安基網 首頁 安全 安全學院 查看內容

支付行業數據安全痛點及解決思路

2020-5-21 11:14| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 在金融科技如火如荼發展的當下,支付行業正在積極通過數字化、智能化手段,如密碼驗證、聲紋驗證、指紋驗證、刷臉驗證、二維碼支付等技術,致力建立一套以數字化支付和減少現金使用為目標的生態系統,提升客戶體驗。 但新技術的應用,支付場景更加豐富、支付方式更高效更便捷的同時,由互聯網的開放性 ...

原標題:安全無小事|支付行業數據安全痛點及解決思路

在金融科技如火如荼發展的當下,支付行業正在積極通過數字化、智能化手段,如密碼驗證、聲紋驗證、指紋驗證、刷臉驗證、二維碼支付等技術,致力建立一套以數字化支付和減少現金使用為目標的生態系統,提升客戶體驗。 但新技術的應用,支付場景更加豐富、支付方式更高效更便捷的同時,由互聯網的開放性和共享特征,以及信息系統自身安全漏洞等因素,所導致的個人信息和其他支付類敏感數據泄漏事件接踵而至,意外數據泄漏和被非法盜取等隱患倍增。

支付系統是國家金融體系的重要組成部分,與公共交通、水電煤行業一樣屬于關鍵信息基礎設施,近年來,《非金融機構支付管理辦法》、《中國人民銀行關于加強支付結算管理防范電信網絡新型違法犯罪有關事項的通知》等一系列行業法規、標準相繼出臺,對數據安全和個人信息安全提出具體要求。



落實各項法規和監管政策要求,構建全生命周期的數據安全防護體系已刻不容緩。

01

支付行業需解決的數據安全問題

? 問題1: 支付意愿和動作是否真實可信在支付過程中,支付人、商戶、貨幣、數據內容、支付動作是否真實可信,是否存在篡改、偽造的行為。 ? 問題2: 業務邏輯和支付風控為什么支付業務已經通過了風控模型的規則校驗,但還是出現了數據泄露、失真、不當使用等問題? ? 問題3:支付系統和網絡安全可靠網絡支付系統天然是否存在未被發現的漏洞缺陷和沒有及時修補的漏洞。 ? 問題4: 內部人員身份合法操作合規是否存在人員權限過大,高危操作未經臨時授權、高危賬號無管控,未經授權或者未按規定程序查詢、獲取使用個人信息的問題?

02

美創科技支付行業數據安全解決方案

支付行業面臨的上述安全問題,需要統一增強安全防護能力,促進支付行業平穩、有序發展。對此,美創科技基于新安全架構,以數據為保護目標,從資產、入侵、風險三個視角,構建數據安全能力池,實現對支付行業全方位的數據安全保障。

安全能力一:支付業務邏輯安全

場景分析:1)業務上線但風控模塊未上線,導致某銀行信用卡可無限提額 ;2)某業務已通過風控但由于指令修改導致異常;3)越權操作; 解決方案: 美創科技將支付操作定義為資產,然后定義邊界,設置訪問控制和內部成員關系。通過在數據庫服務器與應用服務器間部署數據庫防火墻,幫助用戶及時發現針對數據庫的各類攻擊行為和安全隱患,包括利用數據庫漏洞進行攻擊、利用應用程序進行SQL輸入攻擊等,有效保障數據庫及核心數據安全。同時,靈活、便利的策略定制可提升對于數據庫訪問的可控度。

安全能力二:支付機構人員的安全

場景分析:1)操作系統/數據庫層面的高;蚍欠ú僮。2)無交叉授權機制,高危操作未經臨時授權。3)超級數據庫用戶、超級權限的管理。 解決方案:部署數據庫防水壩,通過多因素認證、多維度的權限控制和細粒度的資產授權管理,攔截“數據庫”級別的高危險操作,攔截“數據對象”級別的高危險操作,防范數據交易和數據泄露事件發生。

安全能力三:惡意病毒防范

場景分析:1.傳統殺毒軟件本地病毒特征庫有限,隔離網絡中檢測能力有限;2.在一定程度上存在誤殺誤報的現象;3.病毒特征庫更新跟不上已知病毒樣本的變異速度;4.新病毒的檢測查殺呈現被動、后知后覺的特點;5.病毒文件隔離處置措施較為單一; 解決方案:美創諾亞防勒索系統基于零信任理念,打破傳統殺毒軟件基于黑名單(病毒庫來防護和查殺)機制,采用獨特的底層白名單技術,確保只有被允許的合法操作才能執行,一切未被允許的操作都被禁止,避免勒索病毒對文件的加密和修改,從而有效防范已知、未知的勒索病毒變種。



安全能力四:數據流動安全

場景分析:1)支付數據受威脅攻擊常發生于數據在公司與金融機構或支付處理機構的傳遞過程中。2)開發/測試、分析/挖掘、提取/上報等場景存在數據泄漏風險。 解決方案:美創科技基于以脫敏、加密和水印技術為核心的源端安全控制辦法,對敏感數據按需進行漂白、變形、遮蓋等處理,避免敏感信息泄露。同時又能保證脫敏后的輸出數據能夠保持數據的一致性和業務的關聯性。



安全能力五:應用合規安全 利用美創業務安全監測系統分析記錄訪問應用的IP信息、訪客信息、歸屬地信息、流量信息、死鏈接和狀態碼統計、瀏覽器信息、登陸信息、操作信息形成多維度的行為記錄展現。 實時發現業務僵尸賬號、賬號復用、賬號權限、賬號密碼明文、賬號密碼暴力破解、賬號登錄驗證碼繞行等安全威脅監測。



安全能力六:業務合規安全

場景分析:1)合法:保證所有流程和操作行為都是合乎國家法律法規的,沒有欺詐、信息泄露、腐敗等違法行為。2)合規:所有操作流程及行為都要符合行業規范和企業規范,不能有任何違規越權、欺騙行為。3)合理:游離于合法和合規之外,還沒有形成法律或行業規范的行為。比如幫朋友查些內部信息、以測試的名義干預業務運行等。

解決方案:美創業務安全監測系統是一款集業務梳理、業務建模、異常行為告警、敏感信息深度檢測、實時告警及違規行為回溯的智能化監測系統,可實時監測分析業務數據,發現違規事件實時告警相關人員,便于及時控制事件影響,消除隱患。


安全能力七:漏洞掃描


美創數據庫漏洞掃描工具,對數據庫中存在的各種漏洞問題,包括SQL注入漏洞、權限繞過漏洞、緩沖區溢出漏洞、訪問控制漏洞、拒絕服務漏洞等進行檢測,在數據庫受到危害之前為管理員提供專業、有效的安全分析和修補建議,解決存在的數據庫漏洞問題。

安全能力八:數據底線防御

場景分析:刪庫跑路等意外事件頻頻發生,不僅對企業正常生產運行帶來影響,關鍵數據的丟失更會對企業造成巨大損失。

解決方案:美創DBRA災備解決方案,幫助用戶做好數據的備份和業務應用的連續性保護工作,實現數據安全的底線防御。美創DBRA災備解決方案以災難完整性和容災可用性為出發點,適應各類平臺和各種場景,最大限度地滿足容災系統RPO、RTO需求,同時所具備的活動站點等亮點功能極大提升產品價值,保護用戶投資、降低TCO。


安全能力九:數據安全統一管理


場景分析:當前,很多用戶部署了各種數據安全產品,但由于每個系統的安全能力是獨立的,整體方案是割裂的,缺少全局可視化能力,難以把握整體安全態勢進行安全決策分析。

解決方案:美創數據安全統一管理中心集成包括運維安全、數據庫安全、流動數據安全、存儲安全等各類敏感數據保護所需的系統,通過幫助用戶將各類安全系統進行統一管理、統一運營,達到提升整體安全水平的目的,讓安全管理更智能、更便捷。


轉自杭州美創科技有限公司公眾號,如需二次轉載,請聯系[email protected]



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6828860070298649101/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 股票配资平台创牛配资 青海快3走势图综合指标 赌场最怕什么样的赌法 兰州股票配资公司 湖北快3今日推荐 急速赛车计划软件 江苏11选五的开奖号码 重庆快乐10分计划大全 股票融资利息一般多少 加拿大28必输