freebuf5月16日,金融咨询网举办的“第四届华东及华中银行业金融科技创新论坛”在南昌举行。此次金融科技创新论坛,将聚焦人工智能、大数据、区块链等新兴技术在银行业的应用与创新,汇聚国内外金融科技创新领域的资深专家和典型银行业用户,共同探讨银行科技发展前沿问题。
爱加密作为全球专业的移动信息安全服务提供商受邀出席。爱加密副总裁程智力针对金融行业移动安全问题,发表《数字化银行的赋能安全防护体系》主题演讲。
随着时代的变革,银行业无论服务内容还是服务方式都发生了巨大的改变,银行业务领域已经从单一的柜台模式发展到PC、手机端、第三方支付等多元化场景。新形势下银行业数据化转型、监管要求等,推动着银行业移动安全建设工作的稳步进行,如何安全高效的运营移动业务成为银行亟需解决的问题。
数字化银行总体安全目标即保障客户资金安全、保护客户信息安全、保障系统安全运行。新安全体系建设以智能化风险漏洞感知能力、智能化安全防护应对能力两大能力,以及降低业务风险、优化客户体验、加强内部管理、提升合规管控、适应新业务发展五点要求为原则,实现金融风险防控 、促进业务精细化管理。
爱加密金融安全防护体系,以数据+智能为核心安全理念,从移动系统威胁感知中心、移动系统检测分析中心、移动系统数据应用中心三方面来实现全面的安全防护。
1、移动应用大数据平台
数据赋能安全防护基础
以企业自购采集数据、可视化埋点采集数据和第三方采集数据为基础,通过对移动互联网中不同区域/行业重点监管的APP进行综合分析,构建监管业务安全视图,展示全网数据安全的总览图。通过机器学习的层层抽象,将复杂的安全数据提升为安全事件,展现为业务告警信息的大数据报告。
2、移动应用安全感知平台
全面的威胁数据感知体系
包括互联网端安全感知、服务端威胁感知、问题处置过程威胁感知、移动威胁感知场景看板等。通过大数据技术对安全事件进行事前态势感知,事中实时响应,事后追踪溯源从而帮助企业安全管理人员掌握移动业务的整体安全。
事前感知:拥有多种数据采集方式,对采集到的数据源深度挖掘分析,针对不同场景下的业务威胁构建不同的感知模型,如刷单、位置欺诈、框架攻击、恶意应用、模拟器、注入攻击、劫持攻击等。
事中响应:建立完模型后,将不同的业务场景模型与策略智能关联,预置场景被触发时,实时响应策略模板。平台提供海量的安全工具,方便管理员自定义策略,如跳转指定链接、推送窗口、调用第三方工具等,实现精准决策,及时规避安全风险。
事后溯源:发生威胁事件时,平台会记录威胁事件的详情,对威胁事件画像,形成风险报告,事后也可检索历史威胁事件,实现追踪溯源的能力。
3、移动应用安全防护能力
赋能安全管理中心
改变被动的防护方式,将用户终端对环境风险、攻击行为、运行状态等多维度信息进行实时采集、预警、响应。实现移动应用在用户端运行时“事前、事中、事后”的全过程安全管理,做到数据收集、威胁分析、策略保护三位一体,为安全管理人员提供辅助决策信息。
通过对基础资源和安全资源的整合云化,实现安全资源集中管理与能力集中配置。根据不同业务安全场景,抽取相应资源的安全能力灵活组装,形成与业务场景相适配、非专业安全人员可使用的安全服务,提供给开发人员、运维人员、运营人员,提升安全资源利用率和开发运维工作质效。
4、威胁检测验证中心
11大类应用、9大业务、120+检测项
高成熟度组件化检测引擎中心,包括健康风险漏洞检测、恶意行为风险检测、个人信息安全检测、内容违规检测、合规安全检测等。
隐私检测则通过权限获取、静态代码权限分析、动态行为分析、行业最小权限对比库、隐私条款等多维度进行判断,站在行业前端,为创新注入更多生命。爱加密隐私检测技术会对一些简称关键词、业务关键词组合进行检测。如位置、定位、gps、相机、拍照、识别等,从而有效检测出APP所存在的权限风险问题,全方位杜绝隐私安全漏洞。
爱加密是国内知名的移动信息安全综合服务提供商,拥有安全防护、安全运营、安全监管、安全服务四大产品体系。爱加密至今共服务移动应用100万+,监控互联网应用1500万+, 服务行业客户覆盖政府、运营商、金融、游戏、教育、物联网等多个行业。
转载请注明来自网盾网络安全培训,本文标题:《银行数字化转型,大数据驱动下的安全防护体系》
标签:移动金融
