梆梆安全建設(shè)安全有效的移動(dòng)金融體系課件

1、梆梆安全建設(shè)安全有效的移動(dòng)金融體系梆梆安全建設(shè)安全有效的移動(dòng)金融體系移動(dòng)金融安全體系行業(yè)領(lǐng)先的移動(dòng)金融安全支撐方案基礎(chǔ)架構(gòu)：提供基礎(chǔ)支撐的安全架構(gòu)及安全流程數(shù)據(jù)平臺(tái)：多緯度的大數(shù)據(jù)采集分析機(jī)制安全防御：數(shù)據(jù)驅(qū)動(dòng)的威脅感知及防御業(yè)務(wù)保障：完整體系保障下的精準(zhǔn)有效營(yíng)銷移動(dòng)金融安全體系行業(yè)領(lǐng)先的移動(dòng)金融安全支撐方案基礎(chǔ)架構(gòu)：提供01基礎(chǔ)安全架構(gòu)02大數(shù)據(jù)采集03數(shù)據(jù)驅(qū)動(dòng)安全04精準(zhǔn)有效營(yíng)銷目錄Contents01020304目錄01基礎(chǔ)安全架構(gòu)目錄Contents02大數(shù)據(jù)采集分析03數(shù)據(jù)驅(qū)動(dòng)安全04精準(zhǔn)有效營(yíng)銷01目錄020304移動(dòng)金融基礎(chǔ)安全架構(gòu)04030201架構(gòu)設(shè)計(jì)安全流程可信執(zhí)行安全響應(yīng)

2、從設(shè)計(jì)層面出發(fā)的安全架構(gòu)，包括設(shè)計(jì)開(kāi)發(fā)安全，可升級(jí)性，可擴(kuò)展性完整的安全質(zhì)量管理及控制流程從，包括安全需求，安全建模，滲透測(cè)試，持續(xù)集成及發(fā)布審核基于應(yīng)用加固技術(shù)的可信執(zhí)行保障，包括完整性，數(shù)據(jù)安全，執(zhí)行安全及通訊安全面向運(yùn)維環(huán)節(jié)的安全監(jiān)測(cè)，應(yīng)急響應(yīng)及追溯機(jī)制基礎(chǔ)安全移動(dòng)金融基礎(chǔ)安全架構(gòu)04030201架構(gòu)設(shè)計(jì)安全流程可信執(zhí)行移動(dòng)金融基礎(chǔ)安全安全架構(gòu)設(shè)計(jì)安全需求分析（ ST)威脅建模(PP)安全設(shè)計(jì)及編碼(SDF)9個(gè)以上安全漏洞7-9個(gè)安全漏洞4-6個(gè)安全漏洞1-3個(gè)安全漏洞25%20%10%31.4%動(dòng)態(tài)更新機(jī)制強(qiáng)制升級(jí)及版本禁用機(jī)制數(shù)據(jù)采集分析機(jī)制設(shè)計(jì)層規(guī)避修復(fù)及更新能力移動(dòng)金融基礎(chǔ)安全

3、安全架構(gòu)設(shè)計(jì)安全需求分析（ ST)9個(gè)以上移動(dòng)金融基礎(chǔ)安全安全架構(gòu)設(shè)計(jì)樣例網(wǎng)絡(luò)傳輸層的帳號(hào)密碼安全安全設(shè)計(jì)數(shù)據(jù)雙加重密雙向證書(shū)校驗(yàn)本地密鑰白盒處理流量加密與證書(shū)綁定安全設(shè)計(jì)威脅建模安全目標(biāo)123安全測(cè)試4安全測(cè)試TS1:驗(yàn)證.TS2:驗(yàn)證.TS3:驗(yàn)證.TS4:驗(yàn)證.威脅建模流量未加密證書(shū)偽造竊取對(duì)稱密鑰破解竊取釣魚(yú)竊取殘留風(fēng)險(xiǎn)處理接受風(fēng)險(xiǎn)運(yùn)維手段處理第三方解決方案移動(dòng)金融基礎(chǔ)安全安全架構(gòu)設(shè)計(jì)樣例網(wǎng)絡(luò)傳輸層的安全設(shè)計(jì)數(shù)據(jù)雙移動(dòng)金融基礎(chǔ)安全安全流程010203040506安全流程運(yùn)維監(jiān)測(cè)及響應(yīng)發(fā)布審核安全設(shè)計(jì)及測(cè)試全自動(dòng)構(gòu)建安全需求分析威脅建模大部分的安全問(wèn)題，都是人的問(wèn)題通過(guò)把安全貫穿到整個(gè)應(yīng)

4、用生命周期當(dāng)中，借助于流程化的安全控制手段，實(shí)現(xiàn)從源頭到運(yùn)維的安全控制能力，減少因?yàn)槿说囊蛩貙?dǎo)致的安全缺陷及風(fēng)險(xiǎn)威脅移動(dòng)金融基礎(chǔ)安全安全流程010203040506安全流程運(yùn)移動(dòng)金融基礎(chǔ)安全可信執(zhí)行移動(dòng)金融可信執(zhí)行移動(dòng)應(yīng)用代碼加密移動(dòng)應(yīng)用透明數(shù)據(jù)加密移動(dòng)應(yīng)用動(dòng)態(tài)防護(hù)基于HCE的安全防護(hù)環(huán)境及用戶可信代碼可信數(shù)據(jù)可信執(zhí)行可信認(rèn)證可信殘留風(fēng)險(xiǎn)：非加固技術(shù)解決可信執(zhí)行是一切安全的基礎(chǔ)如果沒(méi)有可信執(zhí)行，那么所有的安全機(jī)制都不能保證按照設(shè)計(jì)的初衷執(zhí)行，那么很多安全機(jī)制就存在被繞過(guò)或破解的風(fēng)險(xiǎn)移動(dòng)金融基礎(chǔ)安全可信執(zhí)行移動(dòng)金融移動(dòng)應(yīng)用代碼加密移動(dòng)應(yīng)用透移動(dòng)金融基礎(chǔ)安全安全響應(yīng)移動(dòng)金融安全響應(yīng)基本元素安全事件

5、的獲取源？如何保證信息的及時(shí)性？如何保證情報(bào)的覆蓋度？事件發(fā)生后的內(nèi)部流程？技術(shù)上如何做快速響應(yīng)？媒體公關(guān)上如何做正確響應(yīng)針對(duì)可能發(fā)生的各種安全事件，漏洞披露及潛在攻擊，建立有效的安全響應(yīng)機(jī)制是基礎(chǔ)安全的必備環(huán)節(jié)移動(dòng)金融基礎(chǔ)安全安全響應(yīng)移動(dòng)金融安全響應(yīng)基本元素安全事件的移動(dòng)金融基礎(chǔ)安全新趨勢(shì)下的安全挑戰(zhàn)01攻擊產(chǎn)業(yè)化從原有的孤膽英雄到成規(guī)模、成體系的黑色產(chǎn)業(yè)鏈02資金套現(xiàn)渠道隱蔽多種方式可以實(shí)現(xiàn)非法資金的套現(xiàn)，如比特幣，虛擬裝備03從黑產(chǎn)到灰產(chǎn)攻擊往往利用業(yè)務(wù)缺陷，很難被界定為非法，游走于法律邊緣單點(diǎn)技術(shù)失效面對(duì)有組織有計(jì)劃的攻擊，單點(diǎn)技術(shù)很容易被繞過(guò)突破互聯(lián)網(wǎng)金融新業(yè)務(wù)04移動(dòng)金融基礎(chǔ)安全新

6、趨勢(shì)下的安全挑戰(zhàn)01攻擊產(chǎn)業(yè)化從原有的孤移動(dòng)金融基礎(chǔ)安全新趨勢(shì)下的安全挑戰(zhàn)挑戰(zhàn)3挑戰(zhàn)2挑戰(zhàn)1123挑戰(zhàn)44賬號(hào)密碼丟失無(wú)可避免刷票刷單行為難以控制薅羊毛行為難以界定虛假營(yíng)銷無(wú)效激活打擊信心移動(dòng)金融基礎(chǔ)安全新趨勢(shì)下的安全挑戰(zhàn)挑戰(zhàn)3挑戰(zhàn)2挑戰(zhàn)1123移動(dòng)金融基礎(chǔ)安全新趨勢(shì)下的安全挑戰(zhàn)金融行業(yè)“羊毛黨”通過(guò)購(gòu)買(mǎi)的個(gè)人身份信息，在平臺(tái)大量注冊(cè)賬戶利用平臺(tái)投資獎(jiǎng)勵(lì)計(jì)劃，每個(gè)賬戶投資100元從單個(gè)賬戶獲取投資獎(jiǎng)勵(lì)，此類獎(jiǎng)勵(lì)收益率遠(yuǎn)遠(yuǎn)高于資金收益率單個(gè)“羊毛黨”可通過(guò)技術(shù)手段，同時(shí)控制數(shù)千個(gè)賬戶羊毛黨行為分析移動(dòng)金融基礎(chǔ)安全新趨勢(shì)下的安全挑戰(zhàn)金融行業(yè)“羊毛黨”通過(guò)購(gòu)移動(dòng)金融基礎(chǔ)安全新趨勢(shì)下的安全挑戰(zhàn)數(shù)據(jù)數(shù)據(jù)

7、驅(qū)動(dòng)的安全感知，情報(bào)觸發(fā)的安全防護(hù)有效實(shí)現(xiàn)不但精準(zhǔn)，而且有效的營(yíng)銷推廣安全思考 縱深從單點(diǎn)保護(hù)走向立體防御移動(dòng)金融基礎(chǔ)安全新趨勢(shì)下的安全挑戰(zhàn)數(shù)據(jù)有效安全思考 01基礎(chǔ)安全架構(gòu)02大數(shù)據(jù)采集03數(shù)據(jù)驅(qū)動(dòng)安全04精準(zhǔn)有效營(yíng)銷目錄Contents01020304目錄移動(dòng)金融大數(shù)據(jù)采集明確目的數(shù)據(jù)如何使用采集什么數(shù)據(jù)？行為數(shù)據(jù)設(shè)備數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)服務(wù)于安全服務(wù)于業(yè)務(wù)為什么采集數(shù)據(jù)？02大數(shù)據(jù)采集大數(shù)據(jù)采集移動(dòng)金融大數(shù)據(jù)采集明確目的數(shù)據(jù)如何使用采集什么數(shù)據(jù)？行為數(shù)移動(dòng)金融大數(shù)據(jù)采集終端數(shù)據(jù)102030405060708090100102030405060708090100設(shè)備硬件指紋設(shè)備位置網(wǎng)絡(luò)信息安裝應(yīng)用

8、歷史設(shè)備手機(jī)號(hào)應(yīng)用啟動(dòng)時(shí)間支付習(xí)慣支付信息應(yīng)用操作習(xí)慣應(yīng)用安裝習(xí)慣年齡段推算性別推算ABCDEFG終端設(shè)備數(shù)據(jù)用戶行為數(shù)據(jù)歷史應(yīng)用移動(dòng)金融大數(shù)據(jù)采集終端數(shù)據(jù)1020304050607080移動(dòng)金融大數(shù)據(jù)采集業(yè)務(wù)數(shù)據(jù)登錄退出修改動(dòng)作查詢動(dòng)作支付動(dòng)作實(shí)時(shí)業(yè)務(wù)數(shù)據(jù)唯一設(shè)備指紋移動(dòng)金融大數(shù)據(jù)采集業(yè)務(wù)數(shù)據(jù)登錄退出修改動(dòng)作查詢動(dòng)作支付動(dòng)作移動(dòng)金融大數(shù)據(jù)采集采集原則合法性不采集用戶個(gè)人隱私數(shù)據(jù)，采集數(shù)據(jù)需要得到授權(quán)，采集數(shù)據(jù)摘要而非原始數(shù)據(jù)多緯度從設(shè)備，應(yīng)用，時(shí)間，地理位置，業(yè)務(wù)類型等多個(gè)緯度采集數(shù)據(jù)有效性能甄別無(wú)效數(shù)據(jù)及偽造數(shù)據(jù)，避免數(shù)據(jù)污染移動(dòng)金融大數(shù)據(jù)采集采集原則合法性多緯度有效性移動(dòng)金融大數(shù)據(jù)采集數(shù)

9、據(jù)管理賬戶ID地理位置時(shí)間軸手機(jī)號(hào)設(shè)備指紋123格式化數(shù)據(jù)清洗數(shù)據(jù)索引避免直接存儲(chǔ)原始數(shù)據(jù)避免非格式化的數(shù)據(jù)去掉錯(cuò)誤、殘缺數(shù)據(jù)去掉無(wú)效、偽造、惡意數(shù)據(jù)建立基于不同緯度的索引建立不同緯度之間的索引移動(dòng)金融大數(shù)據(jù)采集數(shù)據(jù)管理賬戶ID地理位置時(shí)間軸手機(jī)號(hào)設(shè)備01基礎(chǔ)安全架構(gòu)02大數(shù)據(jù)采集03數(shù)據(jù)驅(qū)動(dòng)安全04精準(zhǔn)有效營(yíng)銷目錄Contents01020304目錄03數(shù)據(jù)驅(qū)動(dòng)安全基于數(shù)據(jù)的威脅感知 借助于從不同緯度采集的數(shù)據(jù)，可以實(shí)現(xiàn)設(shè)備及用戶的畫(huà)像，把虛擬的數(shù)據(jù)，轉(zhuǎn)換成可唯一識(shí)別的“人”。 針對(duì)數(shù)據(jù)的關(guān)聯(lián)分析，機(jī)器學(xué)習(xí)及相應(yīng)生成的決策算法，可以建立起有效的威脅檢測(cè)模型及決策樹(shù)，實(shí)現(xiàn)對(duì)未知威脅及潛在威脅的

10、檢測(cè)預(yù)警能力。03基于數(shù)據(jù)的威脅感知 借助于從不同緯度采集的數(shù)據(jù)，可移動(dòng)金融大數(shù)據(jù)安全本質(zhì)2080從人，到數(shù)據(jù)，到安全業(yè)務(wù)的本質(zhì)是服務(wù)于人而安全的本質(zhì)也是甄別好人和壞人借助于大數(shù)據(jù)驅(qū)動(dòng)的安全感知，我們可以持續(xù)監(jiān)測(cè)，挖掘或者提前預(yù)知威脅移動(dòng)金融大數(shù)據(jù)安全本質(zhì)2080從人，到數(shù)據(jù)，到安全業(yè)務(wù)的本移動(dòng)金融大數(shù)據(jù)安全用戶畫(huà)像設(shè)備數(shù)據(jù)行為數(shù)據(jù)第三方征信數(shù)據(jù)業(yè)務(wù)數(shù)據(jù)人群1人群7人群4人群3人群2人群5人群8人群9人群10人群11人群12人群15移動(dòng)金融大數(shù)據(jù)安全用戶畫(huà)像設(shè)備行為數(shù)據(jù)第三方業(yè)務(wù)數(shù)據(jù)人群1移動(dòng)金融大數(shù)據(jù)安全行為模型是否是已經(jīng)交易過(guò)的設(shè)備是否是交易過(guò)的地理位置是否是模擬器是否是可信賴的移動(dòng)設(shè)備是

11、否是合理的地理位置是否是交易過(guò)的時(shí)間是否是已經(jīng)發(fā)生過(guò)的交易行為移動(dòng)金融大數(shù)據(jù)安全行為模型是否是是否是是否是是否是是否是是移動(dòng)金融大數(shù)據(jù)安全數(shù)據(jù)告訴我們什么？失竊賬戶虛假營(yíng)銷撞庫(kù)拖庫(kù)僵尸賬戶刷單行為數(shù)據(jù)驅(qū)動(dòng)的安全感知把分離抽象的數(shù)據(jù)提取成形象的人通過(guò)機(jī)器學(xué)習(xí)，建立針對(duì)好人和壞人的行為模型通過(guò)決策鏈條及實(shí)時(shí)收集的數(shù)據(jù)，建立每個(gè)人的安全威脅等級(jí)建立不同等級(jí)的威脅指數(shù)，通過(guò)數(shù)據(jù)驅(qū)動(dòng)指數(shù)變化通過(guò)跨平臺(tái)，跨客戶的數(shù)據(jù)共享，建立同守同防的安全體系移動(dòng)金融大數(shù)據(jù)安全數(shù)據(jù)告訴我們什么？失竊賬戶虛假營(yíng)銷撞庫(kù)拖移動(dòng)金融大數(shù)據(jù)安全典型體系結(jié)構(gòu)應(yīng)用服務(wù)器數(shù)據(jù)采集服務(wù)器企業(yè)內(nèi)網(wǎng)分布式數(shù)據(jù)存儲(chǔ)威脅感知系統(tǒng)移動(dòng)金融大數(shù)據(jù)安全

12、典型體系結(jié)構(gòu)應(yīng)用服務(wù)器數(shù)據(jù)采集服務(wù)器企業(yè)01基礎(chǔ)安全架構(gòu)02大數(shù)據(jù)采集03數(shù)據(jù)驅(qū)動(dòng)安全04精準(zhǔn)有效營(yíng)銷目錄Contents01020304目錄72%。28%無(wú)效營(yíng)銷非目標(biāo)客戶：非目標(biāo)業(yè)務(wù)人群低活躍客戶：活躍度低，存留率低刷單客戶：惡意注冊(cè)的刷單用戶，羊毛黨虛假營(yíng)銷：利用模擬器實(shí)現(xiàn)的假下載，假激活，假日活僵死網(wǎng)絡(luò)：利用移動(dòng)肉雞實(shí)現(xiàn)的非法推廣、靜默安裝，強(qiáng)制安裝精準(zhǔn)有效營(yíng)銷對(duì)的人，安裝使用了對(duì)的產(chǎn)品，且為雙方創(chuàng)造價(jià)值04精準(zhǔn)有效營(yíng)銷72%。28%無(wú)效營(yíng)銷非目標(biāo)客戶：非目標(biāo)業(yè)務(wù)人群精準(zhǔn)有效營(yíng)銷移動(dòng)金融精準(zhǔn)有效營(yíng)銷客戶主導(dǎo)，多方共建客戶主導(dǎo)第三方數(shù)據(jù)：提供額外的數(shù)據(jù)支撐梆梆安全：提供營(yíng)銷的有效性保障推

13、廣平臺(tái)：提供業(yè)務(wù)推廣覆蓋能力移動(dòng)金融精準(zhǔn)有效營(yíng)銷客戶主導(dǎo)，多方共建客戶主導(dǎo)第三方數(shù)據(jù)：移動(dòng)金融精準(zhǔn)有效營(yíng)銷最佳實(shí)踐應(yīng)用基礎(chǔ)構(gòu)建建立基礎(chǔ)應(yīng)用平臺(tái)建立基礎(chǔ)安全平臺(tái)建立基礎(chǔ)安全機(jī)制實(shí)現(xiàn)最初業(yè)務(wù)拓展數(shù)據(jù)基礎(chǔ)構(gòu)建建立數(shù)據(jù)采集機(jī)制大數(shù)據(jù)支撐體系基本數(shù)據(jù)分析能力自有數(shù)據(jù)平臺(tái)500萬(wàn)級(jí)以上的用戶數(shù)據(jù)超過(guò)6個(gè)月的歷史數(shù)據(jù)可用于支撐安全的數(shù)據(jù)可用于支撐營(yíng)銷的數(shù)據(jù)多方合作的營(yíng)銷體系第三方數(shù)據(jù)提供補(bǔ)充可提出明確合作點(diǎn)可甄別數(shù)據(jù)價(jià)值可衡量合作效果36個(gè)月初期客戶積累及業(yè)務(wù)拓展34個(gè)月自有數(shù)據(jù)積累612個(gè)月實(shí)現(xiàn)自有的大數(shù)據(jù)營(yíng)銷及安全體系長(zhǎng)期發(fā)展目標(biāo)移動(dòng)金融精準(zhǔn)有效營(yíng)銷最佳實(shí)踐應(yīng)用基礎(chǔ)構(gòu)建建立基礎(chǔ)應(yīng)用平臺(tái)數(shù)移動(dòng)金融精準(zhǔn)有效營(yíng)銷案例分析數(shù)據(jù)是什么5000萬(wàn)總用戶數(shù)1200萬(wàn)周活躍用戶2000萬(wàn)單次營(yíng)銷推廣費(fèi)用1780萬(wàn)非周活用戶領(lǐng)取費(fèi)用17%后續(xù)采取安全防護(hù)后，轉(zhuǎn)換率提升比例國(guó)內(nèi)某大型股份制銀行信用卡生活服務(wù)APP數(shù)據(jù)分析：2015年初，2000萬(wàn)的營(yíng)銷費(fèi)用投放市場(chǎng)，被全部領(lǐng)取71%的的非周活客戶并未轉(zhuǎn)換成活躍客戶，視為無(wú)效營(yíng)銷該71%的客戶領(lǐng)取了89%的費(fèi)用2015年11月，580萬(wàn)的營(yíng)銷活動(dòng)，被全部領(lǐng)取34%的非周活客戶轉(zhuǎn)化成活躍客戶剩余66%的客戶領(lǐng)取了69.3%的營(yíng)銷費(fèi)用理論計(jì)算：節(jié)約費(fèi)用114萬(wàn)移動(dòng)金融精