互联网金融模式是传统金融业与现代信息科技特别是搜索引擎、移动支付、云计算、社会化网络和数据挖掘等互联网技术相结合的产物。目前互联网金融不仅包括传统商业银行的网上银行,而且还包括手机银行、P2P网贷、众筹、电商金融和线上网络银行等多种模式。

业务场景

随着金融与互联网的接轨,关键业务活动越来越多地依赖WEB和手APP应用,在向客户提供便捷的同时,企业所面临的风险也不断增加:主要表现在两个层面:一是随着WEB和APP应用程序增多,这些程序所带来的安全漏洞越来越多;二是被用来攻击的黑客工具越来越多、黑客活动越来越猖獗,经济利益驱动非常明显。

企业常见的业务应用场景所面临安全隐患

A、WEB服务端

注入漏洞、跨站脚本攻击、文件上传或下载、目录偏历、身份认证授权缺失、数据输入或输出验证、不安全配置等

B、移动APP端

不安全数据存储、逆向分析、不安全加密传输、界面劫持、登录凭证窃取、订单越权查询、表单注入、支付金额篡改、恶意刷单、外挂抢红包等

C、业务场景

垃圾注册、短信轰炸、账户盗用、用户认证缺失、越权查看敏感信息、数据篡改、薅羊毛等

解决方案

1、自由专家团队+可信众测结合的安全测试模式

漏洞盒子的专家团队来自阿里、腾讯等国内各大厂商,丰富的实战经验保证着测试服务的输出质量;在线注册签约白帽子3w余名,核心白帽子5k余名;扮演黑客角色对企业应用场景进行安全渗透测试,提前发现企业安全隐患并给出有效安全加固建议。

2、代码审计

派遣安全专家到企业内部,帮助企业进行源代码审计,确保在业务上线前就解决网站安全漏洞。

3、安全攻防演练

定期对企业应用环境或是活动之前业务系统进行攻防演练,从安全攻防演练中给企业带来如下收益:

帮助客户了解到自身当前业务场景的安全状况;

采用业界最新的安全攻击防御技术,让客户技术人员深入了解掌握安全业界的安全漏洞的成因、漏洞利用、漏洞的防御方法,提升企业安全防护能力;

安全攻防演练服务提升企业安全建设水平,提升企业信息安全的发展。

4、安全培训

WEB和APP安全开发—WEB和APP安全测试—WEB和APP漏洞分析—业务逻辑漏洞分析—WEB和APP安全防护

完整的安全培训课程为企业做针对性安全培训来加强企业自身开发人员的安全意识,这样大大减少WEB和APP端所带来的安全漏洞。

5、加固与应急响应

对受攻击WEB应用进行入侵分析、应急修复,及时解决安全事件,化解安全危机.将安全事件影响的损失降到最低。

6、安全通告

应用安全漏洞通告、重大安全事件通告、企业自身安全漏洞通告

7、有效的风控机制

建立统一的渗透测试流程;与企业确认测试边界,签订保密协议;VPN、堡垒机进行流量控制;测试人员实名制等。

8、透明、高效的管理

提供项目管理平台,企业用户实时查看测试动态,掌握项目进度情况,并在项目中为企业提供阶段性的报告

相关政策文献

《互联网金融指导意见》

《国家信息安全等级保护》

《银行业金融机构信息系统风险管理指引》