打造安全地互联网金融平台.PDF

打造安全的互联网金融平台 侯俊 - 绿盟科技技术经理 © 2015 绿盟科技 现实的问题 我们本应是网络安全主力军 但在前线的却往往是我们的客户！ Know Your Enemy 互联网风险 •DDoS、Web入侵、撞库、拖库、钓鱼、接口安全 金融风险 •资金与支付风险 •基于用户身份的仿冒、欺诈、洗钱 •合规与风控 •手机与App风险 •敏感信息泄露 打造一个小的生态环境 • 靠谱的供应商 规划 • 可靠的平台环境 • 成熟的方案 • 设计 建设 • 规划 • 开发 • 测试 运营 • 内部 ，安全体系 • 外部 ，必要资源 从不同角度看安全保护 关于资产 ，What we have ？ Web端 微信端 手机客户端 API接口 虚拟资产 其它资产 数据 账号 人员 框架 组件 版本 端口 接口 …… 关于安全运维 安全加固 网络安全管理 检查手段 •操作系统 •安全域划分 •漏洞管理 •数据库 •访问控制 •安全基线 •应用服务器 •边界管理 •持续监控 •网络设备 •无线管理 •终端管理 •权限管理 合适的安全策略 • 深度防御原则 – Defense in Depth – 在业务的各个阶段都要考虑安全性，避免单点防御被 突破造成的安全风险。 他山之石“捻乱止于河防” 核心思想 ：控 具体措施：坚壁清野、步步为营、层层设防 /index.php/blog/msg/68 关于应用开发 •金融行业新生儿，对安 开发 全重视程度远低于银行 •互联网化，风险增加 安全 •快速迭代 ，保障滞后