B2B是指企业与企业之间通过专用网络或Internet,进行数据信息的交换、传递,开展交易活动的商业模式。它将企业内部网,通过B2B网站与客户紧密结合起来,通过网络的快速反应,为客户提供更好的服务。B2B商城平台系统涉及很多关于用户的、商品的敏感数据,必须做等级保护。怎么做?一站式等级保护解决方案服务提供商青莲网络提供B2B商城平台系统三级等保测评案例。
 
一、B2B商城平台系统介绍
 
某信息科技集团有限公司是华南互联网B2B平台之一,涉及多个行业的电商采购业务,旗下的B2B商城平台系统是该公司信息化建设的重要业务组成部分,结合《网络安全法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等多项标准,该平台系统需要做三级等保。
 
二、B2B商城平台系统三级等保测评案例
 
为了落实等级保护,该B2B商城平台系统需要按照定级、备案、整改、测评、监督检查的流程,进行等级保护工作的办理。在这篇文章中,我们重点说明该平台系统的测评和整改工作。
 
等级测评主要就是为了核查信息系统是否符合等级保护的安全要求。一般情况下,测评机构/安全公司会先对系统进行一轮差距测评,以发现信息系统存在的安全问题。差距测评结束之后,企业/安全公司需要根据差距测评的结果,对信息系统进行安全整改,将不符合等保要求的部分变为符合,比如缺少安全设备就购买并部署安全设备。整改完成之后,信息系统基本已经符合等保要求,测评机构对信息系统进行验收测评,测评通过,就算是通过了等级保护认证。
 
根据差距测评的结果,该B2B商城平台系统存在的主要安全问题如下所示:
 
云安全中心(态势感知)
1.该安全服务未具有可信根芯片或硬件,将导致黑客攻击。
2.该安全服务未使用密码技术进行身份鉴别,登录口令可能被恶意用户猜测获得,合法用户身份被仿冒,导致系统被非授权访问。
3.该安全服务未设置合理的登录超时退出功能,登录口令可能被恶意用户使用暴力猜解方式获得,合法用户身份被仿冒,导致系统被非授权访问。
4.该安全服务未对终端的接入网络地址进行限制,存在非法人员可以远程登录服务器的风险,容易遭受网络攻击。
 
Web应用防火墙
1.该安全服务未具有可信根芯片或硬件,将导致黑客攻击。
2.该安全服务未使用密码技术进行身份鉴别,登录口令可能被恶意用户猜测获得,合法用户身份被仿冒,导致系统被非授权访问。
3.该安全服务未设置合理的登录超时退出功能,登录口令可能被恶意用户使用暴力猜解方式获得,合法用户身份被仿冒,导致系统被非授权访问。
4.该安全服务未对终端的接入网络地址进行限制,存在非法人员可以远程登录服务器的风险,容易遭受网络攻击。
 
堡垒机
1.该安全设备未对终端的接入网络地址进行限制,存在非法人员可以远程登录服务器的风险,容易遭受网络攻击。
2.该安全设备未具有可信根芯片或硬件,将导致黑客攻击。
 
阿里云控制台
1.该安全服务未具有可信根芯片或硬件,将导致黑客攻击。
2.该安全服务未使用密码技术进行身份鉴别,登录口令可能被恶意用户猜测获得,合法用户身份被仿冒,导致系统被非授权访问。
3.该安全服务未设置合理的登录超时退出功能,登录口令可能被恶意用户使用暴力猜解方式获得,合法用户身份被仿冒,导致系统被非授权访问。
4.该安全服务未对终端的接入网络地址进行限制,存在非法人员可以远程登录服务器的风险,容易遭受网络攻击。
 
针对该平台系统存在的这些主要安全问题,青莲网络一站式安全专家全程参与,制定了专属整改方案并落地实施。最终,该平台系统安全状况满足了等级保护的基本要求。测评机构验收测评的测评结论得分为90.09分,可以算得上是高分通过等级测评。
 
在详细整理等保相关标准规范的基础上,青莲网络为全国企业提供一站式等保项目解决方案,覆盖定级、备案、测评、整改全阶段,能帮助企业快随、合规通过等级保护认证。截至目前,我们已帮助上百家企业成功通过等保认证。