金融行业等保案例-融易信平台系统等级保护测评服务项目

2020-11-18 10:56:00 万方科技 252

图片关键词

  客户介绍

  东莞市德吉特软件科技有限公司成立于2014年08月18日,注册地位于东莞市长安镇乌沙社区步步高大道126号一楼103室,其运营的融易信是核心企业中的成员企业,向供应商开具体现交易双方基础合同之间债权债务关系的电子信用凭证,具有高信用、可拆分、可转让、可融资等特性,使用时灵活便捷,同时风险可控,支持供应商进行融资或持有到期,为中小企业提供高效便捷的融资新渠道。

  项目背景

  德吉特开发的融易信平台提供供应链金融服务,平台数据涉及到供应商开具的体现双方债权债务关系的电子债权凭证,涉及到资金额度比较大,安全生产要求很高。且所属行业面临的监管压力也很大,需要按照相关政策的要求落实网络安全等级保护制度。

  客户需求

  《融易信平台系统(三级)网络安全等级保护测评报告》

  《融易信平台系统(三级)安全整改建议报告》

  融易信平台系统(三级)主机安全合规整改

  融易信平台系统(三级)安全管理制度建设

  安全需求

  核心信息系统部署于阿里云上,部署了若干应用服务。根据等级保护建设前期调研、评估过程,依据《GB 17859-1999 信息安全技术信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议,最终确定本次等级保护建设需求如下:

  1、遵照法律:信息安全工作不仅仅是企业单位的工作,也是一个国家性的工作,必须把局部的安全工作与全局的工作协调起来,必须按照有关的法律和规定实施安全工程。

  2、依据标准:为了保证需求分析的质量,必须做到“有据可查”,必须用有关的技术标准来衡量。因此要充分参考、利用现有的标准。

  3、分层分析:安全工程涉及到策略、体系结构、技术、管理等各个层次的工作,安全工程的层次性也就决定了需求分析的层次性,这样得出的结果才是完备的、可靠的。

  4、结合实际:安全工程的实施是针对一个具体的信息系统环境,所有工作的开展必须建立在这个实际基础之上,不同环境需求分析的结果是不同的。

  解决方案

  在方案设计阶段,以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件为准,并结合行业特性要求以及监管单位要求,为用户提出的额外安全需求来进行系统性方案设计。在满足相应等级安全区域边界、安全计算环境及管理部分要求基础上,要最大程度发挥安全措施的保护能力。

  通过对现状资产梳理,差距分析后,先将整体网络架构重新设计,如下图:下图为参考示意图,非本案例真实架构图。

图片关键词

  融易信平台系统是由东莞市德吉特软件科技有限公司统一组织开发建设,融易信平台系统为核心企业及核心企业所属集团成员企业指定且唯一的线上应付账款确认、结算、融资平台。目前该系统由开发部门负责运行维护。

  融易信平台系统所有服务托管在阿里云上, 核心部分部署在4台主机上,其按业务功能处于独立的安全区域内。本系统服务器实现与其他系统逻辑隔离。

  安全设计层面:

  安全区域边界:网络结构进行优化,所有核心阿里云安全服务重新部署,有网络优先级控制;部署SLB负载均衡;互联网出口区域部署云防火墙、DDOS攻击、web应用防火墙、云安全中心、堡垒机、数据库审计。

  安全计算环境:融易信平台系统核心部分部署在3台主机上,其按业务功能处于统一的安全区域内。本系统服务器实现与其他系统逻辑隔离,系统为C/S体系结构,设计框架采用java技术。

  安全管理层面:编写对应安全管理制度、安全管理机构设定、人员安全管理规范、系统建设管理规范、系统运维管理规范。

  技术简介

  万方科技拥有国家级网络安全资质认证6个,国家发明专利2个,实用新型1个,软著40个,拥有一支由多名CISSP、CISA、CISP、CCIE、CCSP、PMP、ITIL等资质的专业技术专家组成的网络安全技术团队。

  用户收益

  1、客户所属金融行业面临很大的网络安全监管压力,必须按照相关政策的要求落实网络安全等级保护制度,项目的实施需要符合国家法律法规。

  2、信息系统运营与使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,同时通过安全整改提升系统的安全防护能力,降低被攻击的风险。

客户案例请勿转载

网络安全等级保护测评