官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Coisini10- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
Coisini10 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
前言:
银行行业电子银行系统很重要,需要建设模拟仿真子系统,实现电子银行的模拟仿真,包括:模拟电子银行主要网络场景,涵盖网络分区分层、架构及部署、拓扑等情况的模拟;实现电子银行渠道模拟仿真,包括:建设手机银行和网上银行渠道应用模拟,依据移动银行业务逻辑,从应用层包括电子银行前端和后台的功能模拟,实现交易流程及交易模式等重要场景模拟;实现电子银行的网络模拟仿真环境,用以验证重要信息系统安全测试的技术和手段;实现专用风险测试及评估工具的安全测试及试验环境,用于验证相关工具及技术方法,并检验工具的安全性和有效性。
1.风险评估技术路线
基于对银行业务系统的关键难点问题、关键技术进行研究,构建重要信息系统模拟仿真、重要信息系统风险测试、重要信息系统风险评估等核心功能,实现对金融行业银行公共互联网、移动互联网、数据中心的安全防护。采用“吸收借鉴、自主创新、先进实用、标准结合”的技术路线。
2.风险评估建设方案
重要信息系统风险评估系统由模拟仿真层、任务调度层、威胁分析层、数据存储层、业务应用层5个层次组成,重要信息系统风险评估系统架构如下图所示:
模拟仿真层,主要模拟仿真重要信息系统环境及资源,包括:电子银行系统模拟、后代模拟、网上银行模拟及APP的模拟;
任务调度层,主要对重要信息系统风险评估系统中的所有对外支持的任务进行调度,支持多任务调度;
威胁分析层,集成多种分析引擎,对重要信息系统模拟仿真系统进行资产探测及验证、威胁测试及分析、脆弱性测试、风险评估及统计等功能;
数据存储层,主要存储重要信息系统风险评估中用到的测试用例库,同时系统在做风险评估测试时,生成的资产探测与验证信息、威胁测试信息、脆弱性测试信息进行分布式存储;
业务应用层,集成任务管理、接口管理、资源配置管理、测试效果评估展示等业务功能,帮助用户方便有效的对重要信息系统风险评估系统进行操作与管理。
结语:
建设重要信息系统风险评估系统,实现银行典型重要信息系统模拟仿真系统的搭建,并对信息系统进行风险测试评估,及时发现重要信息系统存在的风险。通过重要信息系统风险评估系统的建设,提升对金融行业公共互联网、移动互联网、数据中心的安全防护。
已在FreeBuf发表 31 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 31 文章数
- 13 关注者