基于大數據的電商安全解決方案

1、Big dataTheE l e c t r i cb u s i n e s ss e c u r i t y大數據的電商安全大數據底下的電商安全電商安全一般都有哪些 日常是如何尋找漏洞 架構業(yè)務風控安全系統(tǒng)No Card 無卡支付基于身份認證的遠程帳戶支付模式采用靜態(tài)口令、動態(tài)口令、生物識別、USBKEY等方式進行身份認證利用遠程帳戶進行支付IC Card 有卡支付基于銀行卡的支付模式采用磁條卡、金融IC卡進行認證利用遠程帳戶進行支付的在線支付模式利用金融IC卡進行本地脫機支付模式Huoqushiwu 實物為主客戶獲取商家銷售的實物多為貨到付款Huoqufuwu 服務為主客戶獲取商家提供的

2、服務多為預授權附款電子交易類別及特點技術角度看分類錢存在的地點受理終端傳輸的渠道銀行遠程賬戶 資金支付商戶渠道支付工具消費者渠道終端PC移動業(yè)務角度看相關流程支付者認證信息信息產生消費者產生輸入且實名信息存儲防泄露、防篡改信息傳輸防泄露、防篡改身份認證防泄露、防篡改、防重放信息產生消費者產生，防篡改信息存儲可明文傳輸信息傳輸可明文傳輸信息特殊處理訂單與支付綁定信息產生消費者產生，防篡改信息存儲可明文存儲信息傳輸防纂改信息特殊處理訂單、身份與支付綁定信息產生賬戶管理者產生，防篡改信息存儲可明文存儲信息傳輸可明文傳輸信息特殊處理商戶驗證確認訂單信息支付指令支付憑證信息角度看關鍵信息保護身份證號、手

3、機號、姓名、卡號、PIN、生物特征信息等等 信息產生終端輸入過程中的防截取 信息傳輸注冊信息傳輸中加密保護，與賬戶管理處解密 信息存儲終端存儲：應防被轉移，或轉移后不可使用。后臺存儲：防非法訪問泄露、防維護泄露、防備份泄露 身份認證防木馬泄露、防木馬篡改、防協(xié)議重放攻擊支付者認證信息 各類信息信息角度看關鍵信息保護 信息產生訂單信息要具有證明消費者本人確認的目的；其應具防篡改、抗低賴 信息傳輸在訂單內容防篡改抗抵賴的前提下，可多種途徑傳輸，如網絡、usb、nfc、二維碼等等 信息存儲可明文存儲 信息特殊處理訂單號的唯一性、且局支付內容的綁定訂單信息信息角度看關鍵信息保護 信息產生支付指令產生工

4、具的可信性！應防止木馬等偽工具產生指付指令。 這就要求對支付指令的鑒別應包含了產生工具的鑒別 信息傳輸可明文傳輸 信息存儲可明文存儲 信息特殊處理后臺對支付指令的鑒別，實質上包括了以下內容：這個支付指令 是支付者授權情況下由合法工具產生并提交的，未經篡改或重放。支付指令信息角度看關鍵信息保護 信息產生支付憑證應由賬戶管理者或支付網關產生，憑證應具有防篡改、 抗抵賴 信息傳輸可明文傳輸 信息存儲可明文存儲 信息特殊處理商戶驗證確認支付憑證1檢測威脅實時檢測來自內部與外部的攻擊行為在大數據下我們需要做的2 事件還原通過諸多數據來源，還原安全事件真相3 事件追溯解讀攻擊者的真實身份、背景、動機4 二

5、次攻擊生成弱點報告，提 供修復方案，抵御 二次攻擊在大數據下我們需要做 的聯動分析大數據追蹤與 反制使攻擊者在分析引擎前無處遁形由客戶的業(yè)務數據與互聯網數據（安全專用數據）共同 構成通過對龐大信息的快速處理和分析，更好更快的識別和 發(fā)現那些復雜的安全威脅深度分析并回朔安全事件結合大數據，獲取攻擊者信息接管攻擊者的C&C服務器大數據底下的電商安全電商安全一般都有哪些 日常是如何尋找漏洞 架構業(yè)務風控安全系統(tǒng)三三L序 氣Jk.全l-1 。 勸9業(yè)務接口調用OxlD時 雞膽1。xn4用戶輸入紐 把0 灼 ，由ops., v.ooy 皿 0 數據摘自： 2015金融行業(yè)互聯網安全報告漏洞盒子團隊整理分

6、析了大量的金融安全案例。對今年上半年上千個金融安全漏洞進行了統(tǒng)計分析，狀況令人堪憂。截止2015年6月底，有上百 家平臺遭受不同程度的黑客攻擊，造成了嚴重的用戶信息泄露，數據庫被惡意篡改，甚至是系統(tǒng)癱瘓等安全事故。行業(yè)的漏洞報告1、權限繞過2、越權重置密碼批量注冊新新賣家評論 賬戶濫用刷優(yōu)惠券撞庫事件敏感信息 泄露跨國高風 險收款人信用卡盜 竊事件資金轉移異常提現賬戶盜用信用卡套 現洗錢行為傳統(tǒng)安全無法識別的業(yè)務風險唯一一個與眾不同的人.哪些是盜用的賬戶?找回密碼-更改密碼-支付識別分析- 捕獲行為人工分析發(fā)現客戶手機丟失識別這種行為從未知到已知類似銀行的風控系統(tǒng)20正常登錄量警戒線非正常業(yè)務

7、時段安全體系中的三重核心交易報文身份及設備認證安全通道報文安全層綜合利用雙因素認證技術， 確保用戶身份及相關安全設 備的真實性。綜合利用PKI及對稱密碼技 術保障交易電子渠道通訊安 全。綜合利用密碼技術保障交易 報文的機密性、搞纂改、不 可抵賴。安全體系總結終端安全手機WEB 安全管理安全 組織安全 制度安全 培訓 商戶營銷平臺手機支付平臺安全 運維運維 監(jiān)控風險 控制安全 審計應用安全平臺安 全 通 道統(tǒng)一身份認證統(tǒng)一設備認證安全交易風險鑒別 主機安全數據庫安全證書及密鑰管理IT 支撐系統(tǒng)安全網絡安全 安全基礎設施 災備系統(tǒng)審計系統(tǒng)大數據底下的電商安全電商安全一般都有哪些 日常是如何尋找漏洞

8、 架構業(yè)務風控安全系統(tǒng)日常是如何尋找漏洞的買女朋友之免費買女朋友之免費我的女朋友呢SQL注入我女朋友怎么還不發(fā)貨?買菜篇買菜篇在下一步提交的時候修改價格，這兩個參數fee=、treatfee都改成0.1看病篇開房篇吃飯篇同時，我們認為安全的未來是態(tài)勢感知客總是從意想不到的地方進入態(tài)勢感知定義：全面、快速、準確的感知過去、現在、未來的安全威脅。木桶人也要有思維黑客的千變萬化大數據底下的電商安全電商安全一般都有哪些 日常是如何尋找漏洞 架構業(yè)務風控安全系統(tǒng)行為數據采集異常行為及風險分析 智能學習，建立行為基線建立風險模型基于行為數據的業(yè)務風險分析方法架構業(yè)務風控安全系統(tǒng)行為數據采集:模型抽象，多數與少數的不同.只采集行為數據,還原成點擊流,轉換成操作行為架構業(yè)務風控安全系統(tǒng)數據中心BIGDATA分析攻擊者的來源攻擊路線身份背景目的攻擊者是誰從哪來來干什么拿到了什么？利用大數據對確切的攻擊行為進行分析對于每一次入侵事件在處理威脅后都可以生成一份威脅 處理報告。行業(yè)定位：電子商務、電子銀行、互聯網金融應用范圍：信息安全、風險控制、 IT審