freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

数据感知、验证、防护,三步搞定金融银行移动安全
  • 关注
数据感知、验证、防护,三步搞定金融银行移动安全
2019-06-14 17:16:31


6月14日,第三届华北、东北及西北银行业金融科技创新论坛在北京龙城温德姆酒店举行。会议聚集了国内实力银行、前沿科技公司、专家学者等,共同探讨大数据、人工智能、区块链、物联网等背景下金融银行的创新与发展。爱加密作为国内专业的移动应用安全服务提供商受邀参加了此次会议,并针对数字化银行的安全防护问题提出了独特的见解。

在如今科技、政策的驱动下,银行业内外环境的变化和挑战促使银行向着全新的商业模式发展。“新”银行是信息网络化、数据化以及客户行为变化发展到一定阶段的产物,也是新趋势下监管要求的规范化呈现。中国银监会对银行业金融机构必须开展安全加固、安全风险评估以及安全防护的要求,促进银行业创造更多价值。

348090dc729b428c919b502de23b4bc8.JPG

爱加密研究院副院长魏超在会议中发表了《数字化银行的赋能安全防护体系》主题演讲,着重探讨了数字化银行的安全风险问题以及爱加密安全防护方案体系。并从安全理念、总体架构、威胁感知体系、安全防护能力等方面,介绍了爱加密金融银行移动应用安全防护要领。

数字化银行安全防护理念以大数据为基础,通过对用户、内容、行为、资产、漏洞等的安全预测、检测、防御以及响应,及时对风险问题进行处理,实现策略联动,保障移动应用的安全运维。主要分为数据感知、数据验证和定制防护三大步骤。

b30bd13f205c4d1a8b8524551ec3a60c.JPG


数据感知

监管业务安全视图

通过爱加密移动应用大数据平台,构建监管业务安全视图。将复杂的安全数据提升为安全事件,展现为业务告警信息的大数据报告,对互联网移动APP、应用系统、管理流程等进行威胁态势感知。从而对安全事件进行事前态势感知,事中实时响应,事后追踪溯源,帮助企业安全管理人员掌握移动业务的整体安全。

  • 威胁数据采集:支持企业内部数据、移动业务数据与第三方派生数据采集,使用可视化埋点技术,迅速实现数据采集。
  • 威胁数据挖掘:通过机器学习主动从输入数据中找到潜在的类别规则并建立关系模型,当学习完成并测试纠正后,新的模型将可应用于新的案例数据上。
  • 威胁数据分析:支持业务欺诈分析、安全风险分析等已知威胁场景分析,通过无监督聚类算法,将海量数据元分类,挖掘出数据之间的关联性,从而预测出可能出现的未知威胁并进行分析。
  • 威胁数据应用:数据应用能力就是基于数据决策提供的数据支撑,通过产品或服务的形式直接作用到具体威胁场景中,闭环当前威胁问题,帮助企业打通从威胁发现到威胁解决的整体流程。
  • 威胁数据展示:平台采用领先的消息推送技术,可将更新数据同步展示。页面采用localstorage、sessionstorage等会话存储技术,记录用户前一页面的访问信息与位置,可方便用户在多页面信息的关联性查看。

数据验证

近百个安全检测项

数据验证包括合规检测验证、安全检测验证、业务检测验证、流程处置验证、数据归集等,通过安全合规性检测保障APP全生命周期安全。爱加密移动应用安全检测分为静态检测、动态检测和恶意行为检测、内容检测。包括近百个安全检测项,并形成详细的安全评测结果及修复建议报告。

能有效地发现应用中的主流安全问题,并准确定位问题出现的源头。其中iOS检测遵从业界权威的iOS安全技术标准《OWASP-mstg》为安全检测基线,同时参考并合入了国家相关移动安全技术规范及合规性标准,从安全、合规性等多个维度保证测评结果的专业性和准确性。

100fda8b12364951baff82637e3b29ea.JPG

可支持本地独立部署,全面隔离用户应用信息及测评结果,保护用户数据隐私及安全。除了内置的检测项目外,平台还提供检测扩展服务,依据国家相关移动安全技术规范后续的变更或补充,提供检测项的扩展和更新服务,从而保证平台可以及时满足最新的安全测试要求。


定制防护

事前、事中、事后

根据金融银行的不同需求,爱加密提供定制化安全防护方案。从技术、业务、合规三个主要方面,实现事前、事中、事后全过程、全生命周期智能化移动安全防护。做到数据收集、威胁分析、策略保护三位一体,为安全管理人员提供辅助决策信息。

f6754813734440628c62e08861f1e7e2.JPG

安全资源与安全能力智能配置:通过对基础资源和安全资源的整合云化,实现安全资源集中管理与能力集中配置。根据不同业务安全场景,抽取相应资源的安全能力灵活组装,形成与业务场景相适配、非专业安全人员可使用的安全服务,提供给开发人员、运维人员、运营人员,提升安全资源利用率和开发运维工作质效。

移动应用安全加固:针对目前移动应用普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险,爱加密提供安全加固服务。主要包括Android移动应用安全加固、iOS移动应用安全加固、H5移动应用安全加固、SDK加固、SO加固、安全软键盘SDK、通信协议加密SDK、环境清场SDK等。

移动应用渠道监测:用户通过渠道监测平台,可对所有推广渠道中的APP进行统一管理,第一时间发现盗版并规避安全风险。服务涉及600+渠道资源的数据监测、盗版APP识别和分析。

优势

1. 渠道数据监控:国内外600+APP推广渠道信息,一站式监控所有渠道;

2. 数据处理:精准抓取市场数据,辅助开发者管理APP在各大渠道的推广与运营;

3. 盗版监测:正盗版APP信息精准对比,24小时监控渠道信息,第一时间通知用户;

4. 盗版分析:涵盖盗版APK所有路径文件与代码,篡改清晰查看,一键生成分析报告。

兼容性测试:采用移动应用端到端开发和测试解决方案,快速适配各种国内外主流品牌机型,同时捕获性能数据。分为基础测试和深度测试两种模式。qrcode_for_gh_0e28cef7681c_258.jpg

爱加密

# 金融安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者