肖钱现实向同人文|2018年全年白姐透特

网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠?#20445;琎Q:55984512
?

等保2.0时代 | 共筑金融行业移动互联安全

2019-11-08 18:09 推荐: 浏览: 15 views 字号:

摘要: 今年5月13日,国家市场监督管理总局、国家标准化管理委?#34987;?#21484;开新闻发布会,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布,并将于今年12月1日正式实施。实行等保是《网络安全法》明文规定的企业义务,如果拒不履行将会受到相应的行政处罚,甚至...

今年5月13日,国家市场监督管理总局、国家标准化管理委?#34987;?#21484;开新闻发布会,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布,并将于今年12月1日正式实施。实行等保是《网络安全法》明文规定的企业义务,如果拒不履行将会受到相应的行政处罚,甚至有可能因“拒不履行信息网络安全管理义务罪”遭受刑事处罚。

在即将到来的等保2.0时代,如何解读相关标准文件?又有哪些重点内容需要注意?11月5日,在2019第四届中国移动金融安全大会上,能信安信息技术总监马小龙以《等保2.0时代金融行业移动互联安全合规解决方案》为题分享了能信安对等保2.0的合规探索。

等保2.0安全要求全面升级

马小龙指出,等保2.0不是单一标准,而是一系列标准,每份标准的作用并不相同。在等保2.0系列标准中,《网络安全等级保护基本要求》、《网络安全等级保护设计技术要求》和《网络安全等级保护测评要求》三个标准是核心标准,分别解释了等保2.0要做什么、怎么做和做的怎么样三个问题。对于企业而言,《网络安全等级保护基本要求》和《网络安全等级保护设计技术要求》两个标准需要仔细研读。

_MG_2587.jpg

在等保2.0中,原有的安全要求全面升级,云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。马小龙解释说,在全新的安全要求下,等保2.0合规,需要首先满足安全通用要求,再根据保护对象的形态、功能满足安全扩展要求。两者相加构成完整的安全要求,从而满足等保2.0的合规要求。

移动互联安全风险来自三个方面

马小龙认为,通过对等保2.0标准的分析,移动互联安全的保护对象包括移动应用、无线网络和移动终端。在当前的网络安全环境下,这三个保护对象都面临着非常大的安全风险。

在应用安全方面,应用程序漏?#21019;?#37327;催生、违法违规App数量不断增加、恶意代码规模稳定增长。尤其是针对个人信息保护的违法违规行为已经成为一?#21046;?#36941;现象,成为网信、公安等监管部门重点整治的对象。

_MG_2580.jpg

在终端安全方面,由于安卓系统自身的开源性和碎片化,造成安全漏洞较多的情况。因此相比较iOS系统,安卓系统成为了目前黑灰产的主要攻击目标。系统漏洞、恶意代码和高风险应用是终端面临的主要安全风险。

马小龙表示,企业无线网络带来的安全风险最高,也最容易被攻击。由于无线网络不通过?#34892;?#20171;质传播很容?#36164;?#21040;钓鱼和中间人等攻击,另外非授权热点外联?#22836;?#25480;权设备接入非常难以防范,很容?#33258;?#26377;意或无意中发生数据泄露?#24405;?/p>

_MG_2593.jpg

针对上述风险,马小龙给出了以等保2.0移动互联安全合规要求为依据,安全检测为驱动、安全加固为保障、安全防护为核心的移动互联安全合规解决方案设计思路。检测发现问题,加固解决问题,防护长期保障。

移动支付安全合规该怎么做?

目前App安全是社会的热点、监管的重点、企业的痛点,在App当中移动支付类App的安全则是直接关系用户个人金融信息安全和账户财产安全。马小龙认为,在移动支付场景下终端安全和无线网络安全都处于不可控状态下,安全需求只能通过App安全防护解决。

payment_1.jpg

支付应用安全包括客户端安全、用户身份安全、通信安全、数据安全等多方面内容。检测方案包括漏洞检测、行为检测和内容检测。马小龙特意强调了SDK检测,他表示,从实?#23454;腁PP检测工作情况分析,引入第三方SDK给APP带来的风险非常大。

在安全加固方面,马小龙认为应该分为两个层面,第一个层面为针?#26376;?#27934;逆向工程的攻击对抗,防止恶意篡改、调试,保证App安全;另一层面为加强用户身份认证的技术控制,通过人工智能与生物识别技术的配合,提高用户身份识别的风险控制能力。

在分享最后,马小龙对移动办公场景下的安全解决方案和合规重点做出了介绍。相比较移动支付,移动办公的应用安全、终端安全、无线网络安全都处于可控状态,因此解决方案需要同时覆盖这三个方面,针对不同情形进行特别防护。

联系站长租广告位!
?
中国首席信息安全官


关闭


关闭
肖钱现实向同人文 09香港六合彩开奖记录 彩票精彩计划专家 网上赚钱有哪些方法 体育彩票双色球 平特肖开特马算吗 手机捕鱼棋牌 北京赛车pk开奖记录 吉林时时彩综合走势图 白山在线手机棋牌游戏 足球手抄报内容资料