物流行业信息安全风险评估案例-思菲特物流

　　客户介绍：

　　陕西思菲特物流科技有限公司(简称：思菲特物流)成立于2019年4月26日。入驻于西安国际港务区港务大道陆港大厦，是一家专业级的物流有限公司，致力于物联网和互联网技术的融合应用，实现人、车、货的实时感知和上下游企业间的高效协同，以信息技术促进物流产生变革。

　　项目背景：

　　客户在业务开展的过程中需要办理增值电信业务经营许可证，提交材料申请需要用到安全评估报告。

　　客户需求：

　　在完成的情况下并完善网络安全防护自评估报告。

　　安全需求：

　　核心信息系统部署于阿里云上，部署了若干应用服务。根据风险评估建设前期调研、评估过程、风险加固，依据《YD/T 3163-2016网络交易系统安全防护要求》和第三方风险评估咨询机构的建议，最终确定本次风险评估建设需求如下：

　　1.明确阿里云安全服务需求。

　　2.安全服务区域边界访问控制措施。

　　3.加强操作系统的安全防护措施。

　　4.建立并保持一个文件化的信息安全管理体系，明确管理职责、规范操作行为。

　　解决方案：

　　方案设计

　　通过对现状资产梳理，依据风险评估脆弱性分析后，先将整体网络架构重新设计，如下图，下图为参考示意图，非本案例真实架构图。

　　安全技术层面

　　安全区域边界：网络结构进行优化，所有核心阿里云安全服务重新部署，有网络优先级控制;部署负载均衡;互联网出口区域部署云防火墙、DDOS攻击、web应用防火墙、云安全中心。

　　安全计算环境：配置安全的符合规范的身份鉴别、访问控制、安全审计模块。

　　安全管理层面：编写对应安全管理制度、安全管理机构设定、人员安全管理规范、系统建设管理规范、系统运维管理规范。

　　技术简介：

　　拥有国家级网络安全资质认证6个，国家发明专利2个，实用新型1个，软著40个，拥有一支由多名CISSP、CISA、CISP、CCIE、CCSP、PMP、ITIL等资质的专业技术专家组成的网络安全技术团队。

　　用户收益：

　　1、项目实施对思菲特物流管理系统进行了2级通信网络安全防护测评检测，对重要信息资产进行识别，发现和梳理信息资产的外部危险和自身弱点，有针对性地优化信息技术服务流程。

　　2、思菲特物流管理系统进过整改，通过复评检测，获得《网络安全防护自评估报告》，同时申请EDI证书。

客户案例请勿转载