信息安全策略
参考了众多企业所积累的经验,充分吸取行业中的最佳实践,在具体运用中结合信息安全相关方法论、模型及标准,并基于财税SaaS服务平台的业务需求和现状,制定了符合公司发展、以及客户诉求的信息安全策略。
信息安全管理体系
从管理的层面出发,按照多层防护的思想,我们为实现信息安全战略搭建了较为完备的信息安全管理体系,主要包括安全政策标准(管理规定)、安全意识培养(宣传教育)、安全组织(管理控制)、审计(监督)、风险评估(发现问题)几个层面。
信息安全技术体系
应用安全技术
✓ 云平台应用保护:对于通过网站面向公众提供服务的系统部署WAF(应用层防火墙),对WEB服务器进行保护,并定期对攻击特征库进行更新升级。
✓ 云平台应用分层安全:针对平台应用的前后端进行分层的安全加固,对于前端应用,重点针对XSS、CSRF、Cookie、点击劫持、传输等安全漏洞进行加固防御,而对于后端,重点针对密码安全、SQL注入、上传、信息泄露等可能漏洞进行加固。
✓ 云平台应用数据安全:通过使用对称加密算法和签名算法来实现应用数据保密性和完整性,并使用多层的访问权限控制和身份认证,来对用户的请求及使用的数据进行安全的存储和传输。
数据安全技术
✓ SaaS服务平台数据采取实时备份、多重备份、异地备份等多种方式并行,保障数据的可用性、完整性及机密性。
✓ 对于可后台接触数据的人员进行严格控制,所有针对数据的操作均需要授权后方可进行,对所有人员均需要签订保密协议。
✓ 对于第三方应用(开放者平台应用),SaaS服务平台并未介入具体的数据通讯和存储过程。根据技术实现的不同,数据存储发生在客户服务器端(如 ERP、OA 类) 或开发者服务器端。
✓ 数据库权限严格管控,按照最小可用的原则,对数据库的权限进行管控;
✓ 搭架SQL的审核闪回平台,对上线的sql进行审核,规避对生产数据的误操作,万一发生误操作能够快速闪回;
✓ 严禁生产环境的任何数据流入研发、测试环节,规避信息泄露可能。
物理安全技术
✓ 华为云华南、华北可用区IDC的角色为华为集团公有云业务的骨干核心节点,二者在物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护等诸多方面均提供了高级别的物理安全保障。
主机安全技术
✓ 云平台全服务部署于Linux平台,提升病毒、木马的攻击难度、门槛,降低被感染概率;
✓ 所有云主机均部署有主机安全加固服务,增强安全性;
✓ 所有主机的系统采用最小化安装,关闭不需要的服务,进一步减少被攻击点;
✓ 部署漏洞扫描系统,对管理的所有主机(含物理机、虚拟机)定期进行漏洞扫描,并通过补丁分发系统按时修补操作系统和应用系统的漏洞;
✓ 对所有服务器部署主机加固系统,加强访问控制,提高服务器的自身安全性。
网络安全技术
✓ 在相互容灾的南北可用区分别搭建独立的VPC(虚拟私有云),保障平台依托的IaaS网络的独立性,隔离性;
✓ 在网络入口、服务器区域及其他重要网段等各边界部署防火墙、安全组作为边界隔离设备,对网络边界或区域逻辑隔离,实现网络层的访问控制;
✓ 在网络边界部署肉鸡关停、DDos防护、绿网、WAF(应用防火墙)等安全服务,有效防御来着外网的四层到七层网络攻击;
✓ 部署VPN网关,保证数据在传输过程中的完整性和保密性,以及访问请求的身份合法性,所有运维服务均需经由VPN网关的访问控制以及堡垒机的审计;
✓ 部署综合安全审计系统 - 堡垒机,实现网络安全审计、业务审计和日志审计等功能;
✓ 关闭一切非业务访问的外网端口,压缩一切可能的被攻击点。
联系我们
服务热线:400-086-9086
市场合作:18401933311
总部地址:北京市海淀区复兴路29号翠微广场A座15层
友情链接
即刻开启更快、更准确、更轻松的智能申报之旅!
告诉我们您的需求和联系方式,我们的专业顾问将尽快与您取得联系。