本文作者:qiaoqingyi

网络安全日志审计(网络安全日志审计系统 数据库设计)

qiaoqingyi 02-06 139

  2017年6月1日,《中华人民共和国网络安全法》正式生效,自从网络安全法逐渐开始草拟阶段,中国多部委便已主动开展工作,联合多家行业内知名信息安全企业每年举办一届网络安全大会,从2013年至今已成功举办四届。

  大会以“全球化的网络安全”为永久主题,旨在引入并借鉴国际信息安全领域最前沿的防护理念与技术成果,洞悉交流全球信息安全最新发展趋势,聚焦探讨信息安全技术与应用热点话题,与国际安全创新防护理念同步,从而推动我国网络安全保障体系建设,提升国家重点行业网络安全防护水平。

  

  本次大会亿保健康的安全代表也主动参加了本次会议,与各个参加的专业信息安全公司进行了广泛的交流,参加了多场信息安全技术公司分享的前沿报告会,从本次报告会的内容来看,信息黑市交易依旧有增无减,就算中央打击了以比特币为典型的黑市交易货币,暗网中相对稳健的其他电子货币依旧充当着信息买卖的主要流通货币,据估算本次打击后,总体的黑市货币交易量在短期后迅速反弹,很明显国内信息黑市交易的数量依旧庞大,个人隐私信息泄露和买卖问题依旧严峻!

  在面对恶意的骇客攻击威胁中,亿保健康采用国际领先的逻辑层的数据风险的全面识别标准和开发标准,我们选用由谷歌、华为、阿里巴巴等it巨头为核心成员的“开放式网页应用程序安全项目基金会”(OWASP,Open Web Application Security Project)制定的安全标准作为亿保健康在线信息系统的前置性风险识别的工作标准。此标准对任何安全风险的威胁成因和危害源头都做了分门别类的识别工作。尤其最为突出的是亿保健康已经升级采用2017年最新版的OWASP top 10 风险识别新标准作为系统的风险识别管控标准以此替代2013年版的旧标准。

网络安全日志审计(网络安全日志审计系统 数据库设计)

  

  2017年对2013年标准修改的图示

  亿保健康在信息建设上开启了两步走战略,不仅仅在技术的业务数据场景下考虑风险问题,还在硬件级别的安全风险做了前置性基础评估,预防了数据安全的运行风险和经营性风险。

  其一在基础硬件层面,亿保健康使用了云主机技术中的云数据库技术,部署云数据库的核心技术就是数据库采实例采用了满足金融级别要求的两地三中心原则的主备架构,两个数据库运算实例位于不同服务器,自动同步数据。主实例数据校验结果被判别为不可用时,系统会自动将数据库连接切换至备用实例,并且将正确的数据内容矫正到主数据库。当硬件出现故障时,系统将会自动判断哪一座城市的机房可以连通,可连通城市中哪一个机房可以连通,并完成自动切换。这就保证了不管是数据库运算方面出现故障,还是运行数据库的机房出现故障,乃至城域网的光缆出现故障,在数据基础安全方面亿保健康可以保证每一条数据的正确性和完整性。

  其二在技术业务场景风险中,亿保健康在打造的下一代抽象风险识别中投入了极多的研发资源。在这种风险识别方法中,系统将不同的信息调度行为记载到日志中,亿保健康所记录的日志已经大大超过网络安全法所规定的六个月的数量,所以在审计中技术人员可以将某一个时期日志中的数据进行图形抽象,在巨大的数据中图中任何微小的数据异常,都会导致图像产生异常点,相关人员都可以此作为发现信息异常的线索,大大缓解了传统的风险分析方法论需要大量人力和时间带来的低效问题,并大大提升了针对不可知风险的判断概率。

  亿保健康早在2015年便通过了公安厅系统安全等级三级认证,并每年通过信息系统安全等级保护的复评。中国大型的保险公司的信息系统全部是以通过民用等级保护中最高级的等保三级检测作为信息系统的安全审查标准之一,亿保健康作为高度重视信息安全的企业,在信息系统满足等保检测条件后,第一时间提出了等级保护的检测申请,并顺利通过!取得了民用系统中最高的三级认证!

  

  

  2017年亿保健康又一举成功通过了国际性的iso27001信息安全管理体系认证,进一步确立了我司在行业中信息安全建设的领头羊的地位,让我们的用户和合作伙伴坚实的相信亿保健康在用户隐私和商业敏感信息所许下的承诺不是纸上谈兵,而是付出实际行动的坚实承诺。

  

  ISO27001的证书

  之所以亿保健康所有服务的保密条款之所以如此严密严整,是亿保健康对于自己的安全技术的全面自信,每一条对用户和对合作伙伴的信息安全的条款,就是亿保健康的承诺,这也是每一个亿保人用实际行动所树立的品牌价值!

阅读
分享