《2022年2022年金和盛PP网贷系统安全解决方案 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年金和盛PP网贷系统安全解决方案 .pdf(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、P2P 网贷系统安全解决方案金和盛 P2P 网贷系统安全解决方案名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案目录一、概述.4二、网站安全需求分析.6三、网站安全解决方案.73.1漏洞扫描服务73.1.1扫描目的.73.1.2扫描内容.73.1.3服务输出.83.2安全加固服务83.2.1加固目的.83.2.2加固内容.93.2.3加固工具.93.3渗透测试服务93.3.1渗透测试内容.113.3
2、.2渗透测试范围.113.3.3服务参考标准.123.3.4服务周期.123.3.5服务交付文档.133.4应用安全开发咨询服务13名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案3.4.1服务内容.133.4.2服务参考标准.143.4.3服务交付文档.163.5信息安全巡检服务163.5.1巡检目的.163.5.2服务内容.163.5.3输出文档.173.6应急响应服务173.6.1应急响应目的
3、.173.6.2服务内容.183.6.3输出文档.193.7安全防护设备部署193.7.1WEB 应用防火墙.193.7.2网页防篡改系统.193.8服务器冗余备份服务错误!未定义书签。3.8.1服务内容.错误!未定义书签。3.8.2服务交付文档.错误!未定义书签。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案一、概述P2P 平台是互联网金融公司的重要金融交易平台。网站容易成为黑客或恶意程序的攻击
4、目标,造成数据损失,网站篡改或其他安全威胁。根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC )的工作报告显示:目前中国的互联网安全实际状况仍不容乐观。各种网络安全事件与往年同期相比都有明显增加。对企业类和安全管理相关类网站主要采用篡改网页的攻击形式,以达到诋毁名声的目的,也不排除放置恶意代码的可能,导致企业类网站存在安全隐患。对网站采用注入攻击、跨站攻击以及应用层拒绝服务攻击(DenialOf Service)等,影响网站的正常功能。2007年到 2015 年上半年,中国大陆被篡改网站的数量相比往年处于明显上升趋势。常见攻击:目前已知的应用层和网络层攻击方法很多,这些攻击被分为
5、若干类,下表列出了这些最常见的攻击技术攻击方式描述跨站脚本攻击跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户,常见目的是窃取该站点访问者相关的用户登陆或认证信息。SQL 注入攻击者通过输入一段数据库查询代码窃取或修改数据库中的数据。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案命令注入攻击者利用网页漏洞将含有操作系统或软件平台命令注入到网页访问语句中以盗取数据或后端服务器的控制权。cookie/
6、session劫持Cookie/session通常用于用户身份认证,并且可能携带用户敏感的登陆信息。攻击者可能被修改Cookie/session提高访问权限,或伪装成他人的身份登陆。参数(或表单) 篡改通过修改对URL、 header 和 form中对用户输入数据的安全性判断,并且提交到服务器。缓冲溢出攻击由于缺乏数据输入的边界条件限制,攻击者通过向程序缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令。如获取系统管理员的权限。日志篡改黑客篡改删除日志以掩盖其攻击痕迹或改变web 处理日志。应用平台漏洞攻击黑客通过获悉应用平台后,可以利用该平台的已知漏洞进
7、行攻击。当应用平台出现漏洞,且没有官方补丁时,同样面临被攻击的风险。DOS 攻击通过 DOS 攻击请求,以达到消耗应用平台资源异常消耗的一种攻击,最终造成应用平台拒绝服务。HTTPS 类攻击一些狡猾的黑客通过HTTPS 进行 HTTPS 类的攻击, 由于 SSL加密数据包无法进行有效的检测,导致通用的网络防火墙和普通 WEB 应用防火墙无能为力。表 11不同攻击方法名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 20 页 - - - - - - - - - P2P 网贷系
8、统安全解决方案二、网站安全需求分析网站拓扑结构如下:1、对于金融来说, 安全性是很关键的,因为阿里云服务器是不提供安全服务的,所以平台会经常遭到黑客攻击、竞争对手恶意攻击, 只需要一二分钟就攻击一个网站瘫掉无法运行。2、WEB 服务器没有完善的安全防护措施,容易受到来自Internet针对网站的各种攻击,比如SQL 注入、跨站脚本、DOS攻击、命令注入等。3、目前的拓扑结构不能有效抵御网络病毒攻击,比如HTTP 协议攻击、木马、间谍软件、蠕虫等。网站的安全防护主要包括如下需求:安全加固,部署简便,成本低,操作简洁,性能影响甚微。包括:对现有网络拓扑结构无影响。服务器冗余备份。保障数据传输及存储
9、的安全性。方便管理,无需进行复杂的配置。对现有 WEB 服务器的访问速率不能造成太大的影响。能抵御来自Internet病毒攻击。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案三、网站安全解决方案我司对 P2P 网贷平台的现状及需求进行了详细分析,制定了各项服务的服务方案,服务方案详细的描述了服务内容、服务周期、服务流程、服务方式、服务交付成果等。3.1漏洞扫描服务3.1.1扫描目的利 用 扫 描
10、工 具 对 网 络 进 行 扫 描 , 扫 描 包 括 对 各 种 操 作 系 统( windows,linux,unix,AIX,freebsd,solaris等),应用软件(office, adodb等),网络设备系统等多类进行安全检测,检测将发现当前网站系统及软件中存在的漏洞信息,扫描完毕后将生成扫描检测报告,使用户能对自己的网络安全状况有真实的了解,从而制定出科学合理的系统加固及风险规避计划。3.1.2扫描内容1)主机系统漏洞扫描包括:操作系统猜测、 端口服务扫描、 系统漏洞扫描、 弱口令破解、 用户权限认证、磁盘共享等;2)应用系统(WEB系统、数据库)漏洞扫描包括:SQL注入、脚本
11、跨站攻击、路径泄漏、后台验证漏洞、文件上传漏洞、远程文件包含漏洞、已知WEB 应用程序公开漏洞、弱口令猜解、补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务等;3)网络设备漏洞扫描名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案包括:弱口令猜解、补丁、账号管理、口令强度和有效期检查、IOS信息、端口服务等。3.1.3服务输出所检测到的安全漏洞信息经过安全服务工程师依据漏洞、主机风险、网络风险
12、评估标准分析整理形成安全扫描评估报告,评估报告如实反映信息系统存在的安全隐患,每项安全漏洞都有详细的说明,报告内容包括:主机风险等级列表漏洞分布情况操作系统分布按应用分类列表脆弱的帐号、口令列表安全状况变化趋势安全建议漏洞处理优先级列表详细安全漏洞列表及解决方法。3.2安全加固服务3.2.1加固目的为了有效保障网络的正常运行,保证网络的安全,根据对网络进行全面安全的扫描和弱点分析,对网络的服务器、网络设备、工作站等存在漏洞的系统进行安全加固。包名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -
13、- 第 8 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案括打补丁、停止不必要的服务、升级或更换程序、除去特洛伊后门程序、修改配置及权限以及针对复杂问题的专门解决方案。在客户允许的前提下,为客户完全、彻底地堵住这些安全缺陷和漏洞、去除这些薄弱环节。3.2.2加固内容1)操作系统安全加固包括:检查系统补丁、停止不必要的服务、修改不合适的权限、修改安全策略、检查账户与口令安全、开启审核策略、关闭不必要的端口等;2)应用系统(WEB系统、数据库)安全加固包括:对要使用的操作数据库软件(程序) 进行必要的安全审核,比如对ASP、PHP等脚本, 这是很多基于数据库的W
14、EB 应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似, ; / 等字符,防止破坏者构造恶意的SQL语句。安装最新的补丁,使用安全的密码、账号策略,加强日志的记录审核,修改默认端口,使用加密协议,加固TCP/IP端口,对网络连接进行IP 限制等;3)网络设备安全加固包括:禁用不必要的网络服务、修改不安全的配置、利用最小特权原则严格对设备的访问控制、及时对系统进行软件升级、提供符合IPP 要求的物理保护环境等。3.2.3加固工具相关的需要加固系统的补丁包、脚本、检测工具等。3.3渗透测试服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -
15、 - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效地发现最严重的安全漏洞,与全面的代码审计相比,其所需的时间更短,也更有效率。在服务期间,我司将对客户的网站系统进行渗透测试,在每次测试完成后必须提交详细的渗透测试报告。在服务期内,若临时遇有重大事件,服务方有责任和义务临时增加渗透测试服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - -
16、- - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案3.3.1渗透测试内容造成的影响主动模式被动模式初始化完成Web 结构获取权限测试归档测试参数分析异常处理注入测试命令执行文件包含跨站脚本信息窃取备份文件后台查找目录列表会话管理信息泄漏数据破坏拒绝服务信息获取熟悉业务逻辑GoogleHacking接口测试认证测试暴力破解认证绕过逻辑处理越权操作身份仿冒日志检查拒绝服务上传下载渗透测试内容3.3.2渗透测试范围客户内部的服务器、数据库等重要系统,以及门户网站等重要应用系
17、统,具体测试目标由客户指定。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案3.3.3服务参考标准我司渗透测试服务,依据如下国内、国际标准实施:GB/T 18336-2001信息技术安全技术信息技术安全性评估准则等同于 ISO 15408-1999CommonCriteriaforInformationTechnologySecurity Evaluation信息技术安全技术安全漏洞等级划分指南信
18、息安全技术信息安全漏洞管理规范信息安全技术安全漏洞标识与描述规范(GB/T 28458-2012 )OWASP- OpenWebApplicationSecurityProjectOSSTMM- Open-SourceSecurityTestingMethodologyManualISSAF - InformationSystemsSecurityAssessmentFrameworkWASC- WebApplicationSecurityConsortium3.3.4服务周期每年一次;若临时遇有重大事件,需增加渗透测试服务,原则每年增加不多于两次。名师资料总结 - - -精品资料欢迎下载 -
19、 - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案3.3.5服务交付文档服务交付文档包括但不限于以下文档:序号文件名称文件说明1渗透测试授权书客户授权渗透测试工作书面证明2渗透测试方案指导渗透测试工作的文档,由客户确认。 包括工作标准、测试目标、测试人员、实施过程、技术手段、风险规避措施3渗透测试报告渗透测试复查报告渗透测试报告包括渗透测试过程、测试目标存在的漏洞及证明、 整体安全分析、 安全加固建议等3.4应用安全开发咨询服务3.4.1服务
20、内容针对互联网应用系统的开发生命周期,在需求分析、方案设计、开发测试、集成部署阶段提供安全咨询建议。应用安全开发咨询服务包括但不限于如下:(1)信息系统调查及信息系统定级: 通过调研了解对信息系统重要性有比较全面的认识,根据信息系统安全保护等级定级指南,将协助客户进行系统定级。(2)安全评估与需求分析:确定信息系统存储的重要信息( 保护对象)、风险评估,确定安全目标及安全需求。(3)威胁分析与建模:帮助确定安全目标、识别相关威胁、确定相关漏洞和对策。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -
21、 - - 第 13 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案(4)攻击面分析:攻击界面定义涉及到对威胁的分析。(5)安全功能设计:根据安全需求说明书定义的安全需求,明确安全功能定义:包括认证加密的算法强度,访问控制,运行环境描述等。(6)安全编码培训:面向开发项目组进行安全编码的培训,以及常见应用安全攻击的影响和防范。(7)代码审计: 协助对代码进行审计(可采用应用漏洞扫描、源代码工具分析、源代码人工分析方式) ,识别出可能引起安全问题和事故的不安全的编码技术和缺陷。(8)安全功能测试:针对安全需求分析定义的业务系统需要事先的安全功能进行验证,(9)系
22、统安全加固:应用系统部署安装的所涉及的网络、操作系统、中间件、数据库进行安全加固。(10)漏洞扫描:使用自动化工具对系统进行安全漏洞扫描,测试完毕后提供测试报告并提交给开发团队,进行验证和修复。(11)渗透测试:模拟黑客使用的漏洞发现技术和攻击手段,发现系统最脆弱的环节的过程,测试完毕后提供测试报告并提交给开发团队,进行验证和修复。(12)上线评审:在系统正式上线前,将参照既定的操作系统、数据库系统的安全加固指南,以及制订相应的应用系统安全检查表,检查系统安全需求、安全措施的落实情况,结合漏洞扫描报告、渗透测试报告,汇总分析形成系统上线检查报告,提交报告供客户评审。3.4.2服务参考标准我司应
23、用安全开发咨询服务,依据如下国内、国际标准实施:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案信息系统安全等级保护基本要求(GB/T 22239-2008 )信息系统安全等级保护实施指南(GB/T25058-2010 )信息系统安全保护等级定级指南(GB/T22240-2008 )信息系统通用安全技术要求(GB/T 20271-2006 )信息系统等级保护安全设计技术要求(GB/T 25070-
24、2010 )信息安全技术应用软件系统安全等级保护通用技术指南(GAT711-2007 )信息安全技术应用软件系统安全等级保护通用测试指南(GAT712-2007 )软件产品质量系列标准(GB/T 16260-2006 )OWASP- OpenWebApplicationSecurityProjectOWASP10 大最严重应用安全漏洞2010OWASP 安全编码规范OWASP 安全编码规范快速参考指南OWASP 测试指南OWASP 代码审查指南OWASPESAPI 安全开发框架SecurityAPIOWASP 软件保证成熟度模型OWASP风险评级方法论OSSTMM- Open-SourceSe
25、curityTestingMethodologyManualISSAF - InformationSystemsSecurityAssessmentFrameworkWASC - WebApplicationSecurityConsortium名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案3.4.3服务交付文档服务交付文档包括但不限于以下文档:序号文件名称文件说明1信息系统基本信息调查表调查表包
26、括系统业务基本信息、业务架构、应用架构、系统保护等级等。2代码审计方案指导代码审计工作的文档,由客户确认。 包括代码审计方法、实施时间、实施人员、实施工具等。3代码审计报告代码审计报告包括代码审计过程、审计整体安全分析、详细审计结果、审计结论与建议等。4代码审计复查报告代码漏洞修复完毕后, 再次代码审计对修复的有效性进行验证,包括漏洞验证情况和审计结论。3.5信息安全巡检服务3.5.1巡检目的安全巡检服务是指使用多种手段,对网络设备、服务器、操作系统、应用系统进行周期性的安全扫描、手工检查、专家分析,并提交检测报告及加固建议。安全巡检服务提供包括网站系统维护和评估、安全审计、监控和配置管理、对
27、相关报告和分析活动的现场支持、分析并解决问题等服务。3.5.2服务内容1)专业工具自动检测评估采用专业的安全扫描工具,如绿盟极光漏洞扫描以及IBM 公司的AppScan安全扫描软件,对网络进行本地漏洞扫描评估,获得详细的漏洞列表,并给出相应的解决方案。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案这个服务能够很快的获得整个网络的脆弱性分布,有助于我们定位网络漏洞并加以解决。2)人工专家分析评估对
28、于安全扫描工具检测不到的安全缺陷,如网页编程不小心造成的帐号、数据库联接或其它信息泄漏,硬盘分区和重要数据存放不合理造成的安全隐患,应用系统设置不当而造成的安全问题等,一般需要通过有经验的安全专家进行细致的专业分析,提出安全建议和解决方案。3)对网站系统安全配置、软件应用配置、分驱信息、服务、本地漏洞等采用专家人工分析与工具扫描结合方法;4)对网络内的重要交换机、防火墙等网络设备的配置策略重点采用专家人工分析与工具扫描结合方法;5)对其他非重要服务主机可以根据实际情况采用工具扫描评估方法。3.5.3输出文档序号文件名称文件说明1信息安全巡检报告报告巡检过程中发现问题,针对巡检和审计结果产生的安
29、全策略调整建议3.6应急响应服务3.6.1应急响应目的应急响应即客户网络被入侵事件,在指定时间内响应或处理完毕用户认为需要进行紧急处理的事件。即时处理用户需要处理的故障,包括问题实体的恢复、故障查因、事名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案件跟踪。使客户网络信息系统在最短时间内恢复正常工作。紧急响应服务包括远程紧急响应服务和本地紧急响应服务。3.6.2服务内容1)制止攻击:确认攻击方向,
30、并切断攻击。2)客户服务上线:保证客户服务在最短的时间内可使用性,在尽可能的情况下减小客户损失。3)消除安全隐患:通过日志信息和其他必要信息,检查后门程序和网络系统漏洞,消除其再次受到攻击的可能性,即消除今后的安全隐患,对系统的安全进行重新评估与安全加固。4)检查日志:通过检查系统、防火墙、路由器等系统安全日志,为确认攻击来源和攻击手段以及调查取证提供必要的条件。5)入侵者追踪:通过所能得到的信息追踪入侵者,并记录其尽可能多的信息,为调查取证提供条件。6)法律保护:通过和国家安全部门的紧密配合,为客户提供法律保证。7)主机恢复:在客户网络或主机受到攻击并且出现网页遭替换或系统丢失等恶性事件后,
31、确认已经消除安全隐患,可在客户授权下根据客户提供的备份系统,在客户网络管理人员的协助下,对应用系统或操作系统进行恢复,保证系统资源在第一时间内的可使用性。8)网络恢复:如客户的路由器等网络设备出现问题,在确定是受到攻击所造成的情况下,确认已消除安全隐患,在经过客户授权并在客户网络工程师的协调下,对网络设备进行恢复,保证客户网络资源在第一时间内的可使用性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决
32、方案3.6.3输出文档序号文件名称文件说明1安全事件现场分析报告针对安全事件进行现场分析后的报告2技术响应报告针对当次安全事件处理后的技术响应报告3事件处理报告针对当次安全事件处理后的技术分析报告事件现象、事件处理过程、下一步工作计划、事件原因分析、安全防护(加固)建议3.7安全防护设备部署根据网站安全现状, 我们建议客户可自行采购以下安全防护设备对网站进行安全防护:3.7.1WEB 应用防火墙WEB 应用防火墙能够缓解来自Internet的各类安全威胁,如SQL 注入、XSS、跨站伪造( CSRF)、 Cookie 篡改以及应用层DDoS(分布式拒绝服务攻击)等,降低网页篡改及网页挂马等安全
33、事件发生的概率,充分保障WEB 应用的高可用性和业务的连续性。同时,针对WEB 服务器侧响应的出错信息、恶意内容及不合规内容进行在线清洗,避免敏感信息泄露,确保网站的公信度。3.7.2网页防篡改系统建议在应用服务器上部署一套网页防篡改系统,以确保网站文件的正确性、安全性,达到事前防御,事后容灾的效果。系统必须具备如下功能:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 20 页 - - - - - - - - - P2P 网贷系统安全解决方案1)具备网站监控防护能力,具
34、有实时保护、事件触发等防护技术,确保网站内容安全和非法页面无法传播,并对网站篡改行为进行记录、现场保护和证据留存。2)具备告警与审计能力,针对网站进行的各类篡改企图或攻击手段,系统提供实时的报警处理,将相关详细信息以手机短信、邮件等告警的方式提交给网站管理人员。详细的日志信息包括篡改日间、IP地址、攻击服务器名称、网站名称、攻击类形等,尤其是对于篡改原文件需要保存,不仅可以用于篡改和攻击责任的追究和落实,同时也为管理人员全面了解网站安全和系统运行状况提供了必须的资料。3)防篡改支持同步与备份,网站发布方式(如ftp、 CMS 等)无缝集成,发布方式可以实现多对一、 多对多、一对多的发布方式, 确保网站内容正常更新维护的自动化、实时性。同时,提供网站备份的能力,以便保障系统实施过程中的初始化可以在不借助第三方软件的情况下顺利进行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 20 页 - - - - - - - - -