。 系统现状分析 1 互联网金融行业安全现状 攻击:数据显示,金融行业被DDoS攻击次数仅次于游戏,直播等行业; 2016下半年,国内500强金融机构遭到600次DDoS攻击,近三成为CC攻击。 互联网金融行业遭到攻击的情况尤其严重 APP仿冒:89%的热门应用被仿冒;55%仿冒应用具有恶意行为;某金融机构发现30多个 仿冒应用,全部出现劫持用户短信的行为 信息泄露:金融机构对信息泄露的敏感度远大于其他行业;信息泄露不但给自己造成巨 大的损失;也为对手送去了极佳的机会; 漏洞:报告显示,互联网金融行业的漏洞存量在金融行业名列前茅;大量漏洞未经处理 ,被利用的难度极低 2 系统信息安全现状 目前我公司信息系统部署在阿里云,购买ecs服务器、负载均衡SLB、数据库RDS、数 据库Redis,OSS文件存储。 使用vpn进行ECS服务器的管理,使用阿里云盾中安骑士基础版,仅有检测漏洞的功能 ,(对标cve官方漏洞库,自动检测并提供修复方案) 1 网络平台分析 信息系统虚拟拓扑图如下: 就目前而言,仅购买承载信息系统运行的ecs服务器、rds数据库、Redis数据库等。 运维人员需要通过vpn进行服务器管理,使用slb负载均衡进行会话保持,实现用户访问 连续性。 2.2.2好的方面 具有安骑士基础版检测服务器漏洞 使用vpn进行管理服务器,防止鉴别信息被窃听。 3 不足之处 缺乏应用层攻击防护能力:不能对针对应用系统常见的攻击行为如SQL注入、XSS攻击、 挂马、篡改等安全事件进行防护; 缺乏入侵检测机制:不能对攻击进行有效防护,不能检测到异常登录、后门查杀、异常 主机等情况 无基线检测机制:不能对系统基线进行检查,如账户安全检测、系统配置检测、数据库 安全检测等 未实现网站https化:不能保证用户访问网站时,在传输过程中数据的完整性和保密性 。 安全审计:未对运维人员操作记录进行安全审计,不能有效防止抵赖及事件溯源。无数 据库审计,不能对SQL注入、风险操作等数据库风险操作行为进行记录与告警。 3 信息资源分析 对本系统所涉及的数据进行分类说明: 表2-2信息分析表 "序号 "信息种类 "存储区域 "敏感度 "备注 " " "用户信息 "互联网区 "个人隐私 "身份证号、联系" " " " " "方式、