金融科技安全架構(gòu)演進課件

金融科技安全架構(gòu)演進1金融科技所面臨的安全挑戰(zhàn)3撞庫掃號活動作弊垃圾賬號注冊業(yè)務上云快速迭代互聯(lián)網(wǎng)企業(yè)安全挑戰(zhàn)金融科技安全挑戰(zhàn)非授權(quán)操作敏感數(shù)據(jù)保護平行權(quán)限安全合規(guī)DDoS攻擊CC攻擊SQL注入XSS跨站腳本文件上傳金融科技所面臨的安全挑戰(zhàn)（續(xù)）42.

安全漏洞與安全運維解決DDoS攻擊、Web及系統(tǒng)安全漏洞、APT攻擊、安全基線等安全問題3.

移動安全解決APP漏洞檢測、APP加固等安全需求4.

數(shù)據(jù)安全解決數(shù)據(jù)泄露風險5.

安全合規(guī)符合等級保護、央行非金檢測、PCI-DSS、ISO27001等安全監(jiān)管合規(guī)要求金融科技安全需求1.

業(yè)務安全解決羊毛黨活動被刷、撞庫、垃圾賬號注冊等業(yè)務安全問題金融科技安全需求52金融科技安全架構(gòu)7數(shù)據(jù)安全安全合規(guī)業(yè)務安全數(shù)據(jù)風控活動防刷注冊保護異常用戶行為登錄保護應用安全WAF移動安全App

Hunter

自動化安全分析HTTPDNSApp

加固金融科技安全架構(gòu)非金融機構(gòu)支付業(yè)務設施技術(shù)認證PCI-DSS信息安全等級保護ADSS

銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標準ISO27001網(wǎng)絡安全DDoS攻擊檢測DDoS攻擊流量清洗SQL注入文件包含XSS文件上傳AKS加解密平臺SQL防火墻數(shù)據(jù)安全生命周期安全運維SSH安全登錄自動化漏掃平臺HIDS金融科技安全架構(gòu)83業(yè)務安全數(shù)據(jù)風控是基于大數(shù)據(jù)的計算能力，通過風險決策引擎，解決業(yè)務賬號、活動、交易等關(guān)鍵業(yè)務環(huán)節(jié)存在的欺詐威脅業(yè)務安全

–

業(yè)務安全數(shù)據(jù)風控10流量收集數(shù)據(jù)存儲流量分析快速響應全流量鏡像流量解析流量重組業(yè)務安全風控模型動態(tài)規(guī)則匹配事件識別數(shù)據(jù)存儲實時查詢威脅情報事件預警系統(tǒng)接口攔截阻斷主要功能模塊包括：流量收集、流量分析、數(shù)據(jù)存儲與快速響應四部分組成業(yè)務安全數(shù)據(jù)風控

–

功能模塊11根據(jù)業(yè)務場景進行分析可能帶來的業(yè)務安全風險根據(jù)風險容忍度設置監(jiān)控預警閥值根據(jù)風險指標設計數(shù)據(jù)收集方法及干預\阻斷措施123業(yè)務安全數(shù)據(jù)風控

–

風控決策規(guī)則引擎12“暴力破解”行為監(jiān)控通過對線上業(yè)務登錄成功及失敗行為的實時監(jiān)控“撞庫掃號”行為監(jiān)控通過對線上業(yè)務登錄成功及失敗行為的實時監(jiān)控“短信炸彈”行為監(jiān)控通過對線上所有短信驗證接口進行實時監(jiān)控“垃圾帳號注冊”行為監(jiān)控通過對線上所有業(yè)務的注冊行為(頻繁注冊)進行實時監(jiān)控業(yè)務安全數(shù)據(jù)風控

–

風險行為監(jiān)控13用戶注冊賬戶操作修改信息用戶登錄發(fā)起轉(zhuǎn)賬注冊場景反欺詐API服務-注冊機器注冊風險設備聚集風險等級……登錄場景身份認證產(chǎn)品指紋、免密驗證賬戶風險識別產(chǎn)品用戶身份及登錄安全識別短信加驗等風險處置手段身份認證執(zhí)行操作身份認證

登錄安全決策加驗身份認證登錄安全決策登錄、交易及轉(zhuǎn)賬場景反欺詐API服務-登陸用戶安全風險等級用戶常用登錄地用戶常用設備用戶安全設備設備聚集性風險等級加驗業(yè)務安全數(shù)據(jù)風控

–

應用場景14Web應用防火墻目前根據(jù)對HTTP訪問請求數(shù)據(jù)進行特征匹配，從而檢測識別出相應的攻擊類型應用安全

-

WEB應用防火墻15WEB應用防火墻

–

功能介紹主要功能功能描述Web常見攻擊防護提供SQL注入、XSS跨站、Webshell上傳、后門隔離保護、命令注入、非法HTTP協(xié)議請求、常見Web服務器漏洞攻擊、核心文件非授權(quán)訪問、路徑穿越、掃描防護等安全防護緩解CC攻擊對單一源IP的訪問頻率進行控制、重定向跳轉(zhuǎn)驗證、人機識別精準訪問控制提供配置控制臺界面，支持IP、URL、Referer、User-Agent等HTTP常見字段的條件組合，精準訪問控制策略，可支持盜鏈防護、網(wǎng)站后臺保護等防護場景Web應用防火墻是向用戶提供的網(wǎng)站安全防護產(chǎn)品，通過防御常見OWASP攻擊、提供熱補丁漏洞修復，網(wǎng)站業(yè)務的定制規(guī)則防護，從而成功保障網(wǎng)站W(wǎng)eb應用的安全性與可用性16網(wǎng)絡安全

–

DDoS攻擊檢測&清洗回注1云端清洗集群,

單機40G流量清洗能力?？杉簲U展23有效檢測并清洗SYN

flood，

ACK

flood,UDP

flood,

ICMP

flood，CC攻擊等各類常見DDoS攻擊部署靈活，流量智能牽引，攻擊響應精準迅速4支持TCP、UDP、HTTP、HTTPS等各種協(xié)議，適用于金融、游戲、電商、直播網(wǎng)站等各種業(yè)務場景17畸形報文過濾對報文的合法性進行檢驗，

對畸形報文進行攔截，防止其穿透到后端系統(tǒng)自定義黑白名單可接入安全

模塊獲得黑

名單，同時

將信任客戶，合作伙伴等

加入白名單特征分析判定對流量進行特征分析，動態(tài)維護可信任訪問源集合虛假源認證對流量進行源認證，有效過濾sync

flood,

ackflood,

icmp

flood等智能限速對單個IP進行智能限速，

有效防止突發(fā)異常流量JDGUARDDDoS攻擊檢測&清洗回注

–

實現(xiàn)功能18非金融機構(gòu)支付業(yè)務設施技術(shù)認證PCI

DSS支付卡行業(yè)數(shù)據(jù)安全標準信息安全等級保護ISO

27001認證ADSS

銀聯(lián)卡收單機構(gòu)賬戶信息安全管理標準安全合規(guī)

-

安全標準與合規(guī)遵從19數(shù)據(jù)安全管理從數(shù)據(jù)全生命周期角度，從數(shù)據(jù)產(chǎn)生、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)展現(xiàn)、數(shù)據(jù)傳輸，到數(shù)據(jù)銷毀，最終建立閉環(huán)數(shù)據(jù)安全管理機制數(shù)據(jù)產(chǎn)生數(shù)據(jù)存儲數(shù)據(jù)使用數(shù)據(jù)銷毀數(shù)據(jù)傳輸數(shù)據(jù)展現(xiàn)制定數(shù)據(jù)分類與數(shù)據(jù)分級保護標準在立項及開發(fā)階段對敏感數(shù)據(jù)進行識別及加密，使用Mars

進行SQL執(zhí)行安全審核機密、保密信息數(shù)據(jù)在存儲落地時應統(tǒng)一使用AKS安全加密系統(tǒng)進行公司級別統(tǒng)一加密使用SQL防火墻對執(zhí)行危險SQL進行審計，對業(yè)務流量進行安全檢測；根據(jù)數(shù)據(jù)敏感程度進行數(shù)據(jù)提取審批數(shù)據(jù)安全

–

數(shù)據(jù)安全生命周期20移動安全

-

App

Hunter自動化安全分析App

Hunter

自動化安全分析平臺提供全方位的移動App自動漏洞檢測服務，能在App研發(fā)測試過程中發(fā)現(xiàn)App客戶端存在的安全問題，并幫助App研發(fā)同學快速了解安全漏洞，定位問題及修復漏洞21C級代碼混淆C庫LLVM加固防內(nèi)存DUMP防HOOK防PTRTRACEAPP反篡改模擬器檢測ROOT提權(quán)攻擊框架檢測防DNS劫持移動安全

–

移動安全加固22HTTPDNS使用HTTP協(xié)議承載DNS服務，代替?zhèn)鹘y(tǒng)的基于UDP協(xié)議的DNS。繞開運營商LocalDNS，有效防止域名劫持，提高域名解析效率。智能解析，精準調(diào)度。域名修改實時生效，支持HTTP/HTTPS。HTTPDNS-SERVER解析請求，生成HTTPDNS響應HTTPDNS-WEB下發(fā)指令，呈現(xiàn)服務信息HTTPDNS-DB存儲所有相關(guān)數(shù)據(jù)移動安全

-

域名解析HTTPDNS23安全運維

-

HIDS服務器安全HIDS服務器安全由輕量級Agent和云端組成，集整體安全平臺威脅情報于一體，通過Agent和云端大數(shù)據(jù)的聯(lián)動，實現(xiàn)對文件變更監(jiān)控、內(nèi)網(wǎng)端口掃描、登錄行為監(jiān)控、Tomcat命令執(zhí)行、webshell創(chuàng)建進程監(jiān)控、命令執(zhí)行監(jiān)控等功能24HIDS服務器安全

–

功能介紹主要功能功能描述文件變更監(jiān)控通過Linux內(nèi)核接口，實現(xiàn)對文件系統(tǒng)的增刪查進行監(jiān)控，對重要文件的修改進行記錄命令執(zhí)行記錄通過Linux內(nèi)核接口，記錄所有系統(tǒng)命令執(zhí)行，篩選提供服務的進程（Tomcat等）調(diào)用的系統(tǒng)命令端口掃描識別通過統(tǒng)計一分鐘內(nèi)同一源ip對主機連接端口數(shù)，超過上限50判斷為端口掃描服務爆破識別服務爆破目前干擾信息比較多，部分應用連接次數(shù)較多導致和爆破相似服務器安全是數(shù)據(jù)的最后一道防線，要建立縱深防御體系，服務器安全是必不可少的一環(huán)，服務器安全通過安裝在服務器上的A