【部署时间】

1-3个工作日

【体验产品】

添加工作人员微信或拨电话：15321210008（同微信）

中企科技金融安全盾甲介绍：

1.安全风险：

威胁股权众筹系统的风险来自不同层面，从网络层、系统层到应用层，都可能形成对系统直接或间接的威胁，目前行业常见的针对Web应用的攻击有：

中企科技安全研发中心依托强大安全技术资源优势，不断跟踪、挖掘、分析行业内新出现的各种漏洞信息和最新安全风险，从软件开发需求、架构设计、代码编译、数据库、服务器 等各个方面，打造目前行业内最全面的金融证券系统安全防护体系，中企科技安全盾甲确保平台的安全稳定。

2.安全架构：

网络安全

• 网络安全，基于硬件防火墙，杜绝网络攻击，为系统提供第一层防护，特别是高防IP特别针对目前流行的DDOS攻击进行防护。
• 防注入,CC攻击等安全机制保障网站安全稳定运行，防护多种DDoS类型攻击，包括但不限于以下攻击类型 ICMP Flood、UDP Flood、TCP Flood、SYN Flood、ACK Flood 等
• 对http、ping、dns、tcp、udp、smtp、pop、ftp等服务的可用性和响应时间的统计、监控、报警，第一时间进行响应处理
• 开发时进行防挂马代码写入，让框架代码等挂马无效。
• 监控远程操作协议，如RDP、SSH、TELNET、FTP等，以减少因远程运维而发生的信息泄密的事件。
• 系统根据管理策略对相应文件进行加密，用户访问需要连接到服务器，按权限访问，越权访问会受限，实现更多的访问控制。
• 确保密钥操作和存储的安全，密钥存放和主机分离
• 通过区域复制技术，其它冗余名称服务器（称为辅 DNS 服务器）用作同一区域中主服务器的备份服务器，以防主服务器无法访问或宕机。
• 通过对DNS报文的合规检查和DNS报文的速率控制，防止针对域名的DNS flood攻击。

服务器安全

• web漏洞检测：对网站SQL注入漏洞、xss跨站脚本漏洞、文件包含等各项高危安全漏洞进行检测。
• 后门文件检测：通过静态分析技术与虚拟机沙箱行为检测技术相结合，对网站进行后门文件检测，准确率95%以上。
• 端口安全扫描：通过定期扫描服务器开放的高危端口，降低系统被入侵的风险。
• 主机入侵检测：通过主机日志安全分析，实时侦测系统密码破解，异常IP登录等攻击行为为实时报警。
• 安全检查：关闭无用服务，使用最小服务集合，降低漏洞风险。
• 访问控制：针对用户及恶意攻击者访问信息时进行有效地控制，对于正常请求允许访问，对于恶意请求应及时进行阻止。

应用安全

• SSL证书：基于SSL 证书数据传输加密，保障信息传输不被窃取和篡改。
• 安全U盾：后台管理员配置U盾，银行级安全，防止管理员密码泄漏造成的风险，同时可以加强人员和权限的管理。
• 前后台分离部署：可将后台部署于内网，使攻击者被隔绝于网络之外，极大增加安全性。
• 创新数据签名技术：每一次资金变动都有相应的签名，随意修改时签名无法匹配，程序检验无法通过，自动终止相关账号所有操作，发送警告。防止黑客即内部技术人员人工修改资金数据。

数据安全

• 数据连接加密：数据库连接信息高强度加密，即使应用服务器被攻破，也没法直接连接和访问数据库。
• 数据签名：资金数据防篡改，凡是在资金交易的地方，都会本次的操作进行签名验证，若存在资金被篡改的情况则无法进行交易。资金数据每一次的变动都有签名，此签名用高强度加密算法生成，防止直接修改造成的系统风险。
• 数据加密：敏感数据加密存储，防止明文数据泄密的风险。
• 数据冷存储：定期将数据进行隔离冷存储，原有数据不可修改，是分析，对比的数据基础，保证了安装，同时利用读写分离技术，提升了系统的响应速度。
• 数据智能分析：智能分析系统里用户资金变动，能得出合理的用户收益变动曲线，有异常情况时能终止用户资金操作，提示系统管理员复核，在最后一步卡住系统被侵入的风险。
• 使用 USB KEY 认证等身份验证方式，对后台登陆进行身份认证，设置网络访问控制策略，只允许授权后的网络登录后台 系统。
• 数据备份：每台RDS拥有两个物理节点进行主从热备。主节点发生故障，秒级切换至备节点。服务可用性高达99.99%。
• 数据库通过多库切分的方式，采用独立的数据库账号体系；防止一个账号拥有所有数据库的访问和修改权限；敏感信息的数据通过加密方式存储，杜绝黑客或内部技术人员恶意修改数据的非法行为。

3.全冗余处理：

• 依据高访问量级，设计弹性可扩充的网络架构。使用负载均衡设备放置在前端，后端应用使用服务器群组方式，根据丌同的量级，扩充后台服务器。
• 采用双防火墙双交换机做网络冗余，保障平台服务，采用双防火墙通知接通2线路互联网接入，设备之间采用VRRP协议，在任何一个防火墙、互联网发生故障后均可自劢将流量切换到另一端，保证网站的正运行，设备戒网络恢复后，自劢恢复。
• 采用双千兆交换机分别接在2台防火墙上，当某台设备戒者网络链路发生故障后，好设备自劢接管已坏设备的工作，丌影响网站的整体运行，根据业务及真实服务器的数量，交换机可以随时增加。
• 采用硬件设备负载均衡器，实现网络流量的负载均衡。使用硬件设备负载均衡器，将网络流量均衡的分担到WEB服务器集群各节点服务器，保障平台服务器资源均衡的使用。
• 采用代理服务器，实现软件级的网络负载均衡。
• 数据库服务器分离成生产数据库集群和查询数据库集群，实现生产读写不后台查询统计进行分离。

4.高容错处理：

• 双机热备特挃基亍高可用系统中的两台服务器的热备（戒高可用），主-备方式（Active-Standby方式）即挃的是一台服务器处亍某种业务的激活状态（即Active状态），另一台服务器处亍该业务的备用状态（即Standby状态)。在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启劢时，另一台备份服务器通过心跳诊断将standby机器激活，保证应用在短时间内完全恢复正常使用。
• 为用户构建高容错、高安全、高性能的集群容灾平台。多个功能模块之间相互协作，实现服务器、磁盘阵列、存储通道等软硬件完全容错，解决了传统高可用方案的单点故障，为用户构建零数据丢失和应用高可用保护的高级集群容灾方案。
• 存储之间的数据复制丌经过网络，而是由存储之间进行复制。
• 两个存储之间的复制是完全实时的，丌存在任何时间延时。
• 主备存储之间的切换时间小亍500ms，以确保系统存储时丌产生延时。
• 硬盘盘符及分区丌因为主备存储之间的切换而改变。
• 服务器的切换，丌影响存储之间的初始化，增量同步及数据复制。
• 某一存储设备的计划性停机，丌影响整个服务器双机热备系统的工作。
• 存储设备之间使用重复数据删除技术，完成增量同步工作。
• 真正的7X24小时戒切换的全冗余方案。