1、新零售安全解决方案王晓东( 麓飞)无处不在的安全威胁新零售以互联网为依托,对线上服务、线下体验以及现代物流进行深度融合的零售新模式,进而重塑业态结构与生态圈。因此新零售与我们每个人的生活息息相关,电商交易系统不仅存有海量的用户敏感数据,而且直接涉及到资金交易。因此,零售行业面临着多种多样的安全威胁 。黄牛刷单 恶意登录 DDoS攻击 流量劫持0元下单信息泄露 APP安全 活动作弊电商行业著名数据泄露事件WannaCry席卷全球,让我们需要重新审视安全体系2017年 5月 12号全球爆发大规模勒索软件 WannaCry感染事件,我国大量行业企业内网大规模感染。截止到 5月 13日 23时,病毒影
2、响范围进一步扩大,包括医疗、电力、能源、银行、教育、交通等多个行业均遭受不同程序的影响。阿里云早在 WannaCry漏洞公开之初,就针对该勒索病毒开启内部应急响应机制。在用户允许的前提下,为用户关闭高危端口,修复漏洞。同时,对阿里云上的客户安全进行持续监测,精准定位受影响主机和客户,最大程度化解风险。总结过去,主要集中在以下几个方面:1、安全意识的错位事后补救,而不是事前监控和预防 。把内网隔离等同于安全 。缺乏对数据进行定期备份的意识 。2、安全责任的缺位3、整体安全能力的 缺乏国家政策趋势网络安全法带来的转变随着我国对网络 安全的重视程度不断提高, 网络安全法 也应运而生。在历时一年多的立
3、法过程后 ,于 2016年 11月由全国人大表决通过,于 2017年 6月正式生效。 第一章 总则第二章 网络安全支持与促进第六章 法律责任第七章 附则第五章 监测预警与应急处置第三章 网络 运行安全 第四 章网络 信息安全第一节一般 规定第 二 节关键 信息基础设施 的运行 安全第 2128条网络运营者的安全职责第 31、 32和 39条国家对于关键基础设施运营者的监管第 3338条关键基础设施运营者的安全职责第 2930条国家对于网络运营者的监督与支持第 4042、 4749条网络运营者的 信息安全职责第 43、 44和 46条个人与组织的信息安全职责第 45、 50条国家对于网络信息安全
4、的监管民事处罚刑事处罚第 21条 ,等级保护、网络攻击防护、网络入侵防护、日志保存 60天第 24条 ,实名制 要求;第 25条,应急预案;第 42条, 个人信息保护;1999国家质检GB17859-1999第一个国家信息安全强制标准国务院 147号令正式要求实行安全等级保护中办发 200327号文件公通字 200466号文件公通字 200743号文件GB/T22239和 GB/T22240发布国家信息安全专项(发改高技 【 2008】1736号) -酝酿全国测评体系公安部三定方案:等级保护,各地网警发改高技 20082071号 :电子政务应用一证两报告全国公安机关网络安全保卫部门全国安全测评
5、体系 -测评机构发改高技 20121986号联合国资委发文 -推动中央企业金融等级保护标准颁布公安部组织云计算、 物联网、工控、移动互联等保国家标准编制申报阿里云参与并牵头国务院 5号公安部推动全国等级保护建设体系建设网络安全法等保标准更名云计算等保标准国家、部委、行业持续推进阿里云成为全国首家云等保试点示范平台,高分通过四级云平台诞生等级保护 2.0时代 阿里云成为全国 首家 云等保试点示范平台 金融云平台 通过 等保四级 备案、测评; 稳步成为国家关键信息基础设施 电子政务云平台等保三级备案、测评;助力 “政务互联网 +”工程 公共云平台通过等保三级备案、测评;普惠安全等级保护进入 2.0
6、时代等级保护建设路径咨询设计 整改建设 安全测评目标:全面识别安全风险和安全需求,提出符合内部发展与外部监管相结合的安全方案。主要工作: 现状调研 系统定级、备案 差距分析 风险评估 方案设计目标:基于等级保护结合其他合规要求,对现有系统进行安全整改,并建立起安全防护体系框架。主要工作: 安全感知能力建设 安全防御能力建设 安全响应能力建设 安全运维能力建设 安全管理能力建设目标:邀请第三方安全测评机构对信息系统进行整体安全测评,出具测评报告。主要工作: 信息安全等级保护测评 红蓝军对抗防护效果评估咨询设计阶段:系统定级 信息系统定级原则 :“自主定级、专家评审、主管部门审批、公安机关审核” 。 定级 工作流程 :摸底调查、确定定级对象、对信息系统进行重要性分析、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核 。定级备案 现状调研 差距分析风险评估 方案设计数据安全性 业务可用性咨询设计阶段:差距分析定级备案 现状调研 差距分析风险评估 方案设计根据现状调研和风险分析,根据 信息安全技术 信息系统安全等级保护基本要求 的要求及信息系统的定级标准, 结合信息系统的现场调研和基本要求的相应等级指标,进行等级保护差距分析,明确不符合项及与安全要求之间的差距及可能造成的风险。
