国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　跟著金融機(jī)構(gòu)對(duì)計(jì)較機(jī)收集和軟件系統(tǒng)的依托程度逐步增加，和電子金融產(chǎn)品的不竭推出，新信息手藝在給營(yíng)業(yè)帶來(lái)巨大年夜便利、高效的同時(shí)，也帶來(lái)了暗藏的巨大年夜風(fēng)險(xiǎn)。因?yàn)槲覈?guó)的商業(yè)化利用系統(tǒng)測(cè)評(píng)系統(tǒng)起步晚，成長(zhǎng)也還沒(méi)有成熟，加上金融利用系統(tǒng)有其本身的特別性，所以今朝在金融行業(yè)還沒(méi)有一套系統(tǒng)化的測(cè)試編制，這使得金融行業(yè)利用系統(tǒng)的安然風(fēng)險(xiǎn)防備工作略顯不足，是以在金融機(jī)構(gòu)內(nèi)部成立本身的利用系統(tǒng)安然測(cè)試系統(tǒng)，可有效晉升安然防備能力，削減因利用系統(tǒng)安然標(biāo)題問(wèn)題帶來(lái)的隱患。

　　利用系統(tǒng)安然標(biāo)題問(wèn)題亟待解決

　　2011年某銀行5萬(wàn)客戶遭受網(wǎng)銀進(jìn)級(jí)騙局，造成客戶資金巨大年夜損掉，給銀行名譽(yù)帶來(lái)重大年夜影響;同年花旗銀行證實(shí)遭到黑客攻擊，約有1%的諾言卡用戶遭到了影響，客戶的姓名、賬號(hào)、聯(lián)系編制等信息均被黑客獲得。

　　不管是哪類事務(wù)，利用系統(tǒng)安然標(biāo)題問(wèn)題首要回納為以下六類：

　　1、身份棍騙。利用系統(tǒng)的身份認(rèn)證辦法不足，導(dǎo)致報(bào)復(fù)打擊者可能冒用他人的系統(tǒng)身份把持賬號(hào)，從而操縱他人的權(quán)限獲得相干信息資料，并進(jìn)行資金盜取等把持。

　　2、竄改數(shù)據(jù)。利用系統(tǒng)的數(shù)據(jù)呵護(hù)辦法不足，導(dǎo)致金額、暗碼、聯(lián)系編制等數(shù)據(jù)信息可能被報(bào)復(fù)打擊者歹意竄改，從而造成賬戶資金被盜等后果。

　　3、信息泄漏。利用系統(tǒng)開(kāi)辟設(shè)計(jì)或建設(shè)不當(dāng)，貧乏敏感信息呵護(hù)功能，導(dǎo)致可能產(chǎn)生源代碼泄漏、目次遍歷等后果，報(bào)復(fù)打擊者操縱泄漏的信息可以更等閑的實(shí)施進(jìn)侵。

　　4、權(quán)限晉升。利用系統(tǒng)的權(quán)限治理功能不足，導(dǎo)致報(bào)復(fù)打擊者可能繞過(guò)權(quán)限限制，進(jìn)行未經(jīng)授權(quán)或超出授權(quán)的把持，使得報(bào)復(fù)打擊者獲得系統(tǒng)權(quán)限或拜候系統(tǒng)中的首要數(shù)據(jù)。

　　5、拒盡辦事。利用系統(tǒng)安然呵護(hù)能力不足，貧乏延續(xù)不變運(yùn)行的能力，可能遭到利用資本耗損等DDoS報(bào)復(fù)打擊，或因?yàn)槿蝿?wù)調(diào)劑死鎖等啟事導(dǎo)致系統(tǒng)宕機(jī)或運(yùn)行遲緩，沒(méi)法繼續(xù)對(duì)外供給辦事。

　　6、行動(dòng)否定。利用系統(tǒng)對(duì)用戶把持行動(dòng)貧乏可托的監(jiān)查機(jī)制，導(dǎo)致沒(méi)法供給有效證據(jù)，以證實(shí)該用戶是不是進(jìn)行了某一把持。

　　行業(yè)監(jiān)管機(jī)構(gòu)曾對(duì)利用系統(tǒng)安然提出了具體要求，如銀監(jiān)會(huì)2009年下發(fā)的19號(hào)文《信息科技風(fēng)險(xiǎn)治理》、銀監(jiān)會(huì)2011年62號(hào)文及人行121號(hào)文《網(wǎng)上銀行利用的安然通用規(guī)范》等。別的我國(guó)浩繁金融機(jī)構(gòu)，如國(guó)有四大年夜行、股分制銀行及部門首要保險(xiǎn)公司均在多年前就開(kāi)端了對(duì)利用系統(tǒng)的安然測(cè)試工作，從最初的對(duì)互聯(lián)網(wǎng)利用系統(tǒng)進(jìn)行滲入測(cè)試到對(duì)安然控件的黑盒測(cè)試再到后來(lái)對(duì)利用系統(tǒng)代碼的白盒測(cè)試等，這些都充分辯了然利用系統(tǒng)的安然標(biāo)題問(wèn)題標(biāo)嚴(yán)竣性和其首要性。

　　解決之道

　　經(jīng)由過(guò)程細(xì)心闡發(fā)浩繁金融機(jī)構(gòu)所做的大年夜量的利用系統(tǒng)測(cè)試工作，啟明星斗發(fā)當(dāng)今朝整體仍存在以下不足：

　　1、需求方面安然考慮不足。啟明星斗在為大都金融機(jī)構(gòu)供給咨詢辦事過(guò)程中發(fā)現(xiàn)，需求方面的安然考慮不充分，如在需求階段對(duì)安然需求描述不敷完全、對(duì)安然風(fēng)險(xiǎn)場(chǎng)景設(shè)計(jì)較為簡(jiǎn)單，對(duì)安然鴻溝的統(tǒng)一打算不足，需求階段對(duì)利用系統(tǒng)敏感信息防泄漏考慮不足。

　　2、開(kāi)辟環(huán)節(jié)安然節(jié)制不足。啟明星斗在為各金融機(jī)構(gòu)進(jìn)行白盒測(cè)試、滲入測(cè)試及安然測(cè)試的過(guò)程中發(fā)現(xiàn)利用系統(tǒng)安然存在SQL注進(jìn)、跨站腳本信息泄漏、越權(quán)把持等安然標(biāo)題問(wèn)題，包含浩繁大年夜型銀行，同時(shí)過(guò)程中也發(fā)現(xiàn)不按編碼規(guī)范履行和代碼安然查抄不足的標(biāo)題問(wèn)題，這些都是開(kāi)辟環(huán)節(jié)節(jié)制不足的表現(xiàn)。

　　3、利用系統(tǒng)安然測(cè)試工作范圍局限。利用系統(tǒng)安然測(cè)試今朝在大年夜多機(jī)構(gòu)僅僅是在安然部門進(jìn)行，全部測(cè)試編制與理念未貫穿于系統(tǒng)開(kāi)辟全過(guò)程，需乞降設(shè)計(jì)過(guò)程仍未觸及較系統(tǒng)化的安然辦法和節(jié)制點(diǎn)。

　　4、外包開(kāi)辟和外購(gòu)模塊的風(fēng)險(xiǎn)節(jié)制不足。大都機(jī)構(gòu)外購(gòu)的產(chǎn)品貧乏可托賴的第三方評(píng)估機(jī)構(gòu)，別的第三方開(kāi)辟商不成能遵守金融機(jī)構(gòu)本身的開(kāi)辟規(guī)范，是以沒(méi)法節(jié)制相干風(fēng)險(xiǎn)。

　　針對(duì)上述標(biāo)題問(wèn)題，當(dāng)然有些金融機(jī)構(gòu)采納了一些響應(yīng)的辦法應(yīng)對(duì)，如對(duì)網(wǎng)頁(yè)敏感信息加固，對(duì)新版本進(jìn)行安然測(cè)試，系統(tǒng)等保測(cè)評(píng)或外購(gòu)模塊安然測(cè)試等。但這些辦法都僅是“頭痛醫(yī)頭、腳痛醫(yī)腳”，未解決底子標(biāo)題問(wèn)題。啟明星斗闡發(fā)存在上述標(biāo)題問(wèn)題標(biāo)本源以下：

　　1、效力和安然性矛盾。所有機(jī)構(gòu)在開(kāi)辟時(shí)優(yōu)先存眷功能，只能犧牲必然的安然。

　　2、制約機(jī)制不足。大年夜多機(jī)構(gòu)中，相干的安然規(guī)范由開(kāi)辟人員自行擬定、發(fā)布、履行、查抄，安然測(cè)試未成為利用系統(tǒng)可否上線的關(guān)頭環(huán)節(jié)。

　　3、 分離治理的標(biāo)題問(wèn)題。機(jī)構(gòu)各部門分離治理利用系統(tǒng)及其各自的安然，未構(gòu)成統(tǒng)一治理。

　　是以，要底子解決上述呈現(xiàn)的標(biāo)題問(wèn)題，必需將今朝分離的測(cè)試工作整合成一個(gè)整體，并成立起一個(gè)內(nèi)部利用系統(tǒng)安然測(cè)試系統(tǒng)，如許就可以將安然測(cè)評(píng)整合于全部開(kāi)辟和把持流程中，過(guò)程完全掌控，也能夠或許更好的把控開(kāi)辟質(zhì)量;同時(shí)也能夠或許使更多的部門融進(jìn)到測(cè)評(píng)工作來(lái)，各營(yíng)業(yè)部門對(duì)本身營(yíng)業(yè)系統(tǒng)加倍熟諳，能從不合角度為安然測(cè)評(píng)供給更周全的撐持。

　　借鑒國(guó)表里優(yōu)良經(jīng)驗(yàn)

　　今朝國(guó)內(nèi)及西方大年夜大都發(fā)財(cái)國(guó)度在國(guó)度層面的第三方測(cè)評(píng)機(jī)構(gòu)方面都成立了比較完美的利用系統(tǒng)安然測(cè)試系統(tǒng)，我國(guó)金融機(jī)構(gòu)在內(nèi)部扶植本身的利用系統(tǒng)安然測(cè)試可以借鑒其組織架構(gòu)的做法和參考的尺度。

　　不管國(guó)際仍是國(guó)內(nèi)，今朝在利用系統(tǒng)測(cè)試方面主如果以國(guó)際通用評(píng)估準(zhǔn)則(CC)為主，此尺度是在多個(gè)國(guó)度的測(cè)評(píng)尺度根本之上，由六國(guó)七方統(tǒng)一提出的全球35個(gè)國(guó)度互認(rèn)的針對(duì)產(chǎn)品及利用系統(tǒng)的信息安然測(cè)評(píng)尺度，在1999年已成了國(guó)際尺度ISO15408，且美國(guó)歐洲良多當(dāng)局機(jī)構(gòu)采購(gòu)里面都要求必需經(jīng)由過(guò)程CC，別的良多電信、金融的招標(biāo)要求里面也說(shuō)起了CC認(rèn)證的要求。此尺度今朝已經(jīng)是針對(duì)利用系統(tǒng)及產(chǎn)品安然測(cè)試的利用最廣的尺度，2011年國(guó)內(nèi)已劃一采取為GB/T18336，當(dāng)然除此尺度外，在利用系統(tǒng)中觸及暗碼模塊和暗碼算法還會(huì)參考FIPS 140尺度，或觸及具體某一類利用系統(tǒng)時(shí)也會(huì)參考相干的系統(tǒng)尺度，如國(guó)內(nèi)針對(duì)網(wǎng)銀系統(tǒng)安然有人行下發(fā)的網(wǎng)上銀行系統(tǒng)信息安然通用規(guī)范(121號(hào)文)、銀監(jiān)會(huì)下發(fā)的《網(wǎng)上銀行安然風(fēng)險(xiǎn)治理指引》和國(guó)度測(cè)評(píng)中間發(fā)布的《GBT 20983-2007 信息安然手藝 網(wǎng)上銀行系統(tǒng)信息安然保障評(píng)估準(zhǔn)則》。

　　除參考的優(yōu)良尺度外，從國(guó)表里當(dāng)局測(cè)評(píng)機(jī)構(gòu)中還可以借鑒其組織架構(gòu)模式，不管是國(guó)外仍是國(guó)內(nèi)，測(cè)評(píng)系統(tǒng)都應(yīng)實(shí)現(xiàn)三權(quán)分立，國(guó)內(nèi)的測(cè)評(píng)系統(tǒng)以下圖所示。

　　圖1 中國(guó)信息安然測(cè)評(píng)認(rèn)證系統(tǒng)組織層次

　　從上圖中可以看出，認(rèn)證機(jī)構(gòu)與測(cè)評(píng)嘗試室(即測(cè)評(píng)機(jī)構(gòu))均需獲CNAS的認(rèn)證承認(rèn)，同時(shí)測(cè)評(píng)嘗試室還需要獲得認(rèn)證中間的授權(quán)，測(cè)評(píng)嘗試室完成對(duì)某一系統(tǒng)的測(cè)評(píng)后，認(rèn)證中間負(fù)責(zé)頒布相干認(rèn)證證書(shū)。

　　成立機(jī)構(gòu)內(nèi)部的利用系統(tǒng)測(cè)試系統(tǒng)之道

　　借鑒系統(tǒng)化的尺度和組織架構(gòu)，金融機(jī)構(gòu)便可成立利用系統(tǒng)測(cè)試系統(tǒng)，首要從以下幾方面扶植：

　　1、 成立內(nèi)部測(cè)試組織系統(tǒng)

　　任何一項(xiàng)工作沒(méi)有杰出的組織保障就不克不及順利展開(kāi)，因?yàn)槌闪⒔M織系統(tǒng)是第一要事。組織系統(tǒng)要將相干部門及相干崗?fù)と藛T都納進(jìn)，如許才能將相干工作都深進(jìn)到各自的崗?fù)ぶ?，但大年夜多機(jī)構(gòu)因?yàn)樾姓卫淼膯⑹拢辈扇∵M(jìn)城市比較堅(jiān)苦，是以凡是環(huán)境下虛實(shí)連絡(luò)更等閑落實(shí)，以下圖所示。當(dāng)然有了組織必需配備以下圖所示的相干手藝工程師。

　　圖2 測(cè)試組織系統(tǒng)架構(gòu)

　　2、 明白內(nèi)部利用系統(tǒng)安然測(cè)試的流程內(nèi)容

　　有了明白的組織人員后，就要擬定具體的利用系統(tǒng)安然測(cè)試的流程內(nèi)容，凡是一個(gè)較完美的基于CC的利用系統(tǒng)測(cè)試系統(tǒng)流程首要分四個(gè)大年夜部門，即：預(yù)備測(cè)試階段、猜想試階段、履行測(cè)試階段、結(jié)束測(cè)評(píng)階段。具體流程及內(nèi)容圖以下所示。

　　圖3 利用系統(tǒng)測(cè)評(píng)系統(tǒng)整體流程圖

　　3、 扶植過(guò)程中要寄望的標(biāo)題問(wèn)題

　　本系統(tǒng)扶植不但有很高的手藝門檻，并且還需有很強(qiáng)的治理辦法，是以過(guò)程中要寄望以下標(biāo)題問(wèn)題：

　　1) 必需帶領(lǐng)正視。一個(gè)完美的系統(tǒng)扶植不但觸及財(cái)力并且觸及各部門的人力，需要帶領(lǐng)將利用安然工作晉升高度，要有鞭策貫徹該系統(tǒng)的決心，過(guò)程中持久存眷，并包管資本，包含人力、物力、財(cái)力。

　　2) 要有統(tǒng)一的組織系統(tǒng)并明白責(zé)任分工。內(nèi)部利用系統(tǒng)測(cè)評(píng)系統(tǒng)成立工作的順利展開(kāi)，離不開(kāi)各部門的明白責(zé)任分工，例如營(yíng)業(yè)部門負(fù)責(zé)介入編寫ST，提出安然策略等。

　　3) 需要響應(yīng)的手藝環(huán)境。一個(gè)完全系統(tǒng)必需有響應(yīng)的手藝撐持，如白盒測(cè)試東西、掃描東西等整套撐持該系統(tǒng)的手藝和響應(yīng)產(chǎn)品。

　　4) 成立內(nèi)部利用系統(tǒng)測(cè)評(píng)系統(tǒng)應(yīng)循序漸近，按打算分步實(shí)施。成立內(nèi)部利用測(cè)評(píng)系統(tǒng)將會(huì)大年夜大年夜改變公司內(nèi)部的治理及工作模式，所以不克不及急功近利，不然可能會(huì)呈現(xiàn)良多標(biāo)題問(wèn)題，乃至導(dǎo)致前功盡棄，別的各金融機(jī)構(gòu)可根據(jù)本身公司的范圍、復(fù)雜度等具體設(shè)計(jì)實(shí)施打算。

　　長(zhǎng)遠(yuǎn)意義

　　當(dāng)然成立該系統(tǒng)前期投進(jìn)較大年夜，也需要足夠的人員儲(chǔ)蓄，但合適金融行業(yè)安然自立掌控的理念。鑒于今朝各大年夜金融機(jī)構(gòu)均未成立此測(cè)試系統(tǒng)，所以一旦有機(jī)構(gòu)成立，將會(huì)有以下長(zhǎng)遠(yuǎn)意義：

　　1、使安然工作從開(kāi)發(fā)泉源抓起，實(shí)現(xiàn)良性輪回，進(jìn)步利用系統(tǒng)安然性在企業(yè)內(nèi)部的可見(jiàn)度。

　　2、可以或許晉升全部機(jī)構(gòu)整體利用系統(tǒng)安然程度，在行業(yè)內(nèi)建立標(biāo)桿形象,為商業(yè)化運(yùn)作供給前提。

　　3、今朝各大年夜機(jī)構(gòu)都在擴(kuò)大海外營(yíng)業(yè)，此測(cè)試系統(tǒng)的成立可為實(shí)施全球營(yíng)業(yè)計(jì)謀奠定根本。