打造安全的互联网金融平台
34页1、 2015 绿盟科技打造安全的互联网金融平台侯俊 -绿盟科技技术经理现实的问题我们本应是网络安全主力军 但在前线的却往往是我们的客户! DDoS、Web入侵、撞库、拖库、钓鱼、接口安全互联网风险 资金与支付风险 基于用户身份的仿冒、欺诈、洗钱 合规与风控 手机与App风险 敏感信息泄露金融风险Know Your Enemy规划 靠谱的供应商 可靠的平台环境 成熟的方案建设 设计 规划 开发 测试运营 内部,安全体系 外部,必要资源打造一个小的生态环境从不同角度看安全保护关于资产,What we have?Web端微信端手机客户端API接口虚拟资产其它资产数据账号人员框架组件版本端口接口安全加固 操作系统 数据库 应用服务器 网络设备网络安全管理 安全域划分 访问控制 边界管理 无线管理 终端管理 权限管理检查手段 漏洞管理 安全基线 持续监控关于安全运维 深度防御原则 Defense in Depth 在业务的各个阶段都要考虑安全性,避免单点防御被 突破造成的安全风险。合适的安全策略他山之石“捻乱止于河防”http:/ 具体措施:坚壁清野、步步为营、层层设防金融行业新生儿,对安全重视程
2、度远低于银行互联网化,风险增加快速迭代,保障滞后开发人员,认知水平开发安全关于应用开发WEB安全脆弱性分析Web安全漏洞数据传入传出校验不充分Sql注入XSSCSRF目录穿越文件上传代码注入命令注入信息泄漏整数溢出逻辑缺陷越权漏洞非授权对象引用业务逻辑缺陷环境缺陷框架漏洞基础环境漏洞系统各阶段的修复成本0 0倍倍5 5倍倍1010倍倍1515倍倍2020倍倍2525倍倍3030倍倍3535倍倍需求需求/ /架构架构编码编码集成集成/ /组件测试组件测试系统系统/ /验收测试验收测试发布发布需求调研/ 分析人员培训代码审计渗透测试设备防护改善应用安全的关键成熟的方案 架构设计 防护方案 代码审计 安全测试安全工作早介入安全成本得以有效降低以生命周期的形式持续改进整合资源规避安全专家不足这一客观事实带来的瓶颈,使业务部门、安全管理部门和软件开发部门采用一致的方法改善安全性建立一套安全需求和编码规范根据开发环境和业务环境进行定制化从源头避免安全问题引入方便新人安全开发让安全要求更加清晰一些建议从攻击威胁角度:据Gartner统计, 75%以上的攻击都瞄准了网站应用(Web) 从开发商角度:不
《打造安全的互联网金融平台》由会员ldj****22分享,可在线阅读,更多相关《打造安全的互联网金融平台》请在金锄头文库上搜索。
2024-03-21 1页
2024-03-21 1页
2024-03-15 2页
2024-03-01 2页
2024-03-01 2页
2024-02-28 118页
2024-02-28 152页
2024-02-28 87页
2024-02-28 92页
2024-02-28 96页