总体安全方案设计.docVIP

XX单位/XX公司XX系统安全方案设计 PAGE 10 XX单位/XX公司XX系统 安全方案设计 编制日期：2018年5月 目录 TOC \o 1-3 \h \z \u 29152 目录 I 22073 1 背景 3 10773 2 系统现状分析 4 20730 2.1 互联网金融行业安全现状 4 17744 2.2 系统信息安全现状 4 31730 2.2.1 网络平台分析 5 28941 2.2.2好的方面 5 2788 2.2.2 不足之处 6 17757 2.3 信息资源分析 6 25511 2.4 软硬件构成分析 7 11924 2.5管理机制分析 7 28572 3 风险分析 8 19848 3.1 风险分析 8 32105 4、安全需求分析 9 19142 4.1.1物理和环境安全需求分析： 9 24035 4.1.2网络与通信安全防范需求分析 9 15455 4.1.3设备和计算安全防范需求分析 10 32028 4.1.4应用与数据安全防范需求分析 10 31557 4 方案总体设计 11 223 4.1 设计目标及原则 11 27716 4.1.1 设计目标 11 42 4.1.2 设计原则与依据 11 8739 4.1.3 安全设计 12 17258 5 详细设计 12 10608 5.1.1 设备和计算安全设计 12 15225 5.1.2 应用和数据安全设计 14 5122 6 管理体系设计 16 3504 6.1 安全管理机构 16 18744 6.2 安全管理制度 16 17818 6.3 人员安全管理 17 2425 6.4 系统建设管理 17 249 6.5 安全运维管理 18 18062 7 运维体系设计 19 20803 7.1 技术力量和人员配置 19 16314 7.2 运行维护机构 20 9667 7.3 运行管理 20 背景 随着全球信息化的发展，互联网应用渗透到了各行各业。互联网金融借助互联网技术、移动通信技术，实现金融资源优化配置和应用普及，互联网金融的出现代表一个新兴金融时代的到来。随着第三方支付、移动支付、P2P信贷、众筹融资等互联网金融概念已经被各方炒作的如火如荼、方兴未艾。在2014“两会”上，“互联网金融”首次出现在国务院总理李克强所做的《政府工作报告》中。鼓励互联网金融创新、为“余额宝”正名、加强互联网金融监管成为“两会”代表的共识。而传统金融行业在市场的倒推下也面临着经营理念、经营方式、业务体系、战略渠道上的全面转型。 信息流、资金流的安全性是互联网金融发展的基础和保障，随着棱镜门、钓鱼网站、网银盗窃等互联网安全事件层出不穷，不法分子犯罪技术不断提高，犯罪手段花样翻新。而一旦遭遇黑客攻击，互联网金融的正常运作将会受到影响，危及消费者的资金安全和个人信息安全。2014年的“两会”中，互联网金融的安全性成为备受关注的焦点，除了法律法规、相关制度和行业标准不断完善的顶层设计，通过技术手段保护数据安全，防范黑客攻击已成为保障互联网金融安全的必要举措。 系统现状分析 互联网金融行业安全现状 攻击：数据显示，金融行业被DDoS攻击次数仅次于游戏，直播等行业；2016下半年，国内500强金融机构遭到600次DDoS攻击，近三成为CC攻击。互联网金融行业遭到攻击的情况尤其严重 APP仿冒：89%的热门应用被仿冒；55%仿冒应用具有恶意行为；某金融机构发现30多个仿冒应用，全部出现劫持用户短信的行为 信息泄露：金融机构对信息泄露的敏感度远大于其他行业；信息泄露不但给自己造成巨大的损失；也为对手送去了极佳的机会； 漏洞：报告显示，互联网金融行业的漏洞存量在金融行业名列前茅；大量漏洞未经处理，被利用的难度极低 系统信息安全现状 目前我公司信息系统部署在阿里云，购买ecs服务器、负载均衡SLB、数据库RDS、数据库Redis，OSS文件存储。 使用vpn进行ECS服务器的管理，使用阿里云盾中安骑士基础版，仅有检测漏洞的功能，（对标cve官方漏洞库，自动检测并提供修复方案） 网络平台分析 信息系统虚拟拓扑图如下： 就目前而言，仅购买承载信息系统运行的ecs服务器、rds数据库、Redis数据库等。运维人员需要通过vpn进行服务器管理，使用slb负载均衡进行会话保持，实现用户访问连续性。 2.2.2好的方面 具有安骑士基础版检测服务器漏洞 使用vpn进行管理服务器，防止鉴别信息被窃听。 不足之处 缺乏应用层攻击防护能力：不能对针对应用系统常见的攻击行为如SQL注入、XSS攻击、挂马、篡改等安全事件进行防护； 缺乏入侵检测机制：不能对攻