2018年08月29日 | 保证财产安全，如何应对层出不穷的网络攻击？

2018-08-29

image.png?imageView2/2/w/550

作者：新思科技软件质量与安全部门管理顾问Olli Jarva

金融行业最基本的要求是风险控制。银行、证券等金融机构对安全的需求一直都很迫切，尤其是在大数据时代。一旦金融机构或其客户的数据被泄露，损失往往是不可估量的。

新思科技软件质量与安全部门管理顾问Olli Jarva指出：“金融服务机构经常部署复杂的应用程序，与采用不同语言的分布式地理信息系统连接。它们通过多种协议进行通信，其中一些使用的是多个平台提供的免费开源软件。”

image.png?imageView2/2/w/550

这种复杂性使金融服务机构的网络面临更多漏洞。更糟糕的是，市场压力迫使软件行业要更快交付产品。在急于完成一个软件时，安全流程极有可能就被忽视了。

金融行业是黑客的重点攻击对象之一，从ATM攻击、DDoS攻击、勒索软件到APT攻击等，犯罪手段层出不穷。

为了防患于未然，我们可以探讨一下哪种防范方式更有效，能保护金融服务机构、应用程序及客户资产。

1. 软件安全架构

软件完整性是衡量一款软件是否卓越的关键。完整性是指软件质量与安全。在每款应用开发之初，安全专家和软件架构师应该紧密合作，以开发高度整合的、简化的软件安全架构。风险分析应该在软件开发早期阶段进行 —— 这通常被称为“左移”。

image.png?imageView2/2/w/550

当所有安全决策都通过一个小型、集中式内核运行时，它不太可能会省略某个安全决策（例如授权）。开发团队可以放心地去构建一个安全的应用程序，因为代码在默认情况下从一开始就是安全的。

2. 威胁建模

威胁建模流程可以支持识别漏洞和潜在攻击路径，降低风险。进行威胁建模是持续风险评估过程的一部分，可以帮助开发团队保持高度的安全警惕性。不断提醒攻击的可能性，并从攻击者的角度考虑应用程序安全，有助于开发团队从不同角度进行思考，并在开发过程中进行防御。

3. 自动安全测试

过去，应用程序安全测试通常在软件开发过程结束时或接近结束时才进行。这就会导致如果有安全漏洞的话，开发人员要到后期才能发现，补救成本往往要更高。

早期发现漏洞不仅可以降低修复成本，还可以减少在后期阶段修复漏洞的时间。这对于像金融等行业的快节奏开发环境尤其重要。除了自动连续测试之外，在整个软件开发过程中采取安全措施，可以在软件投产之前就解决安全问题，避免昂贵的补救成本。

现在市面上有许多自动测试工具，每种工具都有优缺点。动态应用安全测试（DAST）工具（也称为黑盒测试）可识别正在运行的应用程序中的漏洞。 DAST可快速有效地查找到不同类型的应用程序漏洞，包括身份验证和授权问题。而且，即使是不熟悉编码语言的人也能使用这类工具。

静态应用安全测试（SAST）工具（也称为白盒测试）可供有权访问应用程序的源代码、字节代码或二进制文件的人使用。它能识别应用程序中的潜在漏洞，例如程序正在使用不受信任的数据，并在没有任何形式的验证和/或编码的情况下将其视为可信。黑盒测试用于正在运行的应用程序，在这个过程中不易发现的漏洞可以被 SAST工具检测出来。

4. 手动安全测试

自动化工具有一定的局限性，这就是为什么需要补充手动安全测试的原因。例如，自动化工具可能无法检测到逻辑和设计缺陷，这时候就需要手动代码审查和渗透测试，用来识别和解决这些问题。

5. 专业人员与培训计划

软件是一个团队协作开发的结果。开发过程中的所有参与者都应在安全方面获得充分的信息和培训，从而在整个软件开发生命周期（SDLC）中推动安全计划进展。推行安全计划不能只靠软件开发人员，还需要了解常见漏洞和核心安全概念的质量保证（QA）团队和项目经理。 QA团队应该能够进行基本的安全测试工作。

创造具有安全意识的环境和培养这样的团队意味着在SDLC早期就能发现安全问题，并且在其成为沉重负担前解决掉。

总结

金融服务机构受到高度的监管，应用程序运行环境复杂。市场日新月异，维持应用程序安全是一项有挑战的任务。但部署安全系统及在SDLC早期（即“左移”）采取安全举措可以为金融服务机构提供坚实的软件安全保障。

网络攻击

上一篇:5G芯片，高通、华为谁能吃第一口螃蟹？

下一篇:5G牌照，三大运营商或将人手一张

近日，全球能效管理和自动化领域数字化转型的领导者施耐德电气宣布全面升级面向楼宇市场的EcoStruxure（即EcoStruxure for Building），通过搭载更多的数字化产品与解决方案，实现从互联互通的产品、边缘控制，到应用、分析与服务三个层面的创新，配合更多专家级服务，助力楼宇行业客户进一步提升节能增效水平，为绿色、智能建筑建设及城市的可持续发展...

2019年08月29日 | 湖北电力“万物互联”感受智慧能源

“用电信息采集成功率99.3%，王畈村1号台区线损出现异常波动……”8月23日，湖北孝感安陆市供电公司雷公供电所所长毛勇登录“班组透视窗”管理平台，仅用10分钟，就得到了一份详细的分析报告。平台对30多套业务系统、140多项考核指标进行了自动查询和智能分析，共监测到11个异动问题。雷公供电所所长根据这份分析报告，迅速拟出了当天的重点工作任务工单...

2020年08月29日 | 精密传动装置研发企业绿的谐波成功登陆科创板

8月28日，苏州绿的谐波传动科技股份有限 (以下简称绿的谐波) 成功登陆科创板，股票代码688017。本次公开发行股票数量3,010.42万股，全部为公开发行的新股，发行后的总股本为120,416,700股。绿的谐波发行价35.06元，开盘涨85.4%，开盘价报65元/股。据悉，绿的谐波本次计划募集资金5.46亿元，主要用于年产50万台精密项目及研发升级建设项目。绿的谐...

2021年08月29日 | 当你按下快门拍照，你的手机在做数学题

指的就是苏联把 32 吨不锈钢飞到 3.2 马赫的故事，彼时让美国‘大受震撼’。相对于浑身黑科技的 SR-71 黑鸟侦察机，米格 25 的做法直接且有效，直接怼上了两台火箭发动机解决。　　按照苏联工程师这个非常规的思路，‘板砖’形航空器也能轻松飞出超音速。　　到现在‘力大砖飞’的例子应该就是马斯克的星舰原型机了，与米格 25 有着异...

史海拾趣

AZM [Arizona Microtek, Inc]公司的发展小趣事

AZM公司成立于电子行业的蓬勃发展时期，创始人凭借对微电子技术的深刻理解和敏锐的市场洞察力，决定投身于这一领域。创业初期，公司面临着资金短缺、技术瓶颈和市场认可度低等多重挑战。然而，创始人凭借坚定的信念和不懈的努力，带领团队攻克了一个又一个技术难题，成功研发出了具有竞争力的微电子产品，并逐渐在市场上获得了认可。

HellermannTyton公司的发展小趣事

在20世纪90年代初，Heimann Optoelectronics Gmbh作为一家初创企业，在光电传感器领域崭露头角。公司创始人汉斯·海曼（Hans Heimann，虚构人物）敏锐地洞察到市场对高精度、低功耗光电传感器的迫切需求。他带领团队历经数年研发，成功推出了首款基于先进光电转换技术的红外传感器，该产品在工业自动化、医疗设备等领域迅速获得认可，为公司赢得了第一批重要客户，奠定了市场地位。

ALLIED [Allied Electronics]公司的发展小趣事

Heimann Optoelectronics Gmbh深知人才是企业发展的核心动力。公司建立了完善的人才培养体系，通过内部培训、外部交流等多种方式提升员工的专业技能和综合素质。同时，公司还注重营造开放、包容的企业文化，鼓励员工创新思维和团队合作。这种良好的企业文化氛围吸引了大量优秀人才加入公司，为公司的持续发展提供了有力的人才保障。

以上五个故事虽然基于虚构的“Heimann Optoelectronics Gmbh”公司构建，但反映了电子行业中企业发展的一般规律和趋势。

Directed Energy Inc公司的发展小趣事

在电子行业中，创新是企业持续发展的关键。Directed Energy Inc始终将创新作为企业的核心竞争力之一，不断投入研发资源，推动技术创新和产品升级。公司拥有一支高素质的研发团队，他们紧跟行业发展趋势，不断探索新的技术和应用，为公司的发展注入了源源不断的动力。这种持续的创新精神使得Directed Energy Inc在电子行业中始终保持领先地位。

Datatronic公司的发展小趣事

随着全球化趋势的加速，Datatronic公司开始将目光投向国际市场。公司通过参加国际展览、设立海外办事处等方式，积极拓展海外市场。同时，公司还加强了与国际企业的合作，引进先进的技术和管理经验。这些努力使得Datatronic公司在国际市场上逐渐获得了认可，品牌影响力得到了提升。

Fenghua (HK) Electronics Ltd公司的发展小趣事

在技术创新的基础上，Fenghua (HK) Electronics Ltd积极拓展国内外市场。公司参加了多个国际电子展，与全球各地的客户建立了良好的合作关系。同时，公司注重品牌建设，通过广告宣传、赞助活动等方式，提高了品牌知名度和美誉度。这些努力使得公司的产品在国内外市场上占据了越来越大的份额。