搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      如何做到更有效的安全防護成為金融服務(wù)機構(gòu)的關(guān)注點

      西西 ? 作者:廠商供稿 ? 2018-08-29 11:47 ? 次閱讀

      作者:新思科技軟件質(zhì)量與安全部門管理顧問Olli Jarva

      近年來,得益于云計算、大數(shù)據(jù)、人工智能區(qū)塊鏈等技術(shù)的發(fā)展,金融服務(wù)也更加多樣、便利及智能。與此同時,由于巨額的利益驅(qū)使,金融服務(wù)行業(yè)成為了網(wǎng)絡(luò)攻擊的重點對象。如何做到更有效的安全防護成為業(yè)界的關(guān)注點。

      金融服務(wù)機構(gòu)經(jīng)常部署復雜的應(yīng)用程序,與采用不同語言的分布式地理信息系統(tǒng)連接。它們通過多種協(xié)議進行通信,其中一些使用的是多個平臺提供的免費開源軟件。

      這種復雜性使金融服務(wù)機構(gòu)的網(wǎng)絡(luò)面臨更多漏洞。更糟糕的是,市場壓力迫使軟件行業(yè)要更快交付產(chǎn)品。在急于完成一個軟件時,安全流程極有可能就被忽視了。

      金融行業(yè)是黑客的重點攻擊對象之一,從ATM攻擊、DDoS攻擊、勒索軟件到APT攻擊等,犯罪手段層出不窮。

      為了防患于未然,我們可以探討一下哪種防范方式更有效,能保護金融服務(wù)機構(gòu)、應(yīng)用程序及客戶資產(chǎn)。

      1.軟件安全架構(gòu)

      軟件完整性是衡量一款軟件是否卓越的關(guān)鍵。完整性是指軟件質(zhì)量與安全。在每款應(yīng)用開發(fā)之初,安全專家和軟件架構(gòu)師應(yīng)該緊密合作,以開發(fā)高度整合的、簡化的軟件安全架構(gòu)。風險分析應(yīng)該在軟件開發(fā)早期階段進行 —— 這通常被稱為“左移”。

      當所有安全決策都通過一個小型、集中式內(nèi)核運行時,它不太可能會省略某個安全決策(例如授權(quán))。開發(fā)團隊可以放心地去構(gòu)建一個安全的應(yīng)用程序,因為代碼在默認情況下從一開始就是安全的。

      2.威脅建模

      威脅建模流程可以支持識別漏洞和潛在攻擊路徑,降低風險。進行威脅建模是持續(xù)風險評估過程的一部分,可以幫助開發(fā)團隊保持高度的安全警惕性。不斷提醒攻擊的可能性,并從攻擊者的角度考慮應(yīng)用程序安全,有助于開發(fā)團隊從不同角度進行思考,并在開發(fā)過程中進行防御。

      3.自動安全測試

      過去,應(yīng)用程序安全測試通常在軟件開發(fā)過程結(jié)束時或接近結(jié)束時才進行。這就會導致如果有安全漏洞的話,開發(fā)人員要到后期才能發(fā)現(xiàn),補救成本往往要更高。

      早期發(fā)現(xiàn)漏洞不僅可以降低修復成本,還可以減少在后期階段修復漏洞的時間。這對于像金融等行業(yè)的快節(jié)奏開發(fā)環(huán)境尤其重要。除了自動連續(xù)測試之外,在整個軟件開發(fā)過程中采取安全措施,可以在軟件投產(chǎn)之前就解決安全問題,避免昂貴的補救成本。

      現(xiàn)在市面上有許多自動測試工具,每種工具都有優(yōu)缺點。動態(tài)應(yīng)用安全測試(DAST)工具(也稱為黑盒測試)可識別正在運行的應(yīng)用程序中的漏洞。 DAST可快速有效地查找到不同類型的應(yīng)用程序漏洞,包括身份驗證和授權(quán)問題。而且,即使是不熟悉編碼語言的人也能使用這類工具。

      靜態(tài)應(yīng)用安全測試(SAST)工具(也稱為白盒測試)可供有權(quán)訪問應(yīng)用程序的源代碼、字節(jié)代碼或二進制文件的人使用。它能識別應(yīng)用程序中的潛在漏洞,例如程序正在使用不受信任的數(shù)據(jù),并在沒有任何形式的驗證和/或編碼的情況下將其視為可信。黑盒測試用于正在運行的應(yīng)用程序,在這個過程中不易發(fā)現(xiàn)的漏洞可以被 SAST工具檢測出來。

      4.手動安全測試

      自動化工具有一定的局限性,這就是為什么需要補充手動安全測試的原因。例如,自動化工具可能無法檢測到邏輯和設(shè)計缺陷,這時候就需要手動代碼審查和滲透測試,用來識別和解決這些問題。

      5.專業(yè)人員與培訓計劃

      軟件是一個團隊協(xié)作開發(fā)的結(jié)果。開發(fā)過程中的所有參與者都應(yīng)在安全方面獲得充分的信息和培訓,從而在整個軟件開發(fā)生命周期(SDLC)中推動安全計劃進展。推行安全計劃不能只靠軟件開發(fā)人員,還需要了解常見漏洞和核心安全概念的質(zhì)量保證(QA)團隊和項目經(jīng)理。 QA團隊應(yīng)該能夠進行基本的安全測試工作。

      創(chuàng)造具有安全意識的環(huán)境和培養(yǎng)這樣的團隊意味著在SDLC早期就能發(fā)現(xiàn)安全問題,并且在其成為沉重負擔前解決掉。

      總結(jié)

      金融服務(wù)機構(gòu)受到高度的監(jiān)管,應(yīng)用程序運行環(huán)境復雜。市場日新月異,維持應(yīng)用程序安全是一項有挑戰(zhàn)的任務(wù)。但部署安全系統(tǒng)及在SDLC早期(即“左移”)采取安全舉措可以為金融服務(wù)機構(gòu)提供堅實的軟件安全保障。

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 云計算
        +關(guān)注

        關(guān)注

        39

        文章

        7654

        瀏覽量

        137017
      • 新思科技
        +關(guān)注

        關(guān)注

        5

        文章

        778

        瀏覽量

        50270
      • 安全防護
        +關(guān)注

        關(guān)注

        0

        文章

        59

        瀏覽量

        13486
      • 網(wǎng)絡(luò)攻擊
        +關(guān)注

        關(guān)注

        0

        文章

        330

        瀏覽量

        23401
      • 大數(shù)據(jù)
        +關(guān)注

        關(guān)注

        64

        文章

        8832

        瀏覽量

        137137
      收藏 人收藏

        評論

        相關(guān)推薦

        越界智能監(jiān)測攝像機:安全防護的新利器

        隨著社會的快速發(fā)展,安全問題日益凸顯,尤其是在公共場所和重要設(shè)施周邊,如何有效防范非法入侵和潛在威脅成為了亟待解決的難題。越界智能監(jiān)測攝像機應(yīng)運而生,以其先進的技術(shù)和強大的功能,為安全防護
        的頭像 發(fā)表于 10-09 09:57 ?100次閱讀
        越界智能監(jiān)測攝像機:<b class='flag-5'>安全防護</b>的新利器

        軟通智服榮獲“2024人力資源服務(wù)機構(gòu)優(yōu)秀品牌”獎項

        近日,由環(huán)球人力資源智庫(GHR)舉辦的“2024環(huán)球人力資源服務(wù)展”在深圳召開,本次活動匯集行業(yè)領(lǐng)袖、人力資源高管與眾多企業(yè)人力資源從業(yè)者,軟通智服作為人力資源服務(wù)領(lǐng)域的杰出品牌受邀出席,并在備受矚目的環(huán)球人力資源服務(wù)機構(gòu)品牌
        的頭像 發(fā)表于 08-28 17:11 ?485次閱讀

        電氣安全防護有哪些

        在現(xiàn)代社會,電力的廣泛應(yīng)用使得我們的生活和工作變得更加便捷和高效。然而,電力的使用也伴隨著一定的風險,特別是當電氣安全防護措施不到位時,可能會發(fā)生嚴重的電氣事故。這些事故不僅可能導致設(shè)備的損壞,還可
        的頭像 發(fā)表于 08-27 16:54 ?436次閱讀

        華企盾DSC防泄密系統(tǒng):多重安全防護,保障企業(yè)數(shù)據(jù)無憂

        在當今信息化快速發(fā)展的時代,隨著企業(yè)數(shù)據(jù)規(guī)模和數(shù)據(jù)類型的不斷增加,數(shù)據(jù)安全問題變得越來越重要,已經(jīng)成為了一個不容忽視的焦點話題。華企盾DSC防泄密系統(tǒng)是一款專業(yè)的數(shù)據(jù)安全防護解決方案,主要面向企業(yè)
        的頭像 發(fā)表于 05-30 11:09 ?319次閱讀

        以守為攻,零信任安全防護能力的新范式

        (Zero Trust Security)被提出,并逐漸成為提升網(wǎng)絡(luò)安全防護能力的新范式。本文主要探討攻擊路徑的演變、零信任體系在各個階段的防護作用,并探討零信任體系未來可能的發(fā)展方向。 攻擊路徑 攻擊路徑是指攻擊者利用一系列的
        的頭像 發(fā)表于 05-27 10:18 ?822次閱讀
        以守為攻,零信任<b class='flag-5'>安全防護</b>能力的新范式

        百度智能云與全球知名咨詢服務(wù)機構(gòu)畢馬威簽署戰(zhàn)略合作協(xié)議

        近日,在首屆“百度智能云GENERATE全球生態(tài)大會”上,百度智能云與全球知名咨詢服務(wù)機構(gòu)畢馬威簽署戰(zhàn)略合作協(xié)議。
        的頭像 發(fā)表于 04-14 09:24 ?722次閱讀

        尋跡智行機器人安全防護技術(shù)提高工廠整體搬運效率!

        搬運機器人的安全防護技術(shù)旨在通過人員、機器、物料、環(huán)境的和諧運作,使搬運過程中潛在的各種事故風險和傷害因素始終處于有效控制狀態(tài),它對于確保人員、機器設(shè)備、物料以及周圍環(huán)境的安全具有至關(guān)重要的作用。
        的頭像 發(fā)表于 04-03 11:01 ?341次閱讀
        尋跡智行機器人<b class='flag-5'>安全防護</b>技術(shù)提高工廠整體搬運效率!

        光伏戶用如何做到低成本獲客?

        光伏戶用如何做到低成本獲客? 隨著可再生能源的日益普及和技術(shù)的不斷進步,光伏系統(tǒng)正逐漸走進千家萬戶。然而,對于光伏企業(yè)來說,如何在激烈的市場競爭中低成本地獲取客戶,成為了他們面臨的一大挑戰(zhàn)。本文將
        發(fā)表于 02-27 10:33

        知語云全景監(jiān)測技術(shù):現(xiàn)代安全防護的全面解決方案

        大型企業(yè)、政府機構(gòu)還是個人用戶,都可以通過該技術(shù)有效提升安全防護能力。例如,在企業(yè)內(nèi)部網(wǎng)絡(luò)中部署知語云全景監(jiān)測技術(shù),可以實時監(jiān)測員工行為、網(wǎng)絡(luò)攻擊等情況,有效防止數(shù)據(jù)泄露和非法入侵;在
        發(fā)表于 02-23 16:40

        光纖防塵有何意義?如何做到更有效的光纖防塵?

        光纖防塵有何意義?如何做到更有效的光纖防塵? 光纖防塵是指采取一系列措施來保護光纖免受塵埃和污染物的影響。光纖傳輸是現(xiàn)代通信和網(wǎng)絡(luò)領(lǐng)域的關(guān)鍵技術(shù),光纖防塵對于保持光纖傳輸質(zhì)量和穩(wěn)定性具有至關(guān)重要
        的頭像 發(fā)表于 11-28 14:34 ?566次閱讀

        介紹一種基于eBPF的Linux安全防護系統(tǒng)

        針對操作系統(tǒng)、內(nèi)核安全,聯(lián)通云操作系統(tǒng)團隊開發(fā)了的一個基于 eBPF 的 Linux 安全防護系統(tǒng) safeguard,可以實現(xiàn)安全操作的審計攔截及安全防護功能。項目采用 libbpf
        的頭像 發(fā)表于 11-07 17:43 ?788次閱讀
        介紹一種基于eBPF的Linux<b class='flag-5'>安全防護</b>系統(tǒng)

        防物理攻擊,芯片是如何做到的?

        防物理攻擊,芯片是如何做到的? 芯片是現(xiàn)代電子設(shè)備的核心組件,負責存儲和處理數(shù)據(jù)。為了確保芯片的安全性,需要采取一系列防護措施來防范物理攻擊,包括防止物理侵入、防御側(cè)信道攻擊以及防范反向工程等。下面
        的頭像 發(fā)表于 11-07 10:18 ?673次閱讀

        安全護航,F(xiàn)5筑牢網(wǎng)站安全防護

        伴隨時代發(fā)展,動態(tài)網(wǎng)站應(yīng)用與日俱增,從傳統(tǒng)應(yīng)用到現(xiàn)代應(yīng)用再到邊緣、多云、多中心的安全防護安全成為企業(yè)數(shù)字化轉(zhuǎn)型中的首要挑戰(zhàn)。據(jù)統(tǒng)計,25年來,世界上最著名的組織都依賴F5來確保他們的客戶擁有卓越
        的頭像 發(fā)表于 11-01 14:30 ?557次閱讀
        <b class='flag-5'>安全</b>護航,F(xiàn)5筑牢網(wǎng)站<b class='flag-5'>安全防護</b>墻

        CPU的信息安全防護措施

        安全控制器中的 CPU 與存儲器一樣,都是攻擊者感興趣的攻擊,在設(shè)計時需要采用多種安全防護措施。
        的頭像 發(fā)表于 10-27 17:39 ?1427次閱讀

        基于GSM的家庭安全防護系統(tǒng)設(shè)計

        電子發(fā)燒友網(wǎng)站提供《基于GSM的家庭安全防護系統(tǒng)設(shè)計.pdf》資料免費下載
        發(fā)表于 10-25 10:06 ?0次下載
        基于GSM的家庭<b class='flag-5'>安全防護</b>系統(tǒng)設(shè)計