时间价值网通过3.2级信息系统安全防护测评

发表于2018-01-11 分类:系统评测 浏览次数:145次

  互联网金融资产交易系统在用户账户管理、业务处理、业务安全管理、系统安全管理、支付接口等模块的功能实现、部署、配置、管理等环节上均可能引入安全脆弱点。网络交易系统面临来自公众互联网和内部网络的各种安全威胁,包括黑客发起DDoS攻击服务器,通过网络渗透手段篡改、重定向网站内容,上传、传播恶意代码,不法分子窃取信息(如,系统配置信息,用户敏感信息等),内部人员操作失误等。如果这些脆弱点被利用会有很大的安全风险,由于涉及到金融交易,因此这些安全隐患会对网络交易系统的业务运行、用户利益构成严重安全威胁。

  日前,时间价值网通过了互联网金融资产交易系统安全测评。安全保护等级为3.2级(根据社会影响力、规模和服务范围和所提供服务的重要性定级)。本次安全评测通过测试手段对时间价值网安全技术和安全管理上各个层面的安全控制进行了整体性验证,确保了时间价值网的互联网金融交易系统满足信息安全防护的要求,减少信息安全事件发生的可能。

  本次对时间价值网系统的安全测评主要参考标准为YD/B 108—2012《增值电信业务系统安全防护定级和评测实施规范网络交易系统》。对时间价值网的网络交易系统的四个模块(用户账户管理、业务处理模块、业务安全管理模块、系统安全管理模块、支付接口模块)进行了安全风险分析。

时间价值网通过3.2级信息系统安全防护测评


  具体测评的结果在《信息系统安全防护评测报告》中有详尽说明,该报告指出,时间价值网的互联网金融资产交易系统通过逻辑隔离措施进行了安全控制规划,形成了一个或多个物理网段或逻辑网段的集合,已经形成了区域边界安全防护、横向逻辑隔离、纵向的访问控制实体。系统的分域防护不仅实现了边界防护,而且体现了一组在网络、主机、应用等多个层次上深层防护措施。

  具体采取的安全措施要求包括六个方面,包括并不限于以下内容:

  业务及应用安全:

  对业务及应用相关通信过程中的全部报文或整个会话过程提供必要的保护(如进行通信数据加密),并提供业务及应用相关访问、通信等数据的防抵赖功能。对业务及应用全部数据、信息进行备份和恢复的管理和控制机制。登录验证模块可以防止身份鉴别暴力攻击。

  Web安全:对所有来源的输入进行验证,采用SSL加密隧道确保用户密码的传输安全。修改用户认证鉴权信息(如密码、密码取回问题及答案、绑定手机号码等),需要经过二次鉴权,以避免因用户身份被冒用,给用户造成损失。限制连续登录失败次数,在客户端多次尝试失败后,服务器端需要对用户账号进行短时锁定。禁止在本地存储用户敏感数据,如用户密码、身份信息等。支付接口数据传输需要进行校验,确保数据在传输过程中的完整性。支付接口需要具有严格的认证机制(如证书认证等),保证接口通信安全。

  网络安全:

  在系统边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、DoS/DDoS攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。在系统边界处部署防火墙等安全防御设备或技术措施,有效抵御和防范各种攻击。对系统中的重要设备运行状况、网络流量监测信息、系统管理及维护等进行日志记录,并且保留一定期限(至少180天)。

  设备及软件系统安全:

  对网络及安全设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听。保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。对登录操作系统的用户进行身份标识和鉴别。对各类主机进行远程管理时,应采取必要措施,防止鉴别信息在传输过程中被窃听。相关主机数据备份范围和时间间隔、数据恢复能力应满足行业管理、业务运营企业应急预案相关要求。

  管理安全:

  具有完善运行维护管理制度,管理制度应涵盖业务管理和控制、系统运行、设备操作和维护等方面。形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系。识别需要定期备份的重要业务信息、系统数据及软件系统等。

  顺利通过安全测评,时间价值网对网络交易系统安全所作出的努力得到了肯定。在保护信息系统安全的道路上我们仍会再接再厉,为大家投资提供一个安全放心的环境。







回到顶部