XX电商平台网络安全建设方案#XX客户#电子商务平台网络安全建设方案第1章 概述1.1 建设背景零售业经历了以连锁店为代表的实体零售阶段和以电商为代表的虚拟零售阶段，当前正在加速进入以O2O零售为代表的虚实融合阶段。 O2O模式，不仅是线下企业做电子商务、纯电商企业做线下体验，而且还包括了线上线下多终端的无缝融合，如门店端、PC端、手机端、电视端等等，通过各种方式为用户提供无缝的7*24小时的全渠道销售体系。对于实体零售企业来说，IT系统的重构可以帮劣我们更快速的实现O2O转型，重塑商业价值。电商平台在进行信息系统建设的过程中应充分考虑信息系统面临的各种安全风险，依照国家相关法律法规要求，同步进行信息安全保障系统的建设，保障系统信息安全和业务连续性。1.2 建设目标通过本项目信息安全系统的同步建设，按照等级保护标准安全防护要求，通过建立健全统一的信息安全技术支撑层、安全管理支撑层和安全服务支撑层，在XX电商平台工程建设中形成有效的安全防护能力、安全监管能力和安全运维能力，为电商平台的运行提供安全的网络运行环境和应用安全支撑。通过保障业务系统的安全可靠运行，保证电商平台、线下实体店、网上平台职能任务的有效实施。1.3 项目范围本次安全建设项目将覆盖电商平台数据中心、实体店接入网、银行交互网等信息系统涉及的操作系统、数据库、业务系统、网络系统的安全建设。1.4 建设内容1.4.1 安全技术建设（1）安全域划分通过域的层次化划分，可以达到明确管理责任和界限、解决各信息系统的网络隔离和信息安全交换问题、技术实施时边界清晰可行。XX电商平台整体网络建设可划分出如下安全区域，如图所示：如上图所示，本次XX电商平台安全域的划分可采用层次化划分的方法，其中一级安全域区分为：核心业务区、核心交换区、互联网接入区、银行接入区、安全管理区。 核心业务区：主要包括数据中心A站点、数据中心B站点、数据中心C站点的核心业务服务器。从逻辑上数据中心A、B、C站点的核心服务器划分为服务器区、核心交换区、互联网接入区三个部分。从物理链路上，数据中心A、B、C站点的网络及网络设备完全物理隔离，分别接入到互联网接入区与互联网相连。各个子核心业务区主要包括数据中心A、B、C站点的对外业务服务器。 核心交换区：核心交换区从物理链路上依据数据中心A、B、C站点形成3个子核心交换区，通过核心交换区的专线形成互联，保证各个数据中心站点间的网络连通和数据交换。核心交换区主要是三个子核心交换区的双核心交换机，一共由6台核心交换机组成； 安全管理区：安全管理区通过专线或VPN隧道连通到核心业务区各个网络及网络安全设备进行统一集中管理。通过互联网接入区VPN隧道的接入实现对各门店网络及网络安全设备的统一管理。主要包括集中管理平台、集中日志分析平台、漏洞扫描器等； 银行接入区：银行接入区主要实现与银行结算系统的定期结算功能，按照网银建设的要求，要求实现防火墙逻辑隔离、入侵防御、web攻击防护等技术要求。在这个区域部署的网络安全设备涵盖以上功能要求；如上图中，由1000多家门店独自构成各个门店的门店互联网接入安全域和与当地银行完成数据交换的银行接入安全域。 门店安全域：门店安全域主要以保护每个门店的终端，这些终端将连接到核心业务区的互联网接入区实现电商平台数据交互，同时与当地银行完成本地化的银行业务对接。通过VPN隧道的方式接入到互联网，通过互联网与核心业务区进行数据交换，并通过专线的方式与各地银行实现业务对接。（2）物理安全根据信息安全保护等级三级和二级对机房建设、物理安全建设等要求，以及相关规定及安全级别要求等，做好系统的物理层安全建设。本方案不进行详细阐述。（3）保护计算环境XX电商平台系统的计算环境，按照信息安全保护要求，应实现安全操作系统、安全数据库、集中安全审计、主机入侵防范、主机防恶意代码以及数据备份及故障恢复等措施。建立身份认证体系。通过身份认证体系，使系统访问采用受安全管理中心控制的口令、令牌，基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上组合，进行用户身份鉴别。加固操作系统平台。对信息系统的操作系统平台进行加固，提升服务器的安全性，满足等级保护对主机的安全要求。加固数据库。对核心业务区内电商平台的各类数据库进行加固，措施包括强身份验证、网络加密策略，网络传输数据完整性、存储数据完整性校验等。使数据库安全等级达到等级对主机安全性的要求。集中日志审计。在安全管理区，部署集中的日志审计系统，收集计算环境产生的日志信息，包括各类业务服务的操作系统和应用系统，数据库服务以及部分网络设备和安全设备。防病毒。在应用服务、数据库服务、席位终端安装防病毒软件，有效查杀病毒、恶意脚本、木马、蠕虫等恶意代码。主机安全防护。通过部署主机安全防护系统，实现对各个终端信息资产的收集、分类，实现系统合理配置、限制非法的网络联接等。主机安全防护系统，具备资产收集和管理、终端服务进程管理、网络准入控制、检查网络非法外联等功能。（4）保护区域边界边界安全检测与防护。运用下一代防火墙L2-7层的防御技术等，实现边界L2-7层安全检测和防护。对恶意行为、入侵事件进行审查和报警，并为安全管理中心提供重要的安全事件数据，为整体的安全态势分析和安全事件的事后取证、定位提供重要依据。实现边界防病毒。在互联网接入区、网银接入区等网络边界处部署防病毒网关，在网络层实现病毒查杀，防止病毒在网络中的传播。边界完整性保护。根据等级保护技术要求，通过部署主机安全管理系统，实现对主机的非法外联和非法接入行为的检测，并进行主动阻断。（5）通信安全通过在各个网络的边界部署具备VPN功能的下一代防火墙设备，实现远程数据传输的加密，保护传输安全。1.4.2 安全管理建设根据等级保护及网银接入安全的要求，从安全管理角度进行安全建设。建设内容，包括建立统一的安全管理平台，以及在人员、制度、组织等方面建立安全管理体系。（1）全网安全监控平台结合本系统业务流特点，建立全系统统一的全网安全监控平台，识别和管理IT基础架构的关键信息资产，对各类设备和软件所产生的安全事件进行分析，实施集中的安全事件管理、安全风险监控管理、安全报警响应等一系列安全管理活动，保证XX电商平台系统正常运行。（2）安全管理体系针对日常安全管理要求，建立安全管理体系，包括安全管理机构、安全管理制度、人员安全、系统建设管理和系统运维管理等。1.4.3 安全服务建设通过安全服务建设，为系统提供安全风险评估、安全咨询、安全加固、应急响应、安全培训服务等，配合安全技术平台，最大程度的提高XX电商平台系统的信息安全性能。1.5 设计依据主要设计依据： 计算机信息系统安全保护等级划分准则（GB178591999）。 信息安全技术信息系统安全等级保护基本要求（GB/T220192008） 信息系统安全技术信息系统等级保护安全设计技术要求（GB248562009）。 关于加强信息安全保障工作的意见（中办发200327号）。 计算机病毒防治管理办法（公安部令第51号）。 信息技术安全技术信息技术安全评估准则（GB/T183362008）。 信息技术安全技术信息安全管理体系要求（GB/T220802008）。 信息安全技术信息系统安全管理要求（GB/T202822006）。 信息技术信息安全管理实用规则（GB/T197162005）。 信息技术IT安全管理指南第1部分：IT安全概念和模型（GB/T19715.12005）。 信息技术安全技术信息安全管理实用规则（GB/T197162005）。 信息系统灾难恢复规范（GB/T209882007）。其他设计依据： 关于开展信息安全风险评估工作的意见2006年1月国家网络与信息安全协调小组 关于印发信息安全风险评估指南的通知2006年2月国信办（国信办综20069号） ISO/IEC13335，第一部分：IT安全的概念和模型；第二部分：IT安全的管理和计划制定；第三部分：IT安全管理技术；第四部分：安全措施的选择；第五部分：网络安全管理指南。 GB/T 18336：等同采用ISO 15408第2章 安全需求分析为了便于分析网络安全风险和设计网络安全解决方案，我们采取对网络分层的方法，并且在每个层面上进行细致的分析，根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。从系统和应用出发，网络的安全因素可以划分到如下的五个安全层中，即物理层、网络层、系统层、应用层和安全管理。2.1 物理层的安全风险分析网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用，它是整个网络系统安全的前提。2.2 网络层的安全风险分析网络层的风险主要可分为以下几类：数据传输风险、网络边界风险、网络设备安全风险。数据传输风险主要包括重要业务数据泄露、重要数据被破坏；网络边界风险对电子商务网络中任意节点来说，其它所有网络节点都是不可信任域，都可能对该系统造成一定的安全威胁；网络设备安全风险是由于电子商务平台各个区域专用网络系统中大量的使用了网络设备，如交换机、路由器等，使得这些设备的自身安全性也会直接关系的电子商务系统和各种网络应用的正常运转。2.3 系统层的安全风险分析系统级的安全风险分析主要针对电子商务专用网络采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。电子商务专用网络通常采用的操作系统(主要为Windows 2000server/professional，Windows NT/Workstation，Windows ME，Windows 95/98、UNIX)本身在安全方面考虑较少，服务器、数据库的安全级别较低，存在一些安全隐患。同时病毒也是系统安全的主要威胁，所有这些都造成了系统安全的脆弱性。不断发现的各种安全漏洞，包括本地溢出，远程溢出等脆弱性问题。由于操作系统都不可避免的存在bug，包括安全方面的bug，因此系统本身的脆弱性是不可能完全避免的，只能在一定时间内减少和降低危害。如果系统层面的补丁无法及时更新，业务系统系统层面的安全风险将变得十分严重。且服务器往往由于更新不及时也可能带来新的“0”日攻击的威胁。通过安全评估发现系统层面的漏洞广泛存在于应用服务器区、数据库服务器区大量应用服务器和数据服务器之上。利用系统漏洞攻击可以使攻击者获得系统级的权限而为所欲为，危害严重。2.4 应用层的安全风险分析电子商务专用网络应用系统中主要存在以下安全风险：对电子商务系统的非法访问；对电子商务系统的非法攻击；用户提交的业务信息被监听或修改；用户对成功提交的业务进行事后抵赖；服务系统伪装，骗取用户口令。由于电子商务专用网络对外提供WWW服务、E-MAIL服务、DNS服务等，因此存在外网非法用户对服务器攻击。下面从身份认证、DNS、WWW、邮件、文件服务等几方面分别加以详细说明：1)身份认证漏洞服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。2）DNS服务威胁Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务