互聯網金融的信息安全(二)安全需求

未來互聯網安全需求的八大方面

2011年福彩3d走势 www.oykik.tw 1、 基于風險的自適應身份認證

基于風險自適應識別和身份認證將受到歡迎,它允許組織基于多因素決定控制級別。在互聯網上我能夠識別出你就是你的方法有很多種,維度也不一樣,這是第一步;

第二步在你識別完它就是它之后,它的信度有多高,設備經常用哪個,這些都是將來客戶分級的一個依據;

客戶分級之后,你發現有的人支付支付過程中,我能用5000塊錢,有的人可能只能用1000塊錢等等。

在這個過程中,將來可能你信譽好你的設備正常登陸,你的授信可能就會越來越大,對于一個業務來講,它是一個利好消息,因為它會越來越簡化,權限會越來越大,這個就是風控應該做的內容。

2、GRC

在27000一些管理體系里面曾經提出來過這種概念,大型技術組織都有一個成熟度相當高的ITGRC或EGRC正意識到未來挑戰是匯聚一個有意義的平臺,支持實時或者接近實時治理風險與合規的分析和報告。

管理平臺通過事件風險看問題的本質,找到問題的根源,把所有事件進行關聯。

3、大數據分析的拓展

大數據分析是一個新的領域,所有原始的日志或者是原始交易的行為、業務的操作軌跡操作行為通過大數據分析,產出相應的信息報告,大數據分析對數據比較敏感,比如說現在做證券期貨,需要把十幾年來歷史同期的交易數據拿出來做對比計算,這是最基本的需求。

4、實時響應的處置

組織持續努力縮短計算機攻擊的響應時間,比如現在公司的網站,馬上就要遭受攻擊,系統已經告警,怎么解決呢?現在的解決時間是多長?將來的解決時間期望是多長?如果你的業務跟互聯網非常相關,每時每刻都在交易,業務中斷1分鐘的損失也是不可估計的。總之響應速度要快,前期要深入業務,了解業務關聯性。

5、不斷發展的應用程序開發方法

根據業務需要,我們的需求每天都在變,變了之后馬上就要實現,明天就要上線。在這過程中既要考慮安全又要考慮功能應用性各方面,其實在這個過程中開發的方法,或者說整個從開發到上線的這一套體系是一方面,更重要的是一個懂安全需求的產品經理站出來告訴研發你要這么做,告訴安全你應該考慮哪一塊的風險,比如說找回密碼,應該怎么去找回,快速的去決策給產品經理一定的權利,讓產品經理決策整個產品的生命周期。

6、增強客戶隱私的安全性

法律和監管機構要求組織加強如何?;た突б叫畔⒌陌踩U洗朧?/p>

7、移動設備及BOYD的全局安全

流動性不確定性可丟失性等等這些都是將來移動辦公的一個趨勢,比如說現在有很多企業做了虛擬化,在手機端就可以遠程操作一個虛擬的APP直接進行審批等等,那應用將來也可能是通過虛擬化發布過來,也有可能是通過云發布過來一個SARS應用。

8、供應商第三方的安全管理

控制好用戶身份納入正常管理

互聯網IT管理框架

?

  • 身份識別特別重要,不管是外部用戶還是內部用戶,還是運維體系、研發體系、整個身份識別控制、人力資源的管理、入職留離職變轉崗等等,這些權限的系列度管控非常重要。
  • 網絡威脅管理指整個網絡體系生態。

互聯網金融相關操作

  • 平行越權查詢

  • 敏感信息防泄漏

不管是內部人員還是第三方,訪問系統沒有固定的設施,沒有固定的網絡隔離,有輸入輸出信息的交互,放在一個能被訪問系統的邊緣,必定會產生泄露風險。

特點:

  • 組織結構、人員、業務數量
  • 數據類型增長、數據邏輯復雜
  • 無固定訪問設施
  • 無固定網絡隔離
  • 關注端到端的可信授權
  • 數據防泄漏

重要崗位

DLP產品

虛擬化

數據流

埋點,很重要

成立應急小組,微信群直通CEO(客服投訴、輿情發布等)

  • 其他作弊

流量劫持(小區、CDN、無線網絡)

解決辦法就是通過加密全站的https免除別人的劫持或減少信息泄露,當然在CDN網絡分發的時候,會出現部分用戶更新慢打不開的情況,這些都是現階段CDN技術存在的問題。

  • 信息泄露——假信息

只需要姓名、身份證號、與姓名一致持卡人的銀行卡號、手機號這四個信息即可作弊。前三個信息很容易獲得,手機號驗證碼的獲取是關鍵,在一些平臺注冊時會收到語音驗證碼,目的是防止信息泄露帶來風險。

互聯網金融平臺對外發布數據都是幾百萬千萬的用戶量,但是我們反過通過日活月活以及投資的數據會發現有很多假的用戶,一般金融行業做風控要識別整個生命周期,從注冊到登錄、綁卡、解綁卡等過程,到最后提現充值每一個環節都要進行判斷。

業務風控

注冊

  • 風控規則
  • IP地址合法性(dialing、VPN、服務地址)
  • 基于時間維度習慣分析
  • 機器操作
  • 短信驗證碼頻率
  • 設備指紋(用戶真實性核查依據、羊毛黨識別)

?

羊毛黨:將來風控系統和正常業務系統是并列的,每一個交易都要過風控系統,在注冊環節通過多維度來識別是真人還是假人或集團作案、羊毛黨,根據每一步操作或者鼠標滑過的軌跡來判斷是人,還是在機器操作短信驗證碼的獲得頻率設備的指紋,在整個過程中設備指紋都是有跟蹤的,在注冊的時候的設備指紋問題就可以識別羊毛黨,一個設備上登錄多個賬號,根據這個人的欺詐行為,我們能算出他騙了多少錢,然后給他賬戶凍結扣錢等等,這個就是跟自己的風險偏好相關了,信用卡欺詐、車險欺詐、P2P欺詐等;

再比如IP地址代理判斷,基于時間維度的習慣分析,一個小區IP地址通常在白天注冊,突然在晚上批量注冊我們要留意是否存在問題。

識別指紋有很多種技術,比如說最簡單是cookie里調用設備的信息,比較嚴謹的是查看mac地址硬盤串號、整個電腦的分辨率等等這些所有的信息匯總起來算出的唯一值。目前百分之六七的交易場景都是在APP端進行,PC端很少。

在電商平臺購買商品分期付款,評估這個人的征信等各方面是不是好人,看他的好友圈是否有騙子等等很多種算法來識別社交反欺詐。

登陸

?

  • 同一個設備登陸限制(3個)
  • 黑名單用戶預警
  • 登陸時間點,習慣計算

解綁卡、改綁卡

?

合規風險

綁定卡片的來源

解綁卡與更新身份計算(身份證)

綁卡解盲卡改綁卡,這個里面就會復雜一點,當然各個機構可以根據他自己的需求去判斷,比如說有一些合規的風險,它解綁卡然后然后再綁其他的卡等等。

找回密碼

?

  • 常用地點
  • 常用設備

風控規則——提現

  • 限額次數(天、月)
  • 最小金額限制
  • 限制最最小金額是防止黑客的批量嘗試,最大金額是業務上的考慮,同時每天每月要限額限次。

?

業務連續性

  • 機房
  • 鏈路
  • 架構
  • 應急保障(微信公眾號、錯誤頁面)

互聯網業務和傳統業務不太一樣,比如公眾號每天都在運營,出現故障的時候要快速響應,在之前寫腳本的時候一些場景要涵蓋進去,比如說當數據庫被刪除我們給出一個提示頁面,根據自己的業務去考慮,提前對各類已知的腳本進行演練,越細越好。

抗D方面,比如12306網站負載問題,我們要評估容量,你只有十兆的帶寬,即使買了阿里云等產品都沒用,因為瓶頸在帶寬這,一定要分析出這個瓶頸,從域名解析的一瞬間開始,就應該判斷出瓶頸在哪里,然后進行測試演練發現其他問題,比如說DNS解析太慢,買了抗D產品但是來了CC攻擊還是扛不住,這個時候你就要考慮業務系統的防御體系,更多場景具體需求具體分析。

信息安全在逐漸融入業務時,所有的終端監控是運營部門在做,前端問題是安全部門在關注,企業在面臨整個行業生態的威脅。

以上內容參考安全??翁謾?a >互聯網金融的信息安全》

課程地址:https://www.aqniukt.com/course/202


相關文章

寫一條評論

 

 

0條評論