一 項目背景

某金融信息服務(wù)有限公司，成立于2014年，總部設(shè)立在廣州。作為撮合借貸雙方交易的中介平臺，專注于供應(yīng)鏈金融服務(wù)；為從事供應(yīng)鏈業(yè)務(wù)的中小企業(yè)主提供個性化的融資及財務(wù)增值服務(wù)。

隨著公司業(yè)務(wù)規(guī)模的不斷擴張，信息化建設(shè)一直在推動著公司的業(yè)務(wù)發(fā)展，信息化安全建設(shè)不僅需要滿足公司現(xiàn)有快速發(fā)展需求，同時也需配合國家信息安全等級保護制度建設(shè)政策的建設(shè)工作，銀監(jiān)會等部門發(fā)布的《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法(征求意見稿)》中明確要求：“金融類機構(gòu)應(yīng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護制度的要求，開展信息系統(tǒng)定級備案和等級測試”；作為非銀機構(gòu)，爭取通過國家信息安全等級保護認(rèn)證，這表明的信息系統(tǒng)安全級別，足以比肩部分的銀行金融機構(gòu)。

同時，在互聯(lián)網(wǎng)金融行業(yè)內(nèi)鮮有平臺獲得級別認(rèn)證，這有力印證了信息系統(tǒng)安全管控水平，體現(xiàn)了為用戶打造的“安全、透明、專業(yè)”的自在理財環(huán)境，有效保障了用戶信隱私安全以及信息安全。

二 方案設(shè)計內(nèi)容

基于現(xiàn)在所有的業(yè)務(wù)系統(tǒng)都是在阿里云上，所以此本項目是在成功通過云等保3級的基礎(chǔ)上做相關(guān)安全配置。全產(chǎn)品直接在阿里云上購買部署即可。下圖為整改后的網(wǎng)絡(luò)架構(gòu)：

通過阿里的態(tài)勢感知收集客戶整個網(wǎng)絡(luò)的數(shù)據(jù)，發(fā)現(xiàn)潛在的入侵和搞隱蔽性攻擊，回溯攻擊歷史，預(yù)測即將發(fā)生的安全事件，滿足三級等級保護的入侵防范等要求。

某金融在阿里云上的業(yè)務(wù)系統(tǒng)是web應(yīng)用、對公服務(wù)并且有保存大量的用戶信息，為了保護web應(yīng)用防御外部攻擊，故此本次項目部署了云WAF。

為了滿足滿足三級等保的要求以及實時記錄運維人員的操作防止惡意操作無據(jù)可依，故本次項目部署了云堡壘機。

為了滿足三級等保的主機的惡意代碼防護要求，本次方案部署了安騎

為了滿足三級等保的要求：數(shù)據(jù)庫需要有日志記錄并且能夠周期性統(tǒng)計分析，生產(chǎn)報表的要求，我們?yōu)榭蛻舨渴鹆税⒗镌粕系臄?shù)據(jù)庫審計產(chǎn)品

根據(jù)以往經(jīng)歷，國內(nèi)500強金融機構(gòu)半年來遭到600次DDoS攻擊，為了保證某金融的業(yè)務(wù)系統(tǒng)持續(xù)運行并且外部不受攻擊，本次項目部署了阿里的DDoS高防。

眾所周知，一個安全的網(wǎng)絡(luò)體系主要是靠著三分技術(shù)，七分管理。而且為了滿足等級保護對于安全管理制度、機構(gòu)、人員、建設(shè)、運維等管理的要求，我們還為客戶提供人工的服務(wù)（安全加固、滲透測試）

試等）

三 客戶收益

通過本次項目的完成，我們協(xié)助客戶通過了國家要求的信息系統(tǒng)等級保護的驗收。

1. 保障基礎(chǔ)設(shè)施安全：

保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的持續(xù)使用。

2. 保障網(wǎng)絡(luò)連接安全：

保障網(wǎng)絡(luò)傳輸中的安全，尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。

3. 保障計算環(huán)境的安全：

保障操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的安全。

4. 保障應(yīng)用系統(tǒng)安全：

保障應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實的保護和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險。

5. 保障數(shù)據(jù)安全及備份恢復(fù)：

保障數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等。

6. 安全管理體系保障：

根據(jù)國家有關(guān)信息安全等級保護方面的標(biāo)準(zhǔn)和規(guī)范要求，建立一套切實可行的安全管理體系，加強安全管理機制。