网络攻防学习笔记 Day130

确保数据安全，首先要做的就是对数据进行分级。

可以按照重要性、涉密性、泄密风险性三个维度划分数据安全等级：

第一级，数据重要性维度。按照数据资产价值进行分类，根据数据性质、数据价值、敏感度、使用范围区分数据的重要性。

第二级，数据涉密维度。根据数据的涉密级别、接触范围区分数据涉密程度，结合数据重要性维度制定不同涉密级别、不同数据重要性的数据安全等级保护措施。

第三级，数据泄密风险维度。根据泄密所造成的损失的因素来进行划分，结合数据涉密性更好地确定数据安全人员的保密责任。

支付系统通常都是一个独立系统，这样符合系统建设中高内聚、低耦合的设计特点，但是，如果在设计中支付系统与其他系统（例如交易系统）的通信环节存在缺陷，便可能出现一分钱支付这个漏洞。

一旦羊毛党发现有机可乘，便会利用各种通信工具进行传播，企业损失会迅速扩大，而羊毛党们可能通过这样的机会一夜暴富，因此加入这个群体的人越来越多，随着群体的扩大，羊毛党也越来越有组织性，分工也越来越明确，从之前的单兵作战，变成了信息情报收集、工具软件制作、推广运营，甚至控制供应链中的某些环节等，形成一条黑色产业链，简称“黑产”。

设备指纹业务的应用场景主要为防垃圾注册、防撞库、防薅羊毛、反刷单、精准营销、支付反欺诈、授信反欺诈、用户画像分析、复杂关系网络、异常登录等，涉及的领域包括电商、支付、信贷等，主要针对黑产通过群控手机进行批量薅羊毛行为。

风控系统的架构应包括五大核心组件：数据平台、规则平台、处理平台、处罚平台、运营平台，当然，除这五大核心组件外，还需要有验证平台、分析平台、输出接口及回放平台等。

制度体系建设的完备性需要根据各公司具体情况、安全成熟度决定，信息安全成熟度较低的公司由于安全能力尚未建立起来，建立的安全制度一般较少，多为一级（方针策略）、二级（管理要求）原则性要求文件。随着成熟度的逐渐增加，安全能力不断提高，管理以及工作逐渐标准化、流程化，三级（流程指南细则）文件，四级（记录表单配置）文件也会越来越多。每个级别具体涉及哪些内容，一般可参考 ISO 27001、等级保护等安全法规与标准。