行业现状
近年来在国内外信息安全形势日益严峻的大背景下,来自利益驱动的不法者甚至境外敌对黑客组织的威胁日益凸现,网络攻击技术手段不断翻新,金融行业重要信息系统漏洞被利用导致的资产窃取、数据泄露等安全事件时有发生。
金融行业用户众多,系统及应用复杂,特别是针对涉及到用户隐私数据及交易功能系统的保护,为金融单位日常安全运营工作带来了前所未有的挑战。如何保障相关信息系统的业务连续性并抵御各种外部威胁,建立起完善的信息安全保障体系,已成为金融行业现阶段迫切需要解决的关键问题。
解决方案
(一)全网资产测绘
1. 互联网资产测绘
有效的安全评估前提是对金融相关单位安全现状有整体的了解,特别是金融机构长久以来尚未掌握的空白资产,这些资产因为某种特定因素暴露在互联网上,如搜索引擎中,DNS解析记录中等,如不加以处理,则很有可能成为攻击者利用的攻击跳板,对重要目标系统进行横向或纵深的渗透。
360全网资产测绘系统QUAKE,可通过金融单位名称,结合360安全大数据以及金融单位相关证书、IP、域名、指纹、关键字等信息快速测绘并输出互联网暴露资产报告。
2. 内网资产探测
与互联网资产相对的另一面,就是存在于金融单位网络内部的庞大信息资产体系,包括各类网络设备、服务器、存储、数据库、虚拟机、应用、安全设备、测试主机、办公终端等。
此类资产相对可控,且经过长时间的运维管理,金融单位已经具备较完善的资产信息。为进一步完善内网资产清单并随时进行增量更新,360推出内网资产扫描探测工具-天相,协助金融单位完成这一工作。
(二) 网络架构及安全策略分析
针对金融单位重要目标系统的攻击能否成功,同时也取决于该单位现有网络架构是否科学,及安全策略是否有针对性。
网络架构要具备纵深性,防护手段要具备多元化,重要系统要具备相当的抗压能力和冗余能力,360会结合金融单位网络拓扑图和相关系统的配置操作手册,指派金融行业安全专家对现有网络架构和安全策略体系进行全面评估,并出具评估报告。
(三)系统安全评估
1.互联网渗透测试
对金融单位面向互联网提供服务的系统如:门户网站、电子银行、在线客服、外网邮件、招聘管理、智能POS等提供渗透测试。
2.内网渗透测试
对金融单位内网相关系统如:项目管理系统、缺陷管理系统、风险控制系统、集中大数据平台、业务运营管理平台、IT服务管理系统、配置管理系统等提供渗透测试。
3.系统漏洞扫描
对金融单位内网全资产如:网络设备、服务器、办公PC、数据库、虚拟机、WEB应用、安全设备等进行漏洞扫描。
4.系统配置核查
优先对金融单位重要目标资产系统如业务系统、服务器、数据库、网络设备、安全设备进行安全配置核查,并通过一定阶段的梳理,进一步将范围延展至全单位信息资产,逐步建立该单位资产安全配置基线标准。5.系统代码审计
对金融单位指定的重要目标系统进行源代码审计工作,通过审计工具发现编码层面的安全风险,结合金融行业专业技术服务人员的自身经验,对隐藏在代码之下的业务逻辑问题如身份验证、支付交易等重要功能进行人工审计验证。
6.APP安全测试
对金融单位相关的微信公众号、微信小程序、网银类、借贷类、买卖类、商圈类、社区类等重要APP应用,提供客户端侧、服务端侧、以及网络通信过程中的全方位安全测试。
7.安全回归测试
通过第一次安全测试工作,整理在系统中发现的安全问题,与金融单位相关部门和责任人进行详细确认和沟通,梳理安全评估报告,对其中确定需进行安全加固的问题进行全面整改,之后针对这些问题进行第二次回归测试,以验证加固工作是否成功,并提供最终安全评估报告。
方案价值
- 完全遵循国家等级保护、安全法、关键信息基础设施保护条例、及金融行业相关政策对于信息系统安全评估方面的要求;
- 架构与策略并重,工具与人工结合,注重整体效果;
- 具备系统全生命周期的安全评估措施,提供整体保障能力;
- 全面收窄系统安全风险隐患,提供一站式安全评估服务;