金融科技安全架构演进

2020-03-01 55浏览

  • 1.金融科技安全架构演进 京东金融 刘明浩
  • 2.个人简介 京东金融-安全负责人 刘明浩 十年信息安全从业经验,目前负责京东金融整 体安全工作,主要包括自研安全产品开发与架 构设计、业务安全、安全合规及安全运维等工 作 2
  • 3.目录 一、金融科技安全挑战与需求 二、金融科技整体安全架构 三、金融科技安全产品及服务 四、金融科技安全未来方向思考 3
  • 4.1
  • 5.金融科技所面临的安全挑战 5
  • 6.金融科技所面临的安全挑战(续) 互联网企业 安全挑战 • SQL注入 • XSS跨站脚本 • 文件上传 金融科技 安全挑战 • 撞库扫号 • 活动作弊 • 垃圾账号注册 • DDoS攻击 • CC攻击 • 业务上云 • 快速迭代 • 非授权操作 • 敏感数据保护 • 平行权限 • 安全合规 6
  • 7.金融科技安全需求 1. 业务安全 解决羊毛党活动被刷、撞库、垃圾账号注册等业务安全 问题 5. 安全合规 符合等级保护、央行非金检测、PCI-DSS、 ISO27001等安全监管合规要求 4. 数据安全 解决数据泄露风险 2. 安全漏洞与安全运维 金融科技 安全需求 解决DDoS攻击、Web及系统安全漏洞、APT攻 击、安全基线等安全问题 3. 移动安全 解决APP漏洞检测、APP加固等安全需求 7
  • 8.2
  • 9.金融科技安全架构 9
  • 10.金融科技安全架构 金融科技安全架构 应用安全 WAF 业务安全 数据风控 活动防刷 SQL注入 注册保护 文件包含 登录保护 XSS 异常用户行为 文件上传 网络安全 DDoS攻击 检测 DDoS攻击 流量清洗 安全合规 数据安全 非金融机构支付 业务设施技术认证 AKS加解密平台 App Hunter 自 动化安全分析 SQL防火墙 App 加固 PCI-DSS 信息安全 等级保护 数据安全生命周期 ISO27001 ADSS 银联卡收单机构 账户信息安全管理标准 移动安全 HTTPDNS 安全运维 SSH安全 登录 自动化漏扫 平台 HIDS 10
  • 11.3
  • 12.业务安全 – 业务安全数据风控 业务安全数据风控是基于大数据的计算能力,通过风险决策引擎,解决业务账号、活动、交 易等关键业务环节存在的欺诈威胁 12
  • 13.业务安全数据风控 – 功能模块 主要功能模块包括:流量收集、流量分析、数据存储与快速响应四部分组成 流量收集 流量分析 数据存储 快速响应 § 全流量镜像 § 业务安全风控模型 § 数据存储 § 事件预警 § 流量解析 § 动态规则匹配 § 实时查询 § 系统接口 § 流量重组 § 事件识别 § 威胁情报 § 拦截阻断 13
  • 14.业务安全数据风控 – 风控决策规则引擎 1. 根据业务场景进行分析可能带来的业务安 全风险 2. 根据风险容忍度设置监控预警阀值 3. 根据风险指标设计数据收集方法及干预\阻 断措施 1 2 3 14
  • 15.业务安全数据风控 – 风险行为监控 “暴力破解”行为监控 通过对线上业务登录成功及失败行为的实时监控 “短信炸弹”行为监控 通过对线上所有短信验证接口进行实时监控 “撞库扫号”行为监控 通过对线上业务登录成功及失败行为的实时监控 “垃圾帐号注册”行为监控 通过对线上所有业务的注册行为(频繁注册)进行实时监控 15
  • 16.业务安全数据风控 – 应用场景 修改信息 用户注册 用户登录 身份认证 登录安全决策 账户操作 发起转账 加验 身份认 证 执行操作 身份认证 登录安全 决策 注册场景 登录场景 登录、交易及转账场景 反欺诈API服务-注册 身份认证产品 反欺诈API服务-登陆 • 机器注册风险 • 指纹、免密验证 • 用户安全风险等级 • 设备聚集风险等级 账户风险识别产品 • 用户常用登录地 • …… • 用户身份及登录安全识别 • 用户常用设备 • 短信加验等风险处置手段 • 用户安全设备 • 设备聚集性风险等级 加验 16
  • 17.应用安全 - WEB应用防火墙 Web应用防火墙目前根据对HTTP访问请求数据进行特征匹配,从而检测识别出相应的攻击 类型 17
  • 18.WEB应用防火墙 – 功能介绍 Web应用防火墙是向用户提供的网站安全防护产品,通过防御常见OWASP攻击、提供热补丁漏洞 修复,网站业务的定制规则防护,从而成功保障网站Web应用的安全性与可用性 主要功能 Web常见攻击防护 缓解CC攻击 精准访问控制 功能描述 提供SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见 Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护 对单一源IP的访问频率进行控制、重定向跳转验证、人机识别 提供配置控制台界面,支持IP、URL、Referer、User-Agent等HTTP常见字段的条件组合,精准访 问控制策略,可支持盗链防护、网站后台保护等防护场景 18
  • 19.网络安全 – DDoS攻击检测&清洗回注 1 云端清洗集群, 单机40G流量清洗能力。可集群 2 有效检测并清洗SYN flood, ACK flood, 扩展 UDP flood, ICMP flood,CC攻击等各类常见 DDoS攻击 3 部署灵活,流量智能牵引,攻击响应精准迅速 4 支持TCP、UDP、HTTP、HTTPS等各种协议, 适用于金融、游戏、电商、直播网站等各种业务 场景 19
  • 20.DDoS攻击检测&清洗回注 – 实现功能 JDGUARD 畸形报文过滤 自定义黑白名单 特征分析判定 虚假源认证 智能限速 对报文的合法 性进行检验, 对畸形报文进 行拦截,防止 其穿透到后端 系统 可接入安全 模块获得黑 名单,同时 将信任客户, 合作伙伴等 加入白名单 对流量进行 特征分析, 动态维护可 信任访问源 集合 对流量进行源 认证,有效过 滤sync flood, ack flood, icmp flood等 对单个IP进行 智能限速, 有效防止突 发异常流量 20
  • 21.安全合规 - 安全标准与合规遵从 非金融机构 支付业务设施技术认证 PCI DSS 支付卡行业数据安全标准 信息安全等级保护 ISO 27001认证 ADSS 银联卡收单机构 账户信息安全管理标准 21
  • 22.数据安全 – 数据安全生命周期 数据安全管理从数据全生命周期角度,从数据产生、数据存储、数据使用、数据展现、数据 传输,到数据销毁,最终建立闭环数据安全管理机制 制定数据分类与数据分级保护 标准在立项及开发阶段对敏感 数据进行识别及加密,使用 Mars 进行SQL执行安全审核 机密、保密信息数据在存储 落地时应统一使用AKS安全 加密系统进行公司级别统一 加密 使用SQL防火墙对执行危险 SQL进行审计,对业务流量 进行安全检测;根据数据敏 感程度进行数据提取审批 数据产生 数据存储 数据使用 数据销毁 数据传输 数据展现 22
  • 23.移动安全 - App Hunter自动化安全分析 App Hunter 自动化安全分析平台提供全方位的移动App自动漏洞检测服务,能在App研发测 试过程中发现App客户端存在的安全问题,并帮助App研发同学快速了解安全漏洞,定位问题及 修复漏洞 23
  • 24.移动安全 – 移动安全加固 C级代码混淆 C库LLVM加固 防内存DUMP 防HOOK 防PTRTRACE APP反篡改 模拟器检测 ROOT提权 攻击框架检测 防DNS劫持 24
  • 25.移动安全 - 域名解析HTTPDNS HTTPDNS使用HTTP协议承载DNS服务,代替传统的基于UDP协议的DNS。绕开运营商 LocalDNS,有效防止域名劫持,提高域名解析效率。智能解析,精准调度。域名修改实时 生效,支持HTTP/HTTPS。 HTTPDNS-SERVER 解析请求,生成HTTPDNS响应 HTTPDNS-WEB 下发指令,呈现服务信息 HTTPDNS-DB 存储所有相关数据 25
  • 26.安全运维 - HIDS服务器安全 HIDS服务器安全由轻量级Agent和云端组成,集整体安全平台威胁情报于一体,通过 Agent和云端大数据的联动,实现对文件变更监控、内网端口扫描、登录行为监控、 Tomcat命令执行、webshell创建进程监控、命令执行监控等功能 26
  • 27.HIDS服务器安全 – 功能介绍 服务器安全是数据的最后一道防线,要建立纵深防御体系,服务器安全是必不可少的一环, 服务器安全通过安装在服务器上的Agent和云端防护中心的联动,帮助用户守住最后一道防 线 主要功能 功能描述 文件变更监控 通过Linux内核接口,实现对文件系统的增删查进行监控,对重要文件的修改进行记录 命令执行记录 通过Linux内核接口,记录所有系统命令执行,筛选提供服务的进程(Tomcat 等)调用的系统命令 端口扫描识别 通过统计一分钟内同一源ip对主机连接端口数,超过上限50判断为端口扫描 服务爆破识别 服务爆破目前干扰信息比较多,部分应用连接次数较多导致和爆破相似 27
  • 28.安全运维-生产/办公/测试网安全 自动化漏洞扫描平台实现全网7*24小时存活主机、高危端口、系统漏洞、web漏洞扫描。SSH安全登录系统, 通过公私钥提供免密登录功能,解决密码泄露问题,通过跳板机将线上批量操作集中管理并监控,解决集中 安全审计问题 自动化漏洞扫描平台 SSH安全登录系统 28
  • 29.4
  • 30.金融科技安全未来方向思考 30
  • 31.Thank you