挂牌玄机彩图企业数据安全和个人信息安全防护

发布时间 2019-09-25

  随着新一轮信息技术的发展,移动互联网、云计算、大数据、下一代通信技术、物联网等新技术应用不断深入,在加剧传统行业变革的同时,也带来了新的网络安全需求。面对网络安全新形势,企业不仅要严防精心策划的外部攻击,还要防范来自企业内部威胁,数据及信息安全已成为企业战略中的关键部分,是企业全局发展的重要基石。此外,《网络安全法》、《刑法》、《消费者权益保护法》的不断推进,以及监管部门对于现今网络安全事件及移动端APP越权高发事件的高度重视,形成新时代背景下的网络安全新态势,企业数据安全和个人信息安全防护如何落地成为难题。

  在此背景下,以中小银行为代表的金融机构及企业的数据安全和个人信息安全防护面临三大挑战:数据安全治理、隐私权限安全,以及软件安全开发。

  第一,数据安全治理。众所周知,数据安全治理要实现“数据不出门,数据不落地”只是一个基础要求,实际业务中对数据的质量和保准有着更高要求,例如现在大家都在讲的零售转型场景中,一款主流分期导流IT产品数据不仅量大而杂乱,且面临两大数据泄露风险:如图中所示,整个IT产品由合作机构方系统(包括APP,H5,API等)和分期系统两大块组成,合作机构技术参差不齐,很多甚至没有做到基本安全防护,从而造成数据泄露;此外,业务运作过程中,当需要用到外部数据时,由于数据通过API的形式调用和传输,从而造成数据泄露风险。

  如何解决呢?大数据处理技术可以很好的解决这个问题。通付盾最新一代数据源管理平台,基于大数据处理技术,为银行等金融企业客户提供多数据源融合、并符合数据隐私保护标准的统一数据源管理;平台建立统一的数据输入输出标准,帮助客户提升数据融合、数据管理及数据应用能力,例如接口一站式接入、在线测试、实时监控、智慧任务、数据路由器等。

  基于大数据处理技术,数据源管理平台可以实现对第三方服务商的服务接口整合以及标准化转换,供各方进行数据调用,并可通过服务配置快速适配外部接口;为降低服务成本,根据不同数据的变更特性进行缓存,避免短时间重复调用,同时也可对服务内外部接口转换、缓存策略等进行快速配置;统一落地数据安全管控要求;提供访问鉴权、加密解密等。在性能上,平台可以实现数据接入免代码、多种数据源预置、多样数据传输方式、覆盖广泛加密算法、数据流动利器、多类属性映射、实现对海量数据源调用的高速高效运行。

  在数据源管理平台基础上,企业结合自身强有力的组织架构,完善的管理制度及工作流程支撑,规范数据管理各项工作的开展,从而发现、充实、集成和管理数据的整个生命周期,提升企业风险管理能力及精细化管理要求。

  第二,隐私权限安全。2019年,中央网信办、工业和信息化部、公安部、市场监管总局在北京举行“APP违法违规收集使用个人信息专项治理”新闻发布会,发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,体现了监管部门对当前愈演愈烈的APP越权问题日益重视。通付盾移动应用态势感知平台监测数据显示,目前90%以上APP“越界”获取用户隐私权限,大部分APP都要求获取读取位置信息、神算网,赛马会神算网,神算网赛马会论坛,奇人神算网开奖结果,香港神算网67844,访问联系人、读取短信记录等权限,甚至图像处理、电子书等应用也要求位置定位权限,权限读取极其不合理。

  面对APP越权问题,我们认为,当前监管部门的整顿难点在于举证过程。例如,有媒体报道,某款大众化APP被怀疑存在窃听用户信息的行为,用户在通话记录中提到“牙痛”这个词,该APP就给用户推送牙痛相关广告,用户即便发现这一问题并进行举报,接下来也要面临十分困难的举证过程,它要求用户将APP的敏感权限调用情况,无论是静态或动态情况下,按照标准给出证据。

  目前,移动应用合规检查产品中的权限检测技术可以解决这类问题,权限检测技术专门针对APP/SDK使用全过程的权限进行检测,该技术基于以符号执行为核心的静态分析引擎和以运行态沙盒为核心的动态检测引擎,旨在快速、准确地检测APP/SDK中存在的敏感权限调用。

  目前通付盾权限检测系统能够基于全局权限申请调用进行检测;基于应用启动权限申请进行检测;基于应用运行过程权限进行检测;基于应用静默运行权限进行监测,提供支持判定结果的检测依据,包括运行中截图及抓包数据文件等,全面掌握应用及第三方SDK权限调用情况,解决用户举证难题。

  第三,软件安全开发。超过50%的安全漏洞由错误的编码产生,开发人员一般安全开发意识和安全开发技能不足,更加关注业务功能的实现,想要确保Web应用程序在交付之前和交付之后都是安全的,就需要利用Web应用安全测试技术识别程序中架构的薄弱点和漏洞。值得一提的是,近年来开发模式的演进带来Web应用安全测试新挑战。从过去的传统开发模式,到敏捷开发,再到DevOps,都涉及到设计、开发、测试和部署环节,每一个环节都面临安全问题;众多产品需要逐个排队进行安全检测,并由安全团队专门负责运行,复杂产品临近版本发布才出检测结果,一般没有足够时间去分析和修复发现的问题,综上种种,常规源代码审核工具成为效率瓶颈。

  Web应用安全测试技术经过多年发展取得巨大进步,目前业界公认最前沿的技术为“IAST”,交互式应用安全测试技术,被Gartner公司列为信息安全领域的Top10技术之一。“IAST”技术融合了SAST和DAST技术的优点,漏洞检出率极高、误报率极低,同时可以定位到API接口和代码片段,整个过程无需安全专家介入,无需额外安全测试时间投入,不会对现有开发流程造成任何影响,符合敏捷开发和DevOps模式下软件产品快速迭代、挂牌玄机彩图,快速交付的要求。

  目前通付盾已经开发出基于“IAST”技术的IAST代码审查系统,该系统主要由三部分组成:核心检测能力,平台基础功能和外部集成接口。其中核心检测能力基于交互式应用安全检测技术实现,包括服务端和检测探针;平台基础功能则提供了各类丰富的操作功能,包括组织结构配置、权限分配、安全弱点检测管理、统计分析等;外部集成接口为平台与其他研发过程中的系统对接预留接口。

  通付盾IAST代码审查系统分为服务端和检测端两类,采用B/S的架构部署,服务端部署在内网服务器上,其内置了关系数据库、NoSQL数据库及异步消息队列服务;检测端Agent直接植入到被测试应用微服务Docker容器中,对开发和测试人员无感知。

  当前整个社会都在经历数字化转型,安全是企业业务数字转型的关键,安全不再是单纯的技术问题,而是业务与风险问题。作为信息安全责任主体,第一要从根源入手,排查和整改网络安全隐患及漏洞,依据《网络安全法》、《国家网络安全等级保护制度》等要求,加强安全管理和技术防护;第二要加强内外网的数据流量实时监控,通过管理和技术手段进行防范攻击;第三对于数据库和应用软件使用,加强管理,尤其是重要软件要积极开展第三方安全检测,提升运维安全水平。企业信息安全建设的根本愿景,是保障企业的业务的安全可持续性发展,保证企业利益相关者生命、财产安全的延续,实现这一愿景是包括企业、用户和安全厂商在内的共同的目标!

  【亿邦动力讯】对于宝湾供应链来说,资源整合能力成为未来中链企业发展的关键。一直以来,宝湾供应链也在不断探索数字化供应链的实际应用。 宝湾供应链总经理葛昆认为,产业互联网的...

  马云正式退休成为全网关注的热门事件,对于他创业历程的回顾、企业理念的总结、人生哲学的盘点亦被看作对马云现象的进一步研究。除了留下淘宝、支付宝、天猫等所构建的电子商务帝国...

  当前,信息技术逐步由支撑业务向引领业务方向发展,金融与科技深度融合已成为不可逆转的发展趋势,我国正迎来金融科技的发展新浪潮。 近年来,我国先后出台《促进大数据发展行动纲要...

  九月初,世界经济学家、内生增长理论创始人保罗罗默来到中国出席活动,针对全球经济深度调整、中国经济高速发展等相关话题,他谈道:商业模式的创新比技术创新更重要。 这与国内习以...

  当今社会科学发展迅速,离不开科技型企业提供的助力,科学技术的发展结果最终会体现在国民经济的增长上,从国家发布的国家重点研发计划、科技创新2030等相关政策就可以看出,国家对于科技型...

  在去年拿下超103亿元营收之后的飞鹤奶粉,又一次站在了新的起点上,向着更高目标奋勇前行。近年来,在婴幼儿配方奶粉细分市场上,飞鹤奶粉业绩斐然,成为行业真正的领头羊,如今,飞...

  今年的5月15日,由中央广播电视总台央视财经频道主办,厦门市集美区人民政府协办的中央电视台首档大型青年创业实战公开课《创业英雄汇》海选厦门站总决选在厦门市集美区重磅上演。整...

  一切云化的今天,常常有朋友问我ERP是否应该选择SaaS,我把这几年参与企业ERP选型的所见所闻总结一下,来回答这个问题。 企业上ERP项目的时候,是选择SaaS版还是传统的本地部署,核心是要...

  7月30日,为期两天的第五届互联网安全领袖峰会(Cyber Security Summit2019,简称CSS2019)在北京正式揭幕。作为每年CSS领袖峰会的重磅板块之一,由腾讯安全发起、汇聚国内安全上市企业领袖的P17安全...

  济南犀牛集团,Reno Ace超级玩家10月10日发布 硬核实,2013年成立,是济南移动互联网行业的先行军,研发app500多款,为各行各业研发公众号、商城、官网、小程序,合作客户遍布全国各地。 犀牛集团旗下9家企业,不断精准发现人...

  剧透:2019ODCC开放数据中心峰会亮点-边缘计算端边结合方案在教育行业的应用

  目前国家正大力推进教育信息化发展,以教育信息化为龙头,带动教育现代化,实现教育全面发展已成为我国教育事业发展的战略选择。教育部提出要加快推进数字校园建设与应用,开展学校联...

  任何一个企业都不是孤立的存在与发展,只有通过与行业之间的交流与合作才能促成双方、多方的快速发展。近日,科大讯飞一行3人到访数据堂,数据堂联合创始人肖永红、数据产品部总监丰...

  综合国力的竞争归根到底是人才的竞争。在改革开放四十年之际,国家层面就明确指出:人才是第一资源。当下的中国前所未有地靠近世界舞台中心,前所未有地接近实现中华民族伟大复兴的...

  2019年7月25日,第252届中国独角兽商机共享大会在北京隆重举行,由邦盛医疗装备(天津)股份有限公司带来的邦盛体检车全国联营项目在此次大会上正式亮相发布,引起了全场千名企业家的热烈...

  近日,易观发布了《中国第三方支付行业专题分析2019》(以下简称报告),报告针对第三方支付市场的发展现状、问题及未来趋势等展开深度解析。经历数年的快速发展后,目前,第三方支付...

  紫数网 紫数网专注大数据领域,汇聚数据牛人,深度解读大数据,提供大数据新资讯,基于行业细分的大数据报告...