电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

打造安全的互联网金融平台

34页
  • 卖家[上传人]:ldj****22
  • 文档编号:46128041
  • 上传时间:2018-06-22
  • 文档格式:PDF
  • 文档大小:2.16MB
  • / 34 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 1、 2015 绿盟科技打造安全的互联网金融平台侯俊 -绿盟科技技术经理现实的问题我们本应是网络安全主力军 但在前线的却往往是我们的客户! DDoS、Web入侵、撞库、拖库、钓鱼、接口安全互联网风险 资金与支付风险 基于用户身份的仿冒、欺诈、洗钱 合规与风控 手机与App风险 敏感信息泄露金融风险Know Your Enemy规划 靠谱的供应商 可靠的平台环境 成熟的方案建设 设计 规划 开发 测试运营 内部,安全体系 外部,必要资源打造一个小的生态环境从不同角度看安全保护关于资产,What we have?Web端微信端手机客户端API接口虚拟资产其它资产数据账号人员框架组件版本端口接口安全加固 操作系统 数据库 应用服务器 网络设备网络安全管理 安全域划分 访问控制 边界管理 无线管理 终端管理 权限管理检查手段 漏洞管理 安全基线 持续监控关于安全运维 深度防御原则 Defense in Depth 在业务的各个阶段都要考虑安全性,避免单点防御被 突破造成的安全风险。合适的安全策略他山之石“捻乱止于河防”http:/ 具体措施:坚壁清野、步步为营、层层设防金融行业新生儿,对安全重视程

      2、度远低于银行互联网化,风险增加快速迭代,保障滞后开发人员,认知水平开发安全关于应用开发WEB安全脆弱性分析Web安全漏洞数据传入传出校验不充分Sql注入XSSCSRF目录穿越文件上传代码注入命令注入信息泄漏整数溢出逻辑缺陷越权漏洞非授权对象引用业务逻辑缺陷环境缺陷框架漏洞基础环境漏洞系统各阶段的修复成本0 0倍倍5 5倍倍1010倍倍1515倍倍2020倍倍2525倍倍3030倍倍3535倍倍需求需求/ /架构架构编码编码集成集成/ /组件测试组件测试系统系统/ /验收测试验收测试发布发布需求调研/ 分析人员培训代码审计渗透测试设备防护改善应用安全的关键成熟的方案 架构设计 防护方案 代码审计 安全测试安全工作早介入安全成本得以有效降低以生命周期的形式持续改进整合资源规避安全专家不足这一客观事实带来的瓶颈,使业务部门、安全管理部门和软件开发部门采用一致的方法改善安全性建立一套安全需求和编码规范根据开发环境和业务环境进行定制化从源头避免安全问题引入方便新人安全开发让安全要求更加清晰一些建议从攻击威胁角度:据Gartner统计, 75%以上的攻击都瞄准了网站应用(Web) 从开发商角度:不

      3、清楚如何安全编码,传统开发规范只注重参数、函数命名规 范,注释规范,参数长度规范等,对于代码安全、业务处理逻辑安全方面的要求 几乎没有 从需求方角度:无法提出具体的安全要求安全开发规范OWASP必要的安全上线流程 提交申请需求 提交上线设备相关资料上线申请 输出检查结果上线检查 相关问题修复问题整改 更新资产清单 确认访问控制策略系统上线 页面变更 资产变更系统变更从事件看安全保障黑客也喜欢赶场惊心动魄的一天,池建强 人员储备 合作伙伴 应急预案 资源储备 真实演练安全应急判断入侵是否在判断入侵是否在 可控制的范围可控制的范围断开主机网络断开主机网络,启动备份启动备份 机机,并恢复数据到备份系统并恢复数据到备份系统保护现场保护现场,阻止非相关人员阻止非相关人员 接触服务器接触服务器由专业人员检查系统入侵原由专业人员检查系统入侵原 因因,备份相关数据备份相关数据,制订相制订相 应的修复方案应的修复方案安全审计及事故分析安全审计及事故分析消除安全隐患消除安全隐患,安全策略调安全策略调 整整评估损失评估损失,归档记录归档记录应急结束应急结束应急开始应急开始判断系统被入侵判断系统被入侵杀掉非法

      4、进程杀掉非法进程,修补修补 漏洞漏洞演练目的加强员工安全意识增强技术实力应急协调管理验证工具与流程寻找未知问题定期演练每种类型至少半年一次演练类型入侵Web篡改DDOS病毒故障社工内部人员问题安全演练 频发的APT攻击事件告诉我们,员工都是企业安全最薄弱的环节。 在发起攻击时,黑客往往采用社会工程学手段对目标组织的员工下 手,而这些手段中首当其冲的就是邮件钓鱼。在社工面前,我们能做些什么?安全管理中人的因素无论问题最初看起来怎样,它 始终是人的问题。-Gerald M. Weinberg从变化看安全发展 网络攻击在演化系统入侵业务攻击社工APT大数据?QQ、网站系统、手机人员、智能家居企业、机构群体、行业互联网、物联网风险也在演变 比如,薅羊毛党业务风险浮出水面 重点从业务角度考虑 防范套利,防止被人“空手套白狼” 提高返利和收益门槛 多重要素验证 人工识别 机器识别 用户行为分析业务风险应对办法数据收集 资产信息 数据、日志、代码 历史漏洞与安全事件 安全相关人员名单 重复太多的安全工作 定期收集各相关人员的安全工作反馈 厂商资源 泄露在互联网的数据 用户操作行为数据分析 历史漏洞与事件原因总结分析 安全工作内容分析优化 行业安全分析 业务变化分析 用户行为分析数据收集与分析木桶原理安全设备保障系统安全加固应急响应措施全员安全意识形成日常安全管理制度一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么 这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。安全的短板,是变化的水面之下 获取安全资讯和情报 获取技术资源和能力 获取最新的解决方案 其它方面的资源 输送各类安全人才安全公司(乙方)能帮上什么?持续关注互联网金融安全动向!

      《打造安全的互联网金融平台》由会员ldj****22分享,可在线阅读,更多相关《打造安全的互联网金融平台》请在金锄头文库上搜索。

      点击阅读更多内容
    最新标签
    发车时刻表 长途客运 入党志愿书填写模板精品 庆祝建党101周年多体裁诗歌朗诵素材汇编10篇唯一微庆祝 智能家居系统本科论文 心得感悟 雁楠中学 20230513224122 2022 公安主题党日 部编版四年级第三单元综合性学习课件 机关事务中心2022年全面依法治区工作总结及来年工作安排 入党积极分子自我推荐 世界水日ppt 关于构建更高水平的全民健身公共服务体系的意见 空气单元分析 哈里德课件 2022年乡村振兴驻村工作计划 空气教材分析 五年级下册科学教材分析 退役军人事务局季度工作总结 集装箱房合同 2021年财务报表 2022年继续教育公需课 2022年公需课 2022年日历每月一张 名词性从句在写作中的应用 局域网技术与局域网组建 施工网格 薪资体系 运维实施方案 硫酸安全技术 柔韧训练 既有居住建筑节能改造技术规程 建筑工地疫情防控 大型工程技术风险 磷酸二氢钾 2022年小学三年级语文下册教学总结例文 少儿美术-小花 2022年环保倡议书模板六篇 2022年监理辞职报告精选 2022年畅想未来记叙文精品 企业信息化建设与管理课程实验指导书范本 草房子读后感-第1篇 小数乘整数教学PPT课件人教版五年级数学上册 2022年教师个人工作计划范本-工作计划 国学小名士经典诵读电视大赛观后感诵读经典传承美德 医疗质量管理制度 2 2022年小学体育教师学期工作总结 2022年家长会心得体会集合15篇
    关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
    手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
    ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.