1、Big dataTheE l e c t r i cb u s i n e s ss e c u r i t y大数据大数据的的电电 商商 安安 全全大数据底下的电商安全电商安全一般都有哪些 日常是如何寻找漏洞 架构业务风控安全系统No Card 无卡支付无卡支付 基于身份认证的远程帐户支付模式 采用静态口令、动态口令、生物识别、USBKEY等方式进行身份认证 利用远程帐户进行支付IC Card 有卡支付有卡支付 基于银行卡的支付模式 采用磁条卡、金融IC卡进行认证 利用远程帐户进行支付的在线支付模式 利用金融IC卡进行本地脱机支付模式Huoqushiwu 实物为主实物为主 客户获取商家销售的
2、实物 多为货到付款Huoqufuwu 服务为主服务为主 客户获取商家提供的服务 多为预授权附款电子交易类别及特点技术角度看分类钱存在的地点受理终端传输的渠道银行远程账户 资金支付商户渠道支付工具消费者渠道终端PC移动业务角度看相关流程支付者认证信息支付者认证信息信息产生信息产生消费者产生输入且实名信息存储信息存储防泄露、防篡改信息传输信息传输防泄露、防篡改身份认证身份认证防泄露、防篡改、防重放信息产生信息产生消费者产生,防篡改信息存储信息存储可明文传输信息传输信息传输可明文传输信息特殊处理信息特殊处理订单与支付绑定信息产生信息产生消费者产生,防篡改信息存储信息存储可明文存储信息传输信息传输防纂
3、改信息特殊处理信息特殊处理订单、身份与支付绑定信息产生信息产生账户管理者产生,防篡改信息存储信息存储可明文存储信息传输信息传输可明文传输信息特殊处理信息特殊处理商户验证确认订单信息订单信息支付指令支付指令支付凭证支付凭证信息信息角度看角度看关键信关键信息息保保护护身份证号、手机号、姓名、卡号、PIN、生物特征信息等等 信息产生终端输入过程中的防截取 信息传输注册信息传输中加密保护,与账户管理处解密 信息存储终端存储:应防被转移,或转移后不可使用。后台存储:防非法访问泄露、防维护泄露、防备份泄露 身份认证防木马泄露、防木马篡改、防协议重放攻击支付者认证信息支付者认证信息 各类信息信息信息角度看角
4、度看关键信关键信息息保保护护 信息产生订单信息要具有证明消费者本人确认的目的;其应具防篡改、抗低赖 信息传输在订单内容防篡改抗抵赖的前提下,可多种途径传输,如网络、usb、nfc、二维码等等 信息存储可明文存储 信息特殊处理订单号的唯一性、且局支付内容的绑定订单信息订单信息信息信息角度看角度看关键信关键信息息保保护护 信息产生支付指令产生工具的可信性!应防止木马等伪工具产生指付指令。这就要求对支付指令的鉴别应包含了产生工具的鉴别 信息传输可明文传输 信息存储可明文存储 信息特殊处理后台对支付指令的鉴别,实质上包括了以下内容:这个支付指令 是支付者授权情况下由合法工具产生并提交的,未经篡改或重放
5、。支付指令支付指令信息信息角度看角度看关键信关键信息息保保护护 信息产生支付凭证应由账户管理者或支付网关产生,凭证应具有防篡改、抗抵赖 信息传输可明文传输 信息存储可明文存储 信息特殊处理商户验证确认支付凭证支付凭证1检测威胁检测威胁实时检测来自内部与外部的攻击行为在大数据下我们需要做的2 事件还原事件还原通过诸多数据来源,还原安全事件真相3 事件追溯事件追溯解读攻击者的真实身份、背景、动机4 二次攻二次攻击击生成弱点报告,提 供修复方案,抵御 二次攻击在大数据下我们需要做 的联动分析联动分析大数据大数据追踪与追踪与 反制反制 使攻击者在分析引擎前无处遁形 由客户的业务数据与互联网数据(安全专
6、用数据)共同 构成 通过对庞大信息的快速处理和分析,更好更快的识别和 发现那些复杂的安全威胁 深度分析并回朔安全事件 结合大数据,获取攻击者信息 接管攻击者的C&C服务器大数据底下的电商安全电商安全一般都有哪些 日常是如何寻找漏洞 架构业务风控安全系统三三L序 气Jk.全l-1 。劝9业务接 口调用O xlD时 鸡胆1。xn4用户输入纽 把0 灼,由ops.,v.ooy 皿 0 数据摘自:2015金融行业互联网安全报告漏洞盒子团队整理分析了大量的金融安全案例。对今年上半年上千个金融安全漏洞进行了统计分析,状况状况令令人堪人堪忧忧。截止2015年6月底,有上百上百 家平台遭受不同程度的家平台遭受
7、不同程度的黑黑客攻客攻击击,造成了严严重重的用的用户户信息信息泄泄露露,数据库被恶意篡篡改改,甚至是系系统瘫统瘫痪痪等安全事故。行业的漏洞报告1、权限绕过2、越权重置密码批量注册新新卖家评论 账户滥用刷优惠券撞库事件敏感信息 泄露跨国高风 险收款人信用卡盗 窃事件资金转移异常提现账户盗用信用卡套 现洗钱行为传统安全无法识别的业务风险唯一唯一一个与众不同的人.哪些是盗用的账户?找回密码-更改密码-支付识别分析-捕获行为人工分析发现客户手机丢失识别这种行为从未知到已知类似银行的风控系统20正常登录量警戒线非正常业务时段安全体系中的三重核心交易交易报文报文身份及设备认证身份及设备认证安全通道安全通道
8、报文安全层报文安全层综合利用双因素认证技术,确保用户身份及相关安全设 备的真实性。综合利用PKI及对称密码技 术保障交易电子渠道通讯安 全。综合利用密码技术保障交易 报文的机密性、搞纂改、不 可抵赖。安全体系总结终端安全手机WEB 安全管理安全 组织安全 制度安全 培训 商商 户户 营营 销销 平平 台台手手 机机 支支 付付 平平 台台安全 运维运维 监控风险 控制安全 审计应 用应 用 安安 全 平全 平 台台安 全 通 道统一身份认证统一设备认证安全交易风险鉴别 主机安全数据库安全证书及密钥管理IT 支 撑 系 统支 撑 系 统 安安 全全网络安全 安 全安 全 基基 础 设础 设 施施
9、 灾备系统审计系统大数据底下的电商安全电商安全一般都有哪些 日常是如何寻找漏洞 架构业务风控安全系统日常是如何寻找漏洞的买女朋友之免费买女朋友之免费我的女朋友呢SQL注入我女朋友怎么还不发货?买菜篇买菜篇在下一步提交的时候修改价格,这两个参数fee=、treatfee都改成0.1看病篇开房篇吃饭篇同时,我们认为安全的未来是态势感知客总是从意想不到的地方进入态势感知定义:态势感知定义:全面、快速、准确的感知过去、现在、未来的安全威胁。木桶人也要有思维黑客的千变万化大数据底下的电商安全电商安全一般都有哪些 日常是如何寻找漏洞 架构业务风控安全系统行为数据采集异常行为及风险分析 智能学习,建立行为基
10、线建立风险模型基于行为数据的业务风基于行为数据的业务风险险分析分析方方法法架构业务风控安全系统行为数据采集行为数据采集:模型抽象,多数与少数的不模型抽象,多数与少数的不同同.只采集行为数据只采集行为数据,还原成点还原成点击击流流,转转换换成操成操作作行行为为架构业务风控安全系统数据中心数据中心B B I I G GD D A A T T A A分析攻击者的来源攻击路线身份背景目的攻击者是谁从哪来来干什么拿到了什么?利用大数据对确切的攻击行利用大数据对确切的攻击行为进行分析为进行分析对于每一次入侵事件在处理威胁后都可以生成一份威胁 处理报告。行业定位:行业定位:电子商务、电子银行、互联网金融应用范围:应用范围:信息安全、风险控制、IT审计主要特点:主要特点:未知风险、业务风险、易于实施、风险建模架构业务风控安全系统BDFACE信用评级投入预警监控等等风险政策制度框架体系信息披露风险管理系统不论传统还是现代金融不论传统还是现代金融进不进不来来拿不拿不走走还还看看有有不不懂懂?改不改不了了跑不掉跑不掉打不垮打不垮Thank you for listening谢谢户攻防实验室户攻防实验室
