行業現狀
近年來在國內外信息安全形勢日益嚴峻的大背景下,來自利益驅動的不法者甚至境外敵對黑客組織的威脅日益凸現,網絡攻擊技術手段不斷翻新,金融行業重要信息系統漏洞被利用導致的資產竊取、數據泄露等安全事件時有發生。
金融行業用戶眾多,系統及應用復雜,特別是針對涉及到用戶隱私數據及交易功能系統的保護,為金融單位日常安全運營工作帶來了前所未有的挑戰。如何保障相關信息系統的業務連續性并抵御各種外部威脅,建立起完善的信息安全保障體系,已成為金融行業現階段迫切需要解決的關鍵問題。
解決方案
有效的安全評估前提是對金融相關單位安全現狀有整體的了解,特別是金融機構長久以來尚未掌握的空白資產,這些資產因為某種特定因素暴露在互聯網上,如搜索引擎中,DNS解析記錄中等,如不加以處理,則很有可能成為攻擊者利用的攻擊跳板,對重要目標系統進行橫向或縱深的滲透。
與互聯網資產相對的另一面,就是存在于金融單位網絡內部的龐大信息資產體系,包括各類網絡設備、服務器、存儲、數據庫、虛擬機、應用、安全設備、測試主機、辦公終端等。
此類資產相對可控,且經過長時間的運維管理,金融單位已經具備較完善的資產信息。為進一步完善內網資產清單并隨時進行增量更新,重生信安推出內網資產掃描探測工具,協助金融單位完成這一工作。
針對金融單位重要目標系統的攻擊能否成功,同時也取決于該單位現有網絡架構是否科學,及安全策略是否有針對性。
網絡架構要具備縱深性,防護手段要具備多元化,重要系統要具備相當的抗壓能力和冗余能力,重生信安會結合金融單位網絡拓撲圖和相關系統的配置操作手冊,指派金融行業安全專家對現有網絡架構和安全策略體系進行全面評估,并出具評估報告。
對金融單位面向互聯網提供服務的系統如:門戶網站、電子銀行、在線客服、外網郵件、招聘管理、智能POS等提供滲透測試。
對金融單位內網相關系統如:項目管理系統、缺陷管理系統、風險控制系統、集中大數據平臺、業務運營管理平臺、IT服務管理系統、配置管理系統等提供滲透測試。
對金融單位內網全資產如:網絡設備、服務器、辦公PC、數據庫、虛擬機、WEB應用、安全設備等進行漏洞掃描。
優先對金融單位重要目標資產系統如業務系統、服務器、數據庫、網絡設備、安全設備進行安全配置核查,并通過一定階段的梳理,進一步將范圍延展至全單位信息資產,逐步建立該單位資產安全配置基線標準。
對金融單位指定的重要目標系統進行源代碼審計工作,通過審計工具發現編碼層面的安全風險,結合金融行業專業技術服務人員的自身經驗,對隱藏在代碼之下的業務邏輯問題如身份驗證、支付交易等重要功能進行人工審計驗證。
對金融單位相關的微信公眾號、微信小程序、網銀類、借貸類、買賣類、商圈類、社區類等重要APP應用,提供客戶端側、服務端側、以及網絡通信過程中的全方位安全測試。
通過第一次安全測試工作,整理在系統中發現的安全問題,與金融單位相關部門和責任人進行詳細確認和溝通,梳理安全評估報告,對其中確定需進行安全加固的問題進行全面整改,之后針對這些問題進行第二次回歸測試,以驗證加固工作是否成功,并提供最終安全評估報告。
方案價值
完全遵循國家等級保護、安全法、關鍵信息基礎設施保護條例、及金融行業相關政策對于信息系統安全評估方面的要求;
架構與策略并重,工具與人工結合,注重整體效果;
具備系統全生命周期的安全評估措施,提供整體保障能力;
全面收窄系統安全風險隱患,提供一站式安全評估服務;
