客户案例

上海证券交易所项目案例(网络安全综合建设)


| 项目背景 PROJECT

上海证券交易所下设上交所技术有限责任公司、上证所信息网络有限公司、上证金融服务有限公司等控股子公司,通过其合理分工和协调运作,有效担当起证券市场组织者、监管者的角色。

..................................................................................................................................................................................................................................................................

| 项目内容 CONTENT

上海证券交易所 - 安全服务

上海证券交易所拥有可支撑上海证券市场高效稳健运行的交易系统及基础通信设施,拥有可确保上海证券市场规范有序运作、效能显著的自律监管体系。对安全尤为重视,安恒信息作为资深安全厂商在多方竞争中脱颖而出,负责客户的安全服务,主要内容有渗透测试、风险评估、安全规划、基线核查、高级预警等。通过全方位立体式服务,将技术手段和管理措施有机结合,协助客户提高信息系统整体安全防护能力。

上海证券交易所 - 安全开发运维平台

通过安全开发生命周期为依据建设用户相关管理规范,包括安全需求、开发规范等管理制度,通过代码审计,渗透测试等白盒、黑盒的安全检测手段,保障应用系统从开发到上线阶段的安全,降低系统在运维阶段的漏洞整改成本。 同时,共同打造基于敏捷开发模型下的安全管理类平台SecurityPlus,实现自动化多工具上线安全检测的能力。 通过平台建设,客户形成动态的安全检测成果输出和实践机制,多工具自动化调用的能力大大提高了测试的效率,减少人工干预也保障系统在开发阶段的安全性。

上证所信息网络有限公司 - 产品项目

上证所信息网络有限公司负责建设和运维上证所网站及信息公司网站,该网站以先进、易用、高效、安全为服务理念,以业务应用和信息披露为核心功能,是投资者获取证券市场信息以及上市公司、证券公司、基金公司等机构与上海证券交易所之间开展网上业务的重要平台。

客户通过部署安恒明御 Web 应用防火墙对 SQL 注入、跨站脚本、协议违规等攻击行为做到有效防护,通过智能防护对扫描行为实行有效的阻断效果,有效保障了公司主站、支付系统以及办公应用的安全、稳定、高效的运行。

上证所信息网络有限公司 - 安全服务

客户通过多家安全厂商的考察咨询,选择安恒信息作为整体安服供应商,主要服务内容涉及到渗透测试、代码审计、APP测试、上线前业务咨询、等保咨询、重大保障、安全培训等,通过过硬的安全素养和专业的服务能力,以及完善的项目实施方案尽职尽责地保障客户安全。

上交所技术有限责任公司 - 产品项目

上交所技术有限责任公司负责交易所信息技术系统及重要技术基础设施的规划、建设和运行保障,维护市场安全平稳高效运行。考虑到Web应用系统运行的稳定以及安全性,客户采用部署安恒明御 Web 应用防火墙对 SQL 注入、跨站脚本、协议违规等攻击行为做到有效防护,通过智能防护对扫描行为实行有效的阻断效果,针对一些对外的重要的展示Web页面通过部署明御网站卫士网页防篡改,针对非法的尝试篡改页面行为能够做到及时阻断并告警,杜绝一切非法篡改页面的可能性,为站点提供了高性能、高可靠、全面的安全保护机制。

..................................................................................................................................................................................................................................................................

| 项目价值 VALUE

通过此次项目实施,安恒信息通过新型服务业务DevSecOps为核心,结合传统的安全培训、安全测试和SDL的工作完成了与上海证券交易所的又一次合作。至此,安恒信息已全面与上证所的各级单位,子公司建立了良好的合作关系,安恒信息的安全产品和安全服务能力得到了上证所领导的一致认可和广泛好评,树立了安恒信息在证券行业的良好形象。

本项目的客户收益包括以下四点:

> 建立了一套符合实际情况的安全管理规范。通过目标系统规范实践,明确安全需求库以及安全测试规范和安全测试指引等规范文档  

> 通过事前的安全检测、事中的安全防护加固、事后应急响应追踪溯源,确保业务系统安全、高效、稳定运行

> 基于安全需求库及各阶段输出的安全漏洞和安全报告,协助上证所建立一套安全管理平台,进行相关信息的查询与展示

> 基于现有环境开发部署一套安全开发运维平台,以安全开发规范体系中的安全标准为输入,整合多种安全工具输出一份综合报表,实现安全检测自动化与制度落地