汽车融资租赁业务系统属于互联网金融系统,具有如下由于其行业属性及客观环境导致的技术风险:
1.数据安全问题。主要体现在三个方面:
(1) 后台数据库安全问题。数据库里包含了客户资料,业务信息,资金流水信息等。一旦数据遭到窃取、泄露、非法篡改,将对个人隐私、客户权益、人身安全构成威胁,犯罪分子可以通过对数据的收集分析,有机会获得更精准有用的信息。因此,后台数据库安全要解决核心数据资源面临的“越权使用、权限滥用、权限盗用”等安全威胁;
(2)数据传输安全,防止数据在传输过程中被非法应用截取;
(3)数据容灾备份,数据的容灾机制要求比较高,防止个别机房或者服务器奔溃后的数据丢失及系统奔溃。
2. 网络安全风险。本次实施的系统部署于开放的互联网上,与传统内部管理系统有非常大的区别。网络通讯处于一个开放的环境中,容易被网络黑客或者计算机病毒的攻击,一旦遭遇黑客攻击,将影响系统的正常运作,危及系统的数据及资金安全。
3. 安全应急技术薄弱。当前的互联网网络安全问题突出,且计算机及云平台无法保证单机100%稳定,且系统要求全天候运行,所以系统在碰到安全问题、网络问题或者计算机硬件问题后的应急技术处理显得尤为重要。
针对以上技术风险,仁润股份在汽车融资租赁系统设计及建设时,参考《信息系统安全等级保护基本要求》、《信息系统等级保护安全设计技术要求》、《信息系统安全等级保护实施指南》等信息系统安全等级相关标准,在系统开发、系统部署及运行维护上达到信息系统安全等级2级标准。包括但不限于以下应对措施:
(1)数据库数据存储中,对于个人隐私数据执行加密存储;
(2)数据库及应用服务器部署在独立的内网网络环境中,防止在数据传输过程中被截取;’
(3)系统在使用阿里云的环境中,使用dts同步主数据库到异地rds数据中,且每天使用dbs实习备份的异地私有oss存储(权限控制);
(4)系统配置使用ssl证书进行通讯报文的加密传输;
(5)通过登陆用户的ip判断地域,使用短信动态码登陆,可控制用户单一在线手段,防止账号被黑客控制或破解;
(6)部署waf防火墙;
(7)采用负载双机保证系统,在单机故障情况下,系统仍能正常运行;
(8)建议使用防ddos等预防流量攻击的第三方服务器;
(9)数据采用每日备份和增量日志备份,同时进行异地存储;
(10)制定数据丢失,服务器停机等应急处理方案。