互联网金融安全解决方案

背景:


今天,人们对互联网金融已经不再陌生。2016年“双十一”当天仅阿里巴巴旗下各平台总交易额高达到178亿美元。随着互联网、云计算、大数据的发展,使得金融依托互联网得以快速发展。互联网金融是指传统金融机构与互联网企业利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。互联网金融不是互联网和金融业的简单结合,而是在实现安全、移动等网络技术水平上,被用户熟悉接受后,自然而然为适应新的需求而产生的新模式及新业务。是传统金融行业与互联网技术相结合的新兴领域。2016年10月13日,国务院办公厅发布《互联网金融风险专项整治工作实施方案的通知》。


当下互联网金融主要包括第三方支付平台模式、P2P网络小额信贷模式、基于大数据的金融服务平台模式、众筹模式、网络保险模式、金融理财产品网络销售等模式。


互联网金融分布图


而面对于互联网金融的兴起,不断有响应的公司进行该领域涉足的涉足,详细如下图所示:


互联网企业涉足领域


安全威胁:


由于支撑互联网金融的云计算、大数据等技术发展还不完全成熟,安全机制尚不完善;同时,当第三方支付、P2P等互联网金融新业务飞速发展时,企业安全技术、安全意识以及运维管理水平往往难以跟上,因此许多互联网金融企业愿意花费几百万、几千万投放广告,却不愿意在安全方面有任何预算,这一切直接导致大量的P2P网贷、互联网金融产品成为“黑客光临”的重灾区。


国内金融行业面临的信息安全风险是全方位的,除传统互联网风险与金融风险外,还面临新形势、新技术、新业态的安全风险挑战,正在经历着来自黑客团体、经济犯罪、地下产业及敌对国家等安全威胁。加之一直以来互联网金融缺乏必要的监管,行业监管文件缺乏。


2016年杭州安恒风暴中心针对浙江省互联网金融网站抽样了100个进行了深入的检测,发现其中有53个互联网金融网站存在高危漏洞,占总数的53%。其中6%的站点可以getshell,47%的站点发现SQL注入漏洞,2%的站点发现Struts2命令执 行漏洞,25%的站点发现跨站脚本漏洞,4%的站点发现逻辑漏洞,6%的站点发现密码重置漏洞,4%的站点存在弱口令,2%的站点发现目录遍历漏洞,6%的站点发现高危敏感信息泄露,具体分布如下所示:


抽样分析漏洞分布


整体防护思路:



安全解决方案:


安恒信息根据互联网金融的特点与威胁:从安全技术、安全服务、运营安全管理多方面,给出了纵深立体主动的安全防护体系,并在业界得到了广泛的验证与实践。


安全技术保障:


• 玄武盾DDOS防护用于监测异常流量与清洗防护,应对大流量拒绝服务和CC攻击;
• 访问控制(如防火墙)用于边界隔离与方访问控制授权;
• 远程接入管理(如VPN)用于应对非授权接入;
• 入侵防御系统(IPS)用于应对外部入侵系统和网络层攻击;
• 恶意代码防护(如防毒墙)应对网络蠕虫、网络病毒与恶意脚本代码攻击;
• Web应用防火墙(WAF)应对基于web层的攻击,如跨站脚本、SQL注入等攻击;
• 网站安全卫士从应用系统层安全防护使其无法进行恶意篡改等行为的发生;
• 数据库审计系统记录所有对数据库的请求与操作,进行事中和事后审计保障;
• 部署运维审计与风险控制系统加强内部与第三方人员的规范与合规内控管理;
• APT预警监测可对隐蔽性强、潜伏性深,甚至0day威胁进行监测与告警;
• 事前通过主机、系统、数据库的漏洞扫描与安全基线配置核查进行全网加固;
• 综合日志审计对所有安全威胁与事件进行采集、归并与分析。


互联网金融网络拓扑架构示意图


安全服务保障:


对人员、流程、制度等相关安全管理内控措施进行分析与评估;
对网络、主机、应用及数据库全方位的弱点检测评估;
提供代码审计,详细审计代码所存在的问题,并且进行修正建议;
提供渗透测试和移动APP测试,有效检测系统网络安全漏洞。
提供等保咨询,使得网络的建设更合规。
提供应预案与响应支持,对受攻击入侵层面进行深入入侵分析、应急修复;

应急响应流程图如下所示:

应急响应流程图


云安全保障


针对互联网金融行业存在的漏洞较多,危害较大等问题,安恒阿尔法实验室提供了互联网金融云安全一体化解决方案,对互联网金融业务系统提供云端漏洞发现、风险检测、事件监测、流量日志人次、攻击防御以及流量审计安全服务,以提升对我国金融行业的WEB应用系统的安全预警、监测、防御水平。
安恒信息基于互联网金融7X24小时云安全保障构成示简图:


云安全保障构成


根据对于云安全保障的分析,详细的功能组成如下所示:


安全功能项


方案优势与价值


 有效的DDoS安全防护架构,能够进行流量清洗
纵深立体主动的安全防护体系,高针对性的防护措施;
从安全技术、安全管理、安全运营多层面进行安全保障;
有效地监控、备份与恢复措施,彻底保障网站的完整性与数据机密性;
 保障安全有效性的前提下满足监管合规需求;
大幅提高防护效果,有效抵御各种攻击,从而降低总体安全成本;
提供安全攻击证据,震慑非法攻击者、恶意员工;
减少安全人员负担,提高安全运维效率;
降低站点运营风险隐患,第一时间获知系统所面临各项风险状况;
提升系统可信度和企业的品牌形象和商业信誉。


部分用户案例:


阿里云平台、中国银联、浙商银行、浙江省农信联社、杭州银行、宁波银行、成都银行、重庆银行、长沙银行、温州银行、绍兴银行、浙江稠州商业银行、快捷通支付、浙江商盟商务、传化物流、泰然集团、浙商证券、大成基金、海富通基金、财通证券、中国中投证券、中国金融期货交易所、绿城集团、港交所、上交所、海通证券、银河证券、中国人寿、新华人寿、……



返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |