中企智导PP网贷系统VGS安全技术优势说明.doc

中企智导P2P网贷系统VG8.02S技术优势说明 股权众筹平台面临的安全威胁 威胁系统的风险来自不同层面，从网络层、系统层到应用层，都可能形成对系统直接或间接的威胁常见的针对Web应用的攻击有： 缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。 Cookie假冒——精心修改cookie数据进行用户假冒。 认证逃避——攻击者利用不安全的证书和身份管理。 非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据。 强制访问——访问未授权的网页。 隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序。 拒绝服务攻击——构造大量的非法请求，使Web服务器不能响应正常用户的访问。 跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息。 SQL注入——构造SQL代码让服务器执行，获取敏感数据。 URL 访问限制失效——黑客可以访问非授权的资源连接强行访问一些登陆网页、历史网页。 被破坏的认证和 Session 管理——Session token 没有被很好的保护 在用户推出系统后，黑客能够盗窃 session。 　DNS攻击——黑客利用DNS漏洞进行欺骗DNS服务器，从而达到使DNS解析不正常，IP地址被转向导致网站服务器无法正常打开。 防注入,CC攻击等安全机制保障网站安全稳定运行防挂马代码，让框架代码等挂马无效监控远程操作协议，如RDP、SSH、TELNET、FTP等，以减少因远程运维而发生的信息泄密的事件系统根据管理策略对相应文件进行加密，用户访问需要连接到服务器，按权限访问，越权访问会受限，实现更多的访问控制。确保密钥操作和存储的安全，密钥存放和主机分离其它冗余名称服务器（称为辅 DNS 服务器）用作同一区域中主服务器的备份服务器，以防主服务器无法访问或宕机。通过对DNS报文的合规检查DNS报文的速率控制，防止针对域名的DNS flood攻击。web漏洞检测：对网站SQL注入漏洞、xss跨站脚本漏洞、文件包含等各项高危安全漏洞进行检测。 ● 端口安全扫描：通过定期扫描服务器开放的高危端口，降低系统被入侵的风险。 ● 主机入侵检测：通过主机日志安全分析，实时侦测系统密码破解，异常IP登录等攻击行为为实时报警。 ● 安全检查：关闭无用服务，使用最小服务集合，降低漏洞风险。 ● 访问控制：针对用户及恶意攻击者访问信息时进行有效地控制，对于正常请求允许访问，对于恶意请求应及时进行阻止SSL 证书数据传输加密，保障信息传输不被窃取和篡改。 ● 安全U盾：后台管理员配置U盾，银行级安全，防止管理员密码泄漏造成的风险，同时可以加强人员和权限的管理。 ● 前后台分离部署：可将后台部署于内网，使攻击者被隔绝于网络之外，极大增加安全性。 ● 创新数据签名技术：每一次资金变动都有相应的签名，随意修改时签名无法匹配，程序检验无法通过，自动终止相关账号所有操作，发送警告。防止黑客即内部技术人员人工修改资金数据。 数据安全 ● 数据连接加密：数据库连接信息高强度加密，即使应用服务器被攻破，也没法直接连接和访问数据库。 ● 数据签名：资金数据防篡改，凡是在资金交易的地方，都会本次的操作进行签名验证，若存在资金被篡改的情况则无法进行交易。资金数据每一次的变动都有签名，此签名用高强度加密算法生成，防止直接修改造成的系统风险。 ● 数据加密：敏感数据加密存储，防止明文数据泄密的风险。 ● 数据冷存储：定期将数据进行隔离冷存储，原有数据不可修改，是分析，对比的数据基础，保证了安装，同时利用读写分离技术，提升了系统的响应速度。 ● 数据智能分析：智能分析系统里用户资金变动，能得出合理的用户收益变动曲线，有异常情况时能终止用户资金操作，提示系统管理员复核，在最后一步卡住系统被侵入的风险。 ● 使用 USB KEY 认证等身份验证方式，对后台登陆进行身份认证，设置网络访问控制策略，只允许授权后的网络登录后台系统。 ● 数据备份：每台RDS拥有两个物理节点进行主从热备。主节点发生故障，秒级切换至备节点。服务可用性高达99.99%。 ● 数据库通过多库切分的方式，采用独立的数据库账号体系；防止一个账号拥有所有数据库的访问和修改权限；敏感信息的数据通过加密方式存储，杜绝黑客或内部技术人员恶意修改数据的非法行为。 二、全冗余 ● 采用双防火墙双交换机做网络冗余，保障平台服务，采用双防火墙通知接通2线路互联网接入，设备之间采用VRRP协议，在任何一个防火墙、互联网发生故障后均可自动将流量切换到另一端，保证网站的正运行，设备或网络恢复后，自动恢复。 ● 采用双千兆交换机分别接在2台防火墙上，当某台设备或者网络链路发生故障后，好设备自动接管已坏设备的工作，不影响网站的整体运行