互联网金融的信息安全(二)安全需求

未来互联网安全需求的八大方面

1、 基于风险的自适应身份认证

基于风险自适应识别和身份认证将受到欢迎,它允许组织基于多因素决定控制级别。在互联网上我能够识别出你就是你的方法有很多种,维度也不一样,这是第一步;

第二步在你识别完它就是它之后,它的信度有多高,设备经常用哪个,这些都是将来客户分级的一个依据;

客户分级之后,你发现有的人支付支付过程中,我能用5000块钱,有的人可能只能用1000块钱等等。

在这个过程中,将来可能你信誉好你的设备正常登陆,你的授信可能就会越来越大,对于一个业务来讲,它是一个利好消息,因为它会越来越简化,权限会越来越大,这个就是风控应该做的内容。

2、GRC

在27000一些管理体系里面曾经提出来过这种概念,大型技术组织都有一个成熟度相当高的ITGRC或EGRC正意识到未来挑战是汇聚一个有意义的平台,支持实时或者接近实时治理风险与合规的分析和报告。

管理平台通过事件风险看问题的本质,找到问题的根源,把所有事件进行关联。

3、大数据分析的拓展

大数据分析是一个新的领域,所有原始的日志或者是原始交易的行为、业务的操作轨迹操作行为通过大数据分析,产出相应的信息报告,大数据分析对数据比较敏感,比如说现在做证券期货,需要把十几年来历史同期的交易数据拿出来做对比计算,这是最基本的需求。

4、实时响应的处置

组织持续努力缩短计算机攻击的响应时间,比如现在公司的网站,马上就要遭受攻击,系统已经告警,怎么解决呢?现在的解决时间是多长?将来的解决时间期望是多长?如果你的业务跟互联网非常相关,每时每刻都在交易,业务中断1分钟的损失也是不可估计的。总之响应速度要快,前期要深入业务,了解业务关联性。

5、不断发展的应用程序开发方法

根据业务需要,我们的需求每天都在变,变了之后马上就要实现,明天就要上线。在这过程中既要考虑安全又要考虑功能应用性各方面,其实在这个过程中开发的方法,或者说整个从开发到上线的这一套体系是一方面,更重要的是一个懂安全需求的产品经理站出来告诉研发你要这么做,告诉安全你应该考虑哪一块的风险,比如说找回密码,应该怎么去找回,快速的去决策给产品经理一定的权利,让产品经理决策整个产品的生命周期。

6、增强客户隐私的安全性

法律和监管机构要求组织加强如何?;た突б叫畔⒌陌踩U洗胧?/p>

7、移动设备及BOYD的全局安全

流动性不确定性可丢失性等等这些都是将来移动办公的一个趋势,比如说现在有很多企业做了虚拟化,在手机端就可以远程操作一个虚拟的APP直接进行审批等等,那应用将来也可能是通过虚拟化发布过来,也有可能是通过云发布过来一个SARS应用。

8、供应商第三方的安全管理

控制好用户身份纳入正常管理

互联网IT管理框架

?

  • 身份识别特别重要,不管是外部用户还是内部用户,还是运维体系、研发体系、整个身份识别控制、人力资源的管理、入职留离职变转岗等等,这些权限的系列度管控非常重要。
  • 网络威胁管理指整个网络体系生态。

互联网金融相关操作

  • 平行越权查询

  • 敏感信息防泄漏

不管是内部人员还是第三方,访问系统没有固定的设施,没有固定的网络隔离,有输入输出信息的交互,放在一个能被访问系统的边缘,必定会产生泄露风险。

特点:

  • 组织结构、人员、业务数量
  • 数据类型增长、数据逻辑复杂
  • 无固定访问设施
  • 无固定网络隔离
  • 关注端到端的可信授权
  • 数据防泄漏

重要岗位

DLP产品

虚拟化

数据流

埋点,很重要

成立应急小组,微信群直通CEO(客服投诉、舆情发布等)

  • 其他作弊

流量劫持(小区、CDN、无线网络)

解决办法就是通过加密全站的https免除别人的劫持或减少信息泄露,当然在CDN网络分发的时候,会出现部分用户更新慢打不开的情况,这些都是现阶段CDN技术存在的问题。

  • 信息泄露——假信息

只需要姓名、身份证号、与姓名一致持卡人的银行卡号、手机号这四个信息即可作弊。前三个信息很容易获得,手机号验证码的获取是关键,在一些平台注册时会收到语音验证码,目的是防止信息泄露带来风险。

互联网金融平台对外发布数据都是几百万千万的用户量,但是我们反过通过日活月活以及投资的数据会发现有很多假的用户,一般金融行业做风控要识别整个生命周期,从注册到登录、绑卡、解绑卡等过程,到最后提现充值每一个环节都要进行判断。

业务风控

注册

  • 风控规则
  • IP地址合法性(dialing、VPN、服务地址)
  • 基于时间维度习惯分析
  • 机器操作
  • 短信验证码频率
  • 设备指纹(用户真实性核查依据、羊毛党识别)

?

羊毛党:将来风控系统和正常业务系统是并列的,每一个交易都要过风控系统,在注册环节通过多维度来识别是真人还是假人或集团作案、羊毛党,根据每一步操作或者鼠标滑过的轨迹来判断是人,还是在机器操作短信验证码的获得频率设备的指纹,在整个过程中设备指纹都是有跟踪的,在注册的时候的设备指纹问题就可以识别羊毛党,一个设备上登录多个账号,根据这个人的欺诈行为,我们能算出他骗了多少钱,然后给他账户冻结扣钱等等,这个就是跟自己的风险偏好相关了,信用卡欺诈、车险欺诈、P2P欺诈等;

再比如IP地址代理判断,基于时间维度的习惯分析,一个小区IP地址通常在白天注册,突然在晚上批量注册我们要留意是否存在问题。

识别指纹有很多种技术,比如说最简单是cookie里调用设备的信息,比较严谨的是查看mac地址硬盘串号、整个电脑的分辨率等等这些所有的信息汇总起来算出的唯一值。目前百分之六七的交易场景都是在APP端进行,PC端很少。

在电商平台购买商品分期付款,评估这个人的征信等各方面是不是好人,看他的好友圈是否有骗子等等很多种算法来识别社交反欺诈。

登陆

?

  • 同一个设备登陆限制(3个)
  • 黑名单用户预警
  • 登陆时间点,习惯计算

解绑卡、改绑卡

?

合规风险

绑定卡片的来源

2011年福彩3d走势 www.oykik.tw 解绑卡与更新身份计算(身份证)

绑卡解盲卡改绑卡,这个里面就会复杂一点,当然各个机构可以根据他自己的需求去判断,比如说有一些合规的风险,它解绑卡然后然后再绑其他的卡等等。

找回密码

?

  • 常用地点
  • 常用设备

风控规则——提现

  • 限额次数(天、月)
  • 最小金额限制
  • 限制最最小金额是防止黑客的批量尝试,最大金额是业务上的考虑,同时每天每月要限额限次。

?

业务连续性

  • 机房
  • 链路
  • 架构
  • 应急保障(微信公众号、错误页面)

互联网业务和传统业务不太一样,比如公众号每天都在运营,出现故障的时候要快速响应,在之前写脚本的时候一些场景要涵盖进去,比如说当数据库被删除我们给出一个提示页面,根据自己的业务去考虑,提前对各类已知的脚本进行演练,越细越好。

抗D方面,比如12306网站负载问题,我们要评估容量,你只有十兆的带宽,即使买了阿里云等产品都没用,因为瓶颈在带宽这,一定要分析出这个瓶颈,从域名解析的一瞬间开始,就应该判断出瓶颈在哪里,然后进行测试演练发现其他问题,比如说DNS解析太慢,买了抗D产品但是来了CC攻击还是扛不住,这个时候你就要考虑业务系统的防御体系,更多场景具体需求具体分析。

信息安全在逐渐融入业务时,所有的终端监控是运营部门在做,前端问题是安全部门在关注,企业在面临整个行业生态的威胁。

以上内容参考安全??翁谩?a >互联网金融的信息安全》

课程地址:https://www.aqniukt.com/course/202


相关文章

 

 

0条评论