写点什么

网络攻防学习笔记 Day130

发布于: 2 小时前
网络攻防学习笔记 Day130

确保数据安全,首先要做的就是对数据进行分级。

可以按照重要性、涉密性、泄密风险性三个维度划分数据安全等级:

第一级,数据重要性维度。按照数据资产价值进行分类,根据数据性质、数据价值、敏感度、使用范围区分数据的重要性。

第二级,数据涉密维度。根据数据的涉密级别、接触范围区分数据涉密程度,结合数据重要性维度制定不同涉密级别、不同数据重要性的数据安全等级保护措施。

第三级,数据泄密风险维度。根据泄密所造成的损失的因素来进行划分,结合数据涉密性更好地确定数据安全人员的保密责任。


支付系统通常都是一个独立系统,这样符合系统建设中高内聚、低耦合的设计特点,但是,如果在设计中支付系统与其他系统(例如交易系统)的通信环节存在缺陷,便可能出现一分钱支付这个漏洞。


一旦羊毛党发现有机可乘,便会利用各种通信工具进行传播,企业损失会迅速扩大,而羊毛党们可能通过这样的机会一夜暴富,因此加入这个群体的人越来越多,随着群体的扩大,羊毛党也越来越有组织性,分工也越来越明确,从之前的单兵作战,变成了信息情报收集、工具软件制作、推广运营,甚至控制供应链中的某些环节等,形成一条黑色产业链,简称“黑产”


设备指纹业务的应用场景主要为防垃圾注册、防撞库、防薅羊毛、反刷单、精准营销、支付反欺诈、授信反欺诈、用户画像分析、复杂关系网络、异常登录等,涉及的领域包括电商、支付、信贷等,主要针对黑产通过群控手机进行批量薅羊毛行为。


风控系统的架构应包括五大核心组件:数据平台、规则平台、处理平台、处罚平台、运营平台,当然,除这五大核心组件外,还需要有验证平台、分析平台、输出接口及回放平台等。


制度体系建设的完备性需要根据各公司具体情况、安全成熟度决定,信息安全成熟度较低的公司由于安全能力尚未建立起来,建立的安全制度一般较少,多为一级(方针策略)、二级(管理要求)原则性要求文件。随着成熟度的逐渐增加,安全能力不断提高,管理以及工作逐渐标准化、流程化,三级(流程指南细则)文件,四级(记录表单配置)文件也会越来越多。每个级别具体涉及哪些内容,一般可参考 ISO 27001、等级保护等安全法规与标准。


发布于: 2 小时前阅读数: 3
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day130