freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

用安全守护金融,CIS 2021春日版金融科技分论坛回顾
  • 关注
用安全守护金融,CIS 2021春日版金融科技分论坛回顾
2022-03-11 18:43:13
所属地 上海

金融业务、证券业务中通常产生大量流量,这些流量如何进行安全管控?大宗流量沉淀的数据如何保证安全。数据上云之后,多云安全策略如何部署。金融行业的安全运营如何常态化,有哪些实践和思考。

3月9日下午,「CIS 2021网络安全创新大会Spring·春日版」金融科技安全专场成功进行线上直播。

七位来自蚂蚁集团基础设施安全团队、斗象科技、东方证券系统运行总部、F5金融和企业事业部、中国银联金融科技研究院、平安资管信息安全团队、清华大学软件工程学院的安全专家齐聚一堂,探讨金融行业的安全实践与问题。

安全出口网关-云原生架构下的出口流量管控方案

“我们为什么要自己做云原生架构下的出口流量管控方案?”蚂蚁集团基础设施安全团队负责人徐子腾说,自己搭建安全出口网关可以保证稳定性、安全性、灵活性和扩展性。它可以在不入侵网络架构的情况下,保证高并发流量支持,做好流量隐私数据保护和证书安全保护;同时还能做到流量转发按应用生效和按百分比生效,具备威胁感知、IDS和IPS等能力。

徐子腾表示,出于蚂蚁集团高频的金融业务需求,自研的安全出口网关要实现普通应用无法直连公网IP等网络链路要求,还要实现支持百分比生效、支持泛域名解析的DNS劫持原理。

对于自研安全出口网关,徐子腾期望未来有更多的协议支持、更精准的应用身份校验、东西向流量管控落地。

安全实战技术与安全运营创新实践

当前的漏洞运营现状是流程、人和工具三环相扣。“漏洞之间是有跨度的,如果不在漏洞扫描周期内,会漏掉一些漏洞。”斗象科技安全专家杜南提起漏洞扫描中遇到的问题,为了应对上述问题,主动防御式的漏洞安全运营管理应运而生。

所谓主动防御,即主动侦测或获取关于网络入侵、网络攻击或即将发生的网络行动信息,或是为确定网络行动的源头而实施的先发制人、预防性或反制行动。在主动防御中,我们可以采取攻击杀伤链、社工钓鱼、漏洞利用、供应链攻击等攻击战术,同时做好漏洞轻薄预警和隔离,进行反制溯源和流量观察。

杜南表示,当前大部分金融行业企业已具备网络安全保障基础设施,但由于资产规模庞大、难以精细化管理、供应链例时遗留问题较多等原因,安全攻防和安全运营都还有提升空间。

证券企业常态化安全运营的思考与实践

“行业里有很多不当的运维习惯,例如将服务器当作操作机、在机器上保存运维手册和口令等… …”东方证券系统运行总部信息安全总监邬晓磊,在直播中谈到证券行业的安全运维现状时表示,证券企业应该常态化安全运营。

他表示,对于中型的证券化企业来说,人员少资产数据多,如果可以利用自动化安全运营解决问题,将节省很多成本和问题。

金融行业云化趋势下应用安全及高可用应对之策

随着金融行业业务重心转移到数字化,数据上云后的应用安全开始受大家重视。F5金融和企业事业部技术经理谢乾屹表示,我们需要感知可控随需而变的全数据通路防护能力、可信的零信任架构、安全架构重塑、异构安全资源调度。

谢乾屹还提到,F5和斗象科技联合发布了蜜网联合方案,该方案是一个全网欺骗防御体系,能够秒级部署,溯源更快更准。斗象科技负责高交互蜜罐与攻击分析与溯源,F5负责蜜网探针的低交互蜜罐与安全仿真。

甲方视角下的联邦学习平台安全性评估

联邦学习,是一种机器学习框架,目的为在满足用户隐私保护、数据安全和合规的要求下,进行跨机构的数据使用和机器学习建模。

中国银联金融科技研究院安全研究员邱震尧介绍,国内对联邦学习进行了扩展和细分,根据参与方之间数据分布的不同,把联邦学习拓展为横向联邦学习和纵向联邦学习。国内对纵向联邦学习的实践更多,在金融营销、风控等场景有很多应用案例。

邱震尧表示,联邦学习在国内还是一个新领域,目前在技术方案与产品方面仍处于百花齐放的状态,不同厂商的联邦学习平台在算法方案、编码开发、运营支持等层面均有所差异。联邦学习平台的安全性评估对于企业安全特别是数据安全具有至关重要的意义。

跨层全栈区块链安全保障系统

区块链在金融行业应用甚广,据国家互联网应急中心统计分析,国内外区块链软件中包含的高危安全漏洞共746个,中危安全漏洞3497个,每千行漏洞数最高达90个。

清华大学软件学院副教授、水木羽林首席科学家姜宇表示,区块链上层、中层和底层的安全检测很有必要,目标是要建立跨层全栈的FISCO-BCOS安全保障系统。

他还介绍了区块链系统密码库安全测试框架的设计方案:

利用不同密码库实现的输出差异度进行导向模糊测试,更快地触发逻辑漏洞

根据区块链系统的场景进行构造领域相关的输入,保证测试的高效性

“数据安全元年”变局时代的资管行业安全挑战与实践

平安资管信息安全团队负责人戴冰波表示,资管行业的数据安全实践包括以下5个环节:现状调研、分类分级、落地管控、绘制地图和持续推动。其中,绘制地图需要全面梳理制资管公司敏感数据,掌握这些数据的来源和去向,还需了解并防范可能由不当行为而引发的风险和损失。

戴冰波还提到,在建立分类和数据地图后,企业要持续推动敏感数据端到端安全防护实践,事前存储数据加解密,事中最小化防火墙与流量监控,事后做好数据库审计与脱敏访问。

# CIS 2021春日版
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
安全出口网关-云原生架构下的出口流量管控方案
    安全实战技术与安全运营创新实践
      证券企业常态化安全运营的思考与实践
        金融行业云化趋势下应用安全及高可用应对之策
          甲方视角下的联邦学习平台安全性评估
            跨层全栈区块链安全保障系统
              “数据安全元年”变局时代的资管行业安全挑战与实践