XX集团电子商务平台安全解决方案文档格式.docx

XX集团电子商务平台安全解决方案文档格式.docx

《XX集团电子商务平台安全解决方案文档格式.docx》由会员分享，可在线阅读，更多相关《XX集团电子商务平台安全解决方案文档格式.docx（17页珍藏版）》请在冰豆网上搜索。

6.4.1阶段目标14

6.4.2阶段任务14

7．保障措施14

7.1支持体系14

7.2售后服务承诺16

8．公司介绍16

9．成功案例18

1背景及需求分析

1.1背景简介

为了尽快开通集团供应商电子商务平台系统，集团信息中心正在调研二期项目方案可行性。

之前考虑在集团外网建立同等规模的服务器，通过网闸将集团外网数据实时传输给内网，整个项目成本投资1000万左右，该方案投资成本太高,集团内部评估后暂时不考虑。

同时借鉴集团OA安全移动办公项目的成功经验，集团信息中心计划重新建设与OA系统一样安全办公平台。

结合电子商务平台业务特点，系统并发数人数多，安全性高、账号多等原因，如何在最大限度保障数据安全的前提下，实现便捷的移动办公应用，成为当前集团信息中心迫切需要解决的问题。

1.2现状分析

XX集团电子商务系统建设面临的主要挑战是：

Ø

供应商办公人员多,如何避免访问风险

–用户身份不确定;

–核心数据泄露;

–终端端点安全失控;

–木马、蠕虫等病毒威胁;

–传输过程中安全控制;

–网络边界安全;

IT运维成本高，相应不及时

供应商IT环境复杂，降低IT运维成本和提高IT管理效率的压力大。

数量庞大的IT系统用户分布在各地，IT环境异常复杂，如何能够提高IT维护支持的响应速度，同时降低维护的成本、简化IT管理，但又能给最终用户更好的服务，获得更高的满意度。

1.3需求分析

针对以上XX集团电子商务平台系统现状，要求设计全面的解决方案，能够解决以下问题。

应用交付需求：

供应商人员终端不进行硬件及操作系统升级就可以正常访问电子商务平台；

供应商人员利用现有不同网络带宽条件，能够使用电子商务平台系统；

简化IT管理，提升IT生产力。

安全接入应用的需求：

在最大限度保障数据安全的前提下，实现便捷、快速的安全接入；

供应商能够访问正常访问授权电子商务平台，并对供应商人员客户端和整体的系统安全策略进行技术优化，保证接入点安全、高效、稳定的使用公司各种业务；

供应商需要将文件上传到电子商务平台系统中，同时也需要从电子商务平台系统中将文件下载到供应商移动办公人员终端机器上；

供应商人员登录电子商务平台时需要进行审计，包括用户登录行为操作审计、上传文件审计。

1.4对解决方案的性能要求

大规模的系统计算，能够支持10万注册用户，1000并发用户；

系统具有灵活的扩展性，完全支持电子商务平台发布，并且能实现统一的管理。

2技术方案

2.1设计思想

（1）基于协议跳转的跨网访问模式,实现安全模式下便捷的移动办公访问；

（2）应用虚拟化技术解决应用数据不落地，保证集团内网电子商务平台数据信息不会泄密到供应商用户客户终端；

（3）解决移动办公人员能够正常访问授权的系统，并对移动办公人员客户端和整体的系统安全策略进行技术优化，保证接入点安全、高效、稳定的使用公司各种业务。

2.2方案拓扑图

序号

安全设备说明

安全解决思路

安全功能

1

防火墙

解决供应商用户从互联网接入集团外网边界的安全问题

访问控制

2

SSLVPN

解决供应商用户从互联网接入集团外网网络链路传输的安全问题

链路加密

3

应用虚拟化平台

解决供应商用户从互联网接入集团外网，并从外网访问集团内网时，阻止集团内网数据不能达到供应商终端上安全泄露问题

应用虚拟化技术，解决数据不落地

4

网闸

解决供应商用户从集团内网与外网数据的安全交换问题

文件安全摆渡

2.3方案安全策略

集团电子商务平台系统安全策略由4大组件共同构成，即：

防火墙+SSLVPN+应用虚拟化平台+网闸，安全策略详细如下：

1、身份认证策略

✧集团外网SSLVPN身份认证：

只有拥有集团SSLVPN授权客户端身份认证（集团统一授权给供应商安全令牌）用户才能够拨入；

✧集团外网应用虚拟化平台身份认证：

SSLVPN成功登陆后直接跳转到应用虚拟化平台，应用虚拟化平台对供应商客户端身份进行双因子认证；

✧集团内网电子商务平台应用系统身份认证：

应用虚拟化平台成功验证后直接打开集团内网发布业务系统，集团内网业务系统提供了CA身份认证。

说明：

供应商从互联网登录到集团内网时通过三重认证，为了保证登录的安全性及便利性，建议可以采用SSO（单点登录）方式实现。

2、防火墙安全策略

集团外网边界防火墙可以过滤非法用户访问，只有合法供应商用户的安全策略、IP、端口和协议能正常通过集团外网边界防火墙，其它非法用户访问IP、端口、协议全部禁止通行。

3、SSLVPN安全策略

✧对供应商用户的信息进行验证,包括PC硬件以及双因子信息；

✧对合法用户进行访问授权;

✧通过严格的安全策略与接入控制策略，精确地对每一个移动终端人员进行有效的应用访问和审计;

✧通过集群技术，实现的高可靠性，防止单点故障；

✧系统最小化服务，最对外仅提供应用平台一个服务，不对外提供任何其它服务，包括任何其它TCP/IP服务和端口。

4、应用虚拟化平台安全策略

✧应用虚拟化平台实行权限分立，预防供应商用户通过账号进行权限的篡改,从而加强应用交付平台安全可靠性；

✧所有应用系统的访问，都是在精简过的IE浏览器（隐藏IE浏览器地址栏,工具栏等菜单）进行访问；

✧对供应商用户的访问进行全程审计，包括录屏和关键字检索；

✧通过负载均衡技术以及集群技术，实现虚拟应用服务器的高可靠性，防止单点故障；

确保了移动办公人员业务的连续性。

5、网闸安全策略

采用网闸把集团内网与外网应用虚拟化平台进行隔离，确保内部网络资源安全。

3给XX集团电子商务平台带来的价值

3.1个性化定制服务，满足供应商用户快捷访问

⏹快速部署：

可直接在中央服务器上快速部署，而不需要在每台电脑上逐个安装。

⏹可预测性能：

通过任意网络以有线或无线方式高效接入电子商务平台系统。

⏹降低TCO：

能在服务器端有效管理和支持，节约了IT工作人员的时间和精力。

⏹投资保护：

充分利用现有设备和连接方式提供高性能接入，延长网络和电脑硬件的生命周期。

⏹随时随地接入：

供应商可利用任何设备、操作系统和连接方式接入电子商务平台。

3.2供应商远程应用按需接入

在现有网络下无需更改任何应用软件代码，即可实现C/S架构软件Web化，供应商通过浏览器即可访问所有应用，不需要安装应用客户端，实现客户端应用零维护。

3.3降低IT成本

◆延长客户端老设备更新周期，降低设备更新成本；

◆降低网络带宽占用，降低网络成本；

◆降低IT运营维护成本，应用集中管理，客户端零应用维护，大大降低维护工作量，同时也能够更快的交付新的应用。

3.4提升效率，创造价值

统一应用门户，应用单点登录能够提高工作效率，提升应用体验。

◆统一管理所有应用资源，通过集中化应用部署与管理、改善应用性能，能够更好地实现业务协同，提升流程运行效率；

◆IT部门能够快速部署交付应用和数据，提高了工作效率；

◆保证业务连贯性，避免因技术故障导致业务中断，间接创造价值。

4电子商务平台与OA系统差异分析

项目

OA系统

电子商务

关注点

注册用户

500

10万

1、业务系统账号与设备账号是否能同步，建议采用域用户管理

并发用户

200

1000

1、考虑TS授权数量及应用平台数量

2、价格

网络资源

50M出口带宽

1G出口带宽

由于并发用户数多，为了保证供应商访问速度，电子商务平台网络出口带宽要求

1G以上

硬件要求

一台

4-5台OA配置

可以参考OA硬件配置，初步考虑4-5台集中集群部署

硬件参数

参考目前OA硬件配置

最低配置参考目前OA硬件配置

硬件参数主要是CPU、内存、硬盘

部署方式

单机

集群

网络负载可以采用硬件设备

网络拓扑

XXVV方案（CA身份认证+SSLVPN+安全堡垒机+网闸）

与OA一致

建立一条全新的网络和设备通道，不和OA走一条通道

文件上传

单项（只允许上传，禁止下载）

双向（允许上传，并允许下载）

1、考虑文件上传频率及文件大小

2、文件传输的安全性

3、文件不能打开

文件大小

一般在1-2M左右

100M以下大文件

1、上传到服务器速度

2、文件保存及存放位置

文件安全

可以打开

不让打开

1、涉及文件机密级别，禁止打开

2、规定时间内同时打开文件

文件格式

Word、pdf、Excel、jpg、tif

专业加密文件

1、一个是办公文件类型，一个是专业加密文件

发布应用

发布B/S业务OA办公自动化业务系统

B/S和C/S业务电子商务系统

SS0

与VPN设备捆绑，实现SSO登录

应用系统认证

采用用户名和密码身份认证

证书认证

1、OA采用集团统一CA认证系统；

2、电子商务采用国富安身份认证系统，涉及VPN和应用系统认证

项目实施

提前准备、技术已评估

正在准备、技术评估正在进行，系统需要测试

1、OA网络实施周期短，

硬件设备及软件资源提

前准备好了；

2、电子商务项目实施时间短，任务重，问题复杂

运维成本

低

高

供应商人员多，重新问题时需要现场维护

5项目预算

由于项目实际实施的规模还不确定，不能给出准确的预算，这里给出进行预算的参考建议，共分为三个部分：

硬件及网络支撑预算、XX公司软件及硬件预算、项目实施及服务预算。

5.1硬件及网络支撑预算

由项目的实施内容决定，主要是应用系统和用户数。

应用系统要明确哪些应用，以及每个应用每用户的资源消耗。

根据应用系统信息和预计用户使用情况，测算需要的服务器配置。

这里以电子商务平台为例来说明。

电子商务平台客户端单个用户需要消耗200MB内存。

电子商务平台是C/S结构的，这里只考虑部署客户端程序需要的硬件配置资源。

1000个用户同时并发访问电子商务平台需要内存为200GB，假如单台服务器内存配置40GB，则需要5台服务器。

如果认为服务器压力不会完全负荷，可以增加内存或者增加设备。

5.2XX公司软件及硬件预算

根据确定的需求内容和方案进行预算，XX公司的产品主要包括：

应用发布平台

根据并发用户数确定。

SSO单点登陆及CA

根据需求复杂程度确定，标准是根据开发实施工作量进行测算。

5.3项目实施及服务预算

根据方案内容，标准是根据项目实施周期和工作量测算；

6项目实施建议

XX集团电子商务平台系统是一个系统工程，我们建议遵循“统一规划、分布实施、适度超前、应用为先”的原则，分阶段、分步骤进行实施。

计划该项目分四个阶段进行。

6.1第一阶段

6.1.1阶段目标

需求确认及明确方案目标

6.1.2阶段任务

首次访谈并出具初步解决方案

需求详细调研

需求确认并确定方案目标；

出具详细解决方案

方案确认

6.2第二阶段

6.2.1阶段目标

方案论证

6.2.2阶段任务

方案评估并给出意见；

方案可行性及功能性测试；

得出论证结果

6.3第三阶段

6.3.1阶段目标

系统上线实施

6.3.2阶段任务

原形测试

系统上线

6.4第四阶段

6.4.1阶段目标

系统保障，使用培训和售后服务。

6.4.2阶段任务

对IT管理人员进行系统管理培训；

成立售后服务团队，及时提供技术支持；

及时提供产品更新信息；

根据用户需求进行应用改进，对新增和变更需求开发部署。

7．保障措施

7.1支持体系

热线电话支持服务

XX集团供应商用户遇到软件故障或技术咨询服务请求通过客户服务中心的热线电话，或以传真、电子邮件形式告知我公司的支持工程师，我公司服务工程师将在最短的时间内做出响应。

热线电话支持服务包括：

4006-0755-19

产品维护与技术支持

受理客户问题请求；

提供故障排除的解决建议和技术服务；

产品介绍：

向客户提供软件产品简介、受理客户产品咨询以及新产品介绍；

客户投诉：

受理客户对产品和服务方面的意见。

XX公司已经实现了热线服务与内部管理系统的无缝连接。

热线服务在接受客户问题后会立即为客户在内部管理系统中建立服务档案，并利用信息查询系统结合以前用户出现的相关问题的处理记录，为用户选择最合适的服务工程师，工程师也可以依据信息查询系统提供的相关问题处理信息，在最短时间内为用户提供解决方案。

与此同时，内部系统则会对每次服务的处理细节进行纪录和保存，为以后类似问题的处理提供借鉴。

培训体系

培训是帮助用户了解和掌握统一应用管理及应用交付系统，并顺利实施项目的重要手段，是系统实施和运行的关键。

我们为用户方提供全面的、有组织、有计划、富有成效的项目培训，包括现场使用培训、项目系统培训等。

为真正实现向用户的技术转移，将分层次、分系统在XX集团总部进行分期培训。

用户方能够熟练进行系统的日常维护，保证项目建设目标真正实现。

XX公司作为专业的亚太区最值得信赖的应用交付及远程接入解决方案提供商，拥有丰富的项目实施和培训经验。

完全能够确保XX集团IT管理人员能真正了解并熟练使用本系统。

7.2售后服务承诺

终身服务

XX公司对本项目提供终身维护，并从系统验收通过之日起提供一年的免费技术支持和售后服务，一年后进入有偿维护期。

系统故障能够实时响应

若系统发生故障且电话响应无法解决，专业工程师于30分钟内响应，1.5小时内达到现场，并于24小时内修复故障。

8．公司介绍

XX公司是内控领域信息安全解决方案的创新者和领先者，将虚拟化技术创新性的应用于信息安全领域，形成VirtualApp应用交付平台、Janeos堡垒机、神目IT行为审计系统三大产品线和数十种行业应用解决方案，成功应用于海关、电力、电信、金融、医疗、教育等高端行业。

独特定位

XX公司定位于内部控制领域的信息安全方案，主要涉及企业内部超级权限用户的行为管控（包括身份管理、授权、监控、审计等）、信息系统的法规遵从等；

技术领先

XX公司应用领先的虚拟化技术，使数据传输模式发生根本变化，使用协议跳转模式，应用于双网改造和跨网访问、高低安全域数据传输、应用系统安全加固等，成为信息安全领域的领先者。

行业积累

凭借多年服务于高端行业的经验，XX公司积累了丰厚的专业知识和技术人才资源，汇聚了一大批来自电信、安全等领域的国内一流行业精英，并与IBM、微软、Intel等多家国际著名公司结为战略合作伙伴，与国家信息安全重点实验室、国家应急中心、电信研究院等机构具有密切的合作关系。

泰然取自“宇泰定者，发乎天光”，企业只有注重内在修为，在创新、产品技术、行业经验方面不断积累，才能最终赢得客户的信赖和尊重，进而实现我们打造中国内部控制领域最专业、最具影响力的企业的宏伟蓝图。

资质奖项

高新技术企业

双软企业

公安部安全产品销售许可证

中国电信业运营支撑大会并荣获“优秀创新产品”奖

中国通信企业协会通信网络安全专业委员会理事

9．成功案例

案例用户

案例描述

部署拓扑图

部署方式及服务器数量

并发数量

松下中国

松下电器由于企业规模庞大，IT高效运维难度很大，存在许多挑战，特别是如何更好发挥IT系统的效益和有效控制成本，更是长期困扰IT部门的一个难题。

松下中国应用交付项目正式上线使用，成为国内首个并发用户数超过1200个的大型项目，创造行业的新记录。

采用集群NLB单播部署方式，3台IBM服务器，内存8G、多核CPU，采用Windows2003中文企业版（64位）部署

应用系统：

决策系统（C/S）

1200在线用户

格力电器

格力电器有限公司是国内电器行业的龙头企业，有数万家销售网点遍布全国各地。

要管理这样庞大的营销网络，有效的管理模式和高水平的IT系统运作至关重要。

格力电器目前已经建立起了体系完整的IT系统，实现了规范化、程序化的管理，极大地方便公司日常业务的开展，提高了工作效率。

采用集群NLB多播部署方式，6台DELL服务器，内存8G、多核CPU，采用Windows2003中文企业版（64位）部署

格力自主研发营销系统（C/S）

1000在线用户

至高空调

2005年，志高又引进了当时颇为先进的SAPR/3系统，来进行包括财务、后勤（设计、采购、库存、生产销售和质量控制）和人力资源管理等各个方面的信息化建设。

集群部署模式

3台服务器，2G内存，180G硬盘的IBM服务器上，采用Windows2003中文企业版（64位）部署，并发在100左右

SAPR/3系统

100左右