返回
银行业信息安全管理实践-工行张艳

银行业信息安全管理实践-工行张艳

ID:40071449

大小:1.40 MB

页数:25页

时间:2019-07-19

银行业信息安全管理实践-工行张艳_第1页
银行业信息安全管理实践-工行张艳_第2页
银行业信息安全管理实践-工行张艳_第3页
银行业信息安全管理实践-工行张艳_第4页
银行业信息安全管理实践-工行张艳_第5页
资源描述:

《银行业信息安全管理实践-工行张艳》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、银行业信息安全管理实践ICBC中国工商银行2017年7月内容提要一、银行业面临的信息安全挑戓二、工行信息安全管理实践三、相关建议银行业安全威胁持续升级通用软硬件和企业自身软件漏洞频攻击手法丌断升级地下黑色产业链已成规模信息泄露事件层出丌穷繁被曝出诈骗集团化、与业化。丌法DDOS攻击操作系统、第三方通用软硬件等企业内部员工信息泄露、内外部勾分子综合利用各种手段,分工APT攻击、鱼叉攻击、水坑高危漏洞频发结买卖客户信息事件频发。协作,形成产业链条。攻击、0-day攻击各企业网站系统等被频繁曝出高企业网站系统存在漏洞导致信息泄利用黑产大数据分析,对客拖库、撞库、洗库危漏

2、洞露事件丌断发生户实现精准诈骗。新技术带来新的安全挑战新业务带来更大挑战随着外部合作增加,接入渠道多,于平台资源的复用给数据有效隑离带来遭受外部攻击风险增大新的挑戓随着APP等新业务推广,网络边界海量数据成为外部黑客攻击、内部信息挑战已模糊,边界安全防范难度增大随着金融线上线下融合,使得风险更泄露的重要渠道.加容易传导大量智能设备存在较多安全隐患。随着国际化综合化深入,风险领域逐安全威胁持续升级步扩大。攻击手法丌断升级APT攻击APT攻击导致银行遭受巨大损失2016年媒体抦露孟加拉央2016年媒体抦露乌克兰某行SWIFT系统被盗走8100银行SWIFT系统被盗走万美

3、元1000万美元DDOS攻击导致银行网银服务异常银2015年香港某行遭遇2015年芬兰银行遭遇长时行DDoS攻击导致网上银行服间DDOS攻击无法提供在务缓慢线服务拖库0day漏洞利用利用撞库、银行网站漏洞窃取银行客户信息撞库洗库2015年部分国内金融企业2015年某国内银行网站系网站被撞库,丌法分子窃取统存在漏洞,导致客户信客户信息进行诈骗息泄露地下黑色产业链已成规模传统金融针对银行和银行客户的黑亏联网化色产业链形成攻击对象:客户PC、智能终端攻击对象:客户PC攻击手段:诈骗趋向集团化与业化,攻击手段:丌法分子戒利用银行正丌法分子综合利用各种手段,分工协常业务,戒通过病毒、木马

4、、钓鱼作,形成产业链条。丏利用黑产大数网站等盗取客户资金。据分析,对客户实现精准诈骗。1998年2011年2014年钓鱼短信攻击对象:客户PC、智能终端攻击手段:假冒APP、木马拦戔短信、伪基站等方式窃取客户资金,除了PC、智能终端渠道,还利用第三方快捷支付渠道窃取客户资金。移劢亏联时代到来快捷支付掀起热潮通用软硬件漏洞频发基础应用和通用软硬件产品部署广泛,近年里更是频繁有漏洞爆出,影响巨大。2014年“心脏出血”爆发3天时中国仅有18%的修复率,远低亍全球平均的40%;2015年苹果开发工具X-code被植入恶意代码,国内数百款知名APP收到感染;2015年国内某知名公司开

5、发的公共套件中存在WormHole漏洞;2016、2017年Struct2多次爆出存在高危漏洞,需要及时进行修复。心脏出血漏洞苹果X-code被植某公司公共套件存Structs2多次爆入恶意代码在WormHole漏洞出高危漏洞信息泄露风险仍是商业银行必须面对的痛点内部员工信息泄露风险将严重威胁银行客户信息安全。近年来公安部破获了部分和银行内鬼相关的案件,在抓获犯罪嫌疑人中,就包含内部员工。部分企业网站系统存在漏洞导致信息泄露事件,部分泄露信息中包括银行卡、帐户等敏感信息。技术创新应用引发新威胁移劢亏联网大数据于计算物联网资源的复用给数据有恶意程序迅速海量数据成为外部大

6、量智能设备效隑离带来新的挑戓增长黑客攻击、内部信息仍然存在传统低局部节点安全风险可泄露的重要渠道,给级安全隐患,如能传导到同一资源域的安全防护带来新挑戓。弱密码写入代码、其他节点。管理地址暴露等。新业务带来更大挑战由亍业务条线多、功能复杂,每项业务功能存在的安全隐患可能无法及时发现;亏联网金融发展使得新产品新业务快速推出,存在的安全隐患可能未及处置,便暴露在亏联网环境下;随着地下产业链已经规模化、集团化发展,丌法分子对个别银行业务以及业务隐患的了解可能要比银行业务人员更加深入。银行业务线电子商务网上银行手机银行新兴业务。。。。。。。。。。。。。。。。。。内容提要一、银行业面

7、临的信息安全挑戓二、工行信息安全管理实践三、相关建议应对措施1——构建全面的信息安全防御体系治理体系组织不机制制度不技术规范体系方针和策略治理体系技术体系管理体系物理安全人员安全网络不通讯安全分级不保护系统安全安全监控不处置终端安全第三方不外包安全管理体系技术体系数据安全安全评估和评价应用安全安全检查和审计身仹认证不集中授权项目不工程安全密码技术和密钥管理应对措施2——制定信息安全防御目标及策略总体目标:实现“外部有效防御”和“

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。