幹(gan)貨(huo)!民(min)生(sheng)證券攻擊(ji)面管(guan)理實(shi)踐(jian)分(fen)享 築(zhu)牢(lao)網絡安全(quan)防(fang)線,護航(hang)金融投(tou)資服務(wu)
- 全(quan)面(mian)資產發現與(yu)清點:利(li)用自動化工具與(yu)人工梳理相(xiang)結合,持續發現並(bing)盤(pan)點網絡資產(包(bao)括IP、域名(ming)、端(duan)口、服(fu)務(wu))、應用資產(Web應用、API接(jie)口(kou)、移(yi)動(dong)應用)、雲(yun)上資產以(yi)及(ji)第三(san)方組(zu)件(jian)。建立動態資產清單,確保“看(kan)見(jian)”是管(guan)理的(de)第壹(yi)步(bu)。
- 持續漏(lou)洞(dong)評估(gu)與(yu)風(feng)險量化(hua):對(dui)已(yi)發現的資產進行(xing)常態化漏(lou)洞(dong)掃(sao)描(miao)與(yu)滲透(tou)測試,不(bu)僅(jin)關(guan)註(zhu)通(tong)用漏(lou)洞(dong),更(geng)結合金融業務(wu)場(chang)景(jing),重點排(pai)查(zha)業務(wu)邏(luo)輯漏(lou)洞(dong)、API安(an)全(quan)風(feng)險及(ji)配置缺(que)陷(xian)。引(yin)入風(feng)險量化(hua)模型(xing),從(cong)漏(lou)洞(dong)可利(li)用性(xing)、資產重要性(xing)、潛(qian)在業務(wu)影(ying)響(xiang)等(deng)多個維度(du)進行(xing)綜合評分,實現風(feng)險優(you)先(xian)級排(pai)序,指(zhi)導(dao)修(xiu)復(fu)資源的(de)有效投(tou)放。
- 暴露(lu)面收(shou)縮(suo)與(yu)最小(xiao)權限:嚴(yan)格(ge)執(zhi)行(xing)網絡分區隔(ge)離,對(dui)非必(bi)要對(dui)外開放的服(fu)務(wu)進行(xing)收(shou)斂(lian)。對(dui)內部系(xi)統推(tui)行(xing)零(ling)信任(ren)架構(gou)的初步實踐(jian),強化(hua)身份(fen)認證與(yu)動態訪(fang)問控制。對(dui)所有(you)系(xi)統和(he)服(fu)務(wu)遵(zun)循最小(xiao)權限原則(ze),減(jian)少橫(heng)向(xiang)移(yi)動(dong)風(feng)險。
- 供應鏈(lian)與(yu)第三(san)方風(feng)險管(guan)理:高(gao)度(du)重視軟(ruan)件(jian)供應鏈(lian)安(an)全(quan),對(dui)采(cai)購(gou)的軟(ruan)件(jian)、組件(jian)及第三(san)方服(fu)務(wu)提(ti)供商進行(xing)安全評估(gu)與(yu)準(zhun)入審核。持續監控其安全狀況(kuang),並(bing)將第三(san)方風(feng)險納(na)入整(zheng)體攻擊(ji)面進行(xing)統壹(yi)監(jian)控和(he)管(guan)理。
- 安(an)全(quan)開發全(quan)生命周期(qi)(DevSecOps)集(ji)成(cheng):將(jiang)安全要求(qiu)嵌(qian)入到應用系(xi)統的規(gui)劃、設計、開發、測試、部署、運營(ying)全流(liu)程(cheng)。在開發階(jie)段(duan)進行(xing)代(dai)碼安全審計,在測試環境進行(xing)安全測試,上線前進行(xing)安全檢查(zha),從(cong)源頭(tou)減(jian)少漏(lou)洞(dong)引(yin)入。
- 員工意識(shi)與(yu)內部攻擊(ji)面管(guan)理:定(ding)期(qi)開展全員(yuan)網絡安全(quan)培訓(xun)與(yu)釣(diao)魚(yu)演(yan)練(lian),提(ti)升(sheng)員(yuan)工對(dui)社(she)交(jiao)工程(cheng)等攻擊(ji)的辨識與(yu)防範能力。加強內部終(zhong)端(duan)安全(quan)管控和(he)數(shu)據(ju)防泄漏(lou)措施,管理好(hao)“人(ren)的(de)因素(su)”這壹(yi)重要攻擊(ji)面。
- 主(zhu)動威(wei)脅(xie)監控與(yu)應急(ji)響(xiang)應:利(li)用威(wei)脅(xie)情(qing)報(bao)平(ping)臺(tai),監控針對(dui)金融(rong)行(xing)業及公(gong)司(si)自身的(de)攻擊(ji)動態。建立7x24小(xiao)時安全運營(ying)中心(SOC),對(dui)攻擊(ji)行(xing)為進行(xing)實時監測、分(fen)析(xi)與(yu)響應。定(ding)期(qi)進行(xing)紅藍對(dui)抗演(yan)習(xi),檢驗(yan)防(fang)禦體系(xi)的有效性(xing)。
- 對(dui)於交(jiao)易(yi)系(xi)統:通(tong)過(guo)減(jian)少不(bu)必要的暴(bao)露(lu)面和(he)及(ji)時修(xiu)補(bu)高(gao)危漏(lou)洞(dong),極(ji)大地(di)降低(di)了交(jiao)易(yi)系(xi)統遭受(shou)DDoS攻擊(ji)、入侵篡(cuan)改或(huo)服(fu)務(wu)中斷(duan)的(de)風(feng)險,保(bao)障了客戶(hu)交(jiao)易(yi)指(zhi)令(ling)的(de)暢(chang)通(tong)與(yu)準(zhun)確。
- 對(dui)於投(tou)資管理平(ping)臺(tai):保護了核心投(tou)研模型(xing)、客戶(hu)持倉數(shu)據(ju)、交(jiao)易(yi)策(ce)略等敏感(gan)信息(xi)不(bu)被竊(qie)取(qu)或篡(cuan)改,維護了投(tou)資管理的(de)專(zhuan)業性(xing)與(yu)客戶(hu)信(xin)任。
- 對(dui)於咨詢(xun)服務(wu)平(ping)臺(tai):確保了客戶(hu)通(tong)過(guo)線上渠(qu)道獲(huo)得(de)的投(tou)資建議、市場(chang)分(fen)析(xi)等咨詢(xun)信息(xi)的安(an)全(quan)性(xing)與(yu)可靠性(xing),防範了信(xin)息(xi)被惡(e)意攔截或篡(cuan)改可能引(yin)發的(de)誤(wu)導(dao)風(feng)險。
