《金融科技安全架构演进课件.pptx》由会员分享,可在线阅读,更多相关《金融科技安全架构演进课件.pptx(27页珍藏版)》请在三一办公上搜索。
1、金融科技安全架构演进,1,金融科技所面临的安全挑战,3,撞库扫号活动作弊垃圾账号注册,业务上云快速迭代,互联网企业 安全挑战,金融科技 安全挑战,非授权操作敏感数据保护平行权限,安全合规,DDoS攻击CC攻击,SQL注入XSS跨站脚本文件上传,金融科技所面临的安全挑战(续),4,2.安全漏洞与安全运维解决DDoS攻击、Web及系统安全漏洞、APT攻 击、安全基线等安全问题,3.移动安全解决APP漏洞检测、APP加固等安全需求,4.数据安全解决数据泄露风险,5.安全合规符合等级保护、央行非金检测、PCI-DSS、ISO27001等安全监管合规要求,金融科技 安全需求,1.业务安全解决羊毛党活动被
2、刷、撞库、垃圾账号注册等业务安全 问题,金融科技安全需求,5,2,金融科技安全架构,7,数据安全,安全合规,业务安全 数据风控,活动防刷,注册保护,异常用户行为,登录保护,应用安全 WAF,移动安全,App Hunter 自 动化安全分析,HTTPDNS,App 加固,金融科技安全架构,非金融机构支付 业务设施技术认证,PCI-DSS,信息安全 等级保护,ADSS 银联卡收单机构,账户信息安全管理标准,ISO27001,网络安全,DDoS攻击 检测,DDoS攻击 流量清洗,SQL注入,文件包含,XSS,文件上传,AKS加解密平台,SQL防火墙,数据安全生命周期,安全运维,SSH安全 登录,自动
3、化漏扫 平台,HIDS,金融科技安全架构,8,3,业务安全数据风控是基于大数据的计算能力,通过风险决策引擎,解决业务账号、活动、交 易等关键业务环节存在的欺诈威胁,业务安全 业务安全数据风控,10,流量收集,数据存储,流量分析,快速响应,全流量镜像流量解析流量重组,业务安全风控模型动态规则匹配事件识别,数据存储实时查询威胁情报,事件预警系统接口拦截阻断,主要功能模块包括:流量收集、流量分析、数据存储与快速响应四部分组成,业务安全数据风控 功能模块,11,根据业务场景进行分析可能带来的业务安 全风险根据风险容忍度设置监控预警阀值根据风险指标设计数据收集方法及干预阻 断措施,1,2,3,业务安全数
4、据风控 风控决策规则引擎,12,“暴力破解”行为监控通过对线上业务登录成功及失败行为的实时监控,“撞库扫号”行为监控通过对线上业务登录成功及失败行为的实时监控,“短信炸弹”行为监控通过对线上所有短信验证接口进行实时监控,“垃圾帐号注册”行为监控通过对线上所有业务的注册行为(频繁注册)进行实时监控,业务安全数据风控 风险行为监控,13,用户注册,账户操作,修改信息,用户登录,发起转账,注册场景反欺诈API服务-注册机器注册风险设备聚集风险等级,登录场景身份认证产品指纹、免密验证账户风险识别产品用户身份及登录安全识别短信加验等风险处置手段,身份认 证,执行操作,身份认证 登录安全决策,加验,身份认
5、证 登录安全 决策登录、交易及转账场景 反欺诈API服务-登陆用户安全风险等级用户常用登录地用户常用设备用户安全设备设备聚集性风险等级,加验,业务安全数据风控 应用场景,14,Web应用防火墙目前根据对HTTP访问请求数据进行特征匹配,从而检测识别出相应的攻击 类型,应用安全-WEB应用防火墙,15,WEB应用防火墙 功能介绍,Web应用防火墙是向用户提供的网站安全防护产品,通过防御常见OWASP攻击、提供热补丁漏洞 修复,网站业务的定制规则防护,从而成功保障网站Web应用的安全性与可用性,16,网络安全 DDoS攻击检测&清洗回注,1,云端清洗集群,单机40G流量清洗能力。可集群 扩展,2,
6、3,有效检测并清洗SYN flood,ACK flood,UDP flood,ICMP flood,CC攻击等各类常见 DDoS攻击部署灵活,流量智能牵引,攻击响应精准迅速,4,支持TCP、UDP、HTTP、HTTPS等各种协议,适用于金融、游戏、电商、直播网站等各种业务 场景,17,畸形报文过滤 对报文的合法 性进行检验,对畸形报文进 行拦截,防止 其穿透到后端 系统,自定义黑白名单可接入安全 模块获得黑 名单,同时 将信任客户,合作伙伴等 加入白名单,特征分析判定对流量进行 特征分析,动态维护可 信任访问源集合,虚假源认证 对流量进行源 认证,有效过 滤sync flood,ack flo
7、od,icmp flood等,智能限速对单个IP进行 智能限速,有效防止突 发异常流量,JDGUARD,DDoS攻击检测&清洗回注 实现功能,18,非金融机构支付业务设施技术认证,PCI DSS支付卡行业数据安全标准,信息安全等级保护,ISO 27001认证,ADSS 银联卡收单机构 账户信息安全管理标准,安全合规-安全标准与合规遵从,19,数据安全管理从数据全生命周期角度,从数据产生、数据存储、数据使用、数据展现、数据 传输,到数据销毁,最终建立闭环数据安全管理机制,数据产生,数据存储,数据使用,数据销毁,数据传输,数据展现,制定数据分类与数据分级保护标准在立项及开发阶段对敏感 数据进行识别
8、及加密,使用 Mars 进行SQL执行安全审核,机密、保密信息数据在存储,落地时应统一使用AKS安全 加密系统进行公司级别统一 加密,使用SQL防火墙对执行危险,SQL进行审计,对业务流量 进行安全检测;根据数据敏 感程度进行数据提取审批,数据安全 数据安全生命周期,20,移动安全-App Hunter自动化安全分析,App Hunter 自动化安全分析平台提供全方位的移动App自动漏洞检测服务,能在App研发测 试过程中发现App客户端存在的安全问题,并帮助App研发同学快速了解安全漏洞,定位问题及 修复漏洞,21,C级代码混淆,C库LLVM加固,防内存DUMP,防HOOK,防PTRTRAC
9、E,APP反篡改,模拟器检测,ROOT提权,攻击框架检测,防DNS劫持,移动安全 移动安全加固,22,HTTPDNS使用HTTP协议承载DNS服务,代替传统的基于UDP协议的DNS。绕开运营商 LocalDNS,有效防止域名劫持,提高域名解析效率。智能解析,精准调度。域名修改实时 生效,支持HTTP/HTTPS。,HTTPDNS-SERVER解析请求,生成HTTPDNS响应HTTPDNS-WEB下发指令,呈现服务信息HTTPDNS-DB存储所有相关数据,移动安全-域名解析HTTPDNS,23,安全运维-HIDS服务器安全,HIDS服务器安全由轻量级Agent和云端组成,集整体安全平台威胁情报于
10、一体,通过 Agent和云端大数据的联动,实现对文件变更监控、内网端口扫描、登录行为监控、Tomcat命令执行、webshell创建进程监控、命令执行监控等功能,24,HIDS服务器安全 功能介绍,服务器安全是数据的最后一道防线,要建立纵深防御体系,服务器安全是必不可少的一环,服务器安全通过安装在服务器上的Agent和云端防护中心的联动,帮助用户守住最后一道防 线,25,安全运维-生产/办公/测试网安全,自动化漏洞扫描平台实现全网7*24小时存活主机、高危端口、系统漏洞、web漏洞扫描。SSH安全登录系统,通过公私钥提供免密登录功能,解决密码泄露问题,通过跳板机将线上批量操作集中管理并监控,解决集中 安全审计问题,SSH安全登录系统,自动化漏洞扫描平台,26,谢谢,
