互联网金融安全实战浅述-oss-cn.PDF

互联网金融安全实战浅述 付山阳 关于我和我的团队 付山阳 湖南人 爱好篮球和游泳 10 years+ 安全产品开发和安全运营的工作经验 平安科技产品安全团队负责人 （白泽安全团队） 平安银行互联网金融安全负责人 目录 一、互联网金融－清算系统安全 二、互联网金融－移动客户端安全 三、互联网金融－业务安全 互联网金融－清算系统安全 网上银行 手机银行 电话银行 银行核 ATM前置 心 清算系统 …… 什么是清算系统？ • 通俗地讲，银行与商户、消费者之间为结算关系。 • 而银行与银行之间构成清算关系。 清算 央行清算系统 银行A 银行B 银行C 结算 用户A 用户B 用户C 用户D 用户E 用户F 史上最大银行抢劫案！ 8100万 ＝6吨 fandation ＝9亿 孟加拉银行被攻击全过程 2、攻击实施 黎刹商业银行 收到4笔共8100 万美元，并经过 4、发现并追索 1、攻击准备两次转账，进入 3、清除痕迹 孟加拉国央行 5、洗钱成功 3个攻击木马 3个赌场账户， 修改了其中2 发函要求黎 8100万款项 完成编码和 其余31笔9亿美 个攻击木马 ，用 刹商业银行中 被分5次提取 编译 元汇款被暂停 来消除攻击痕迹 止转账并退款 2月4 日 2月4 日 2月5日 2月8 日 2月9 日 13时45分39秒 晚些时候 11时46分20秒 孟加拉银行被攻击原因分析 三、事后的安全应 急响应方案没有， 二、事中措施不到 或者并不快速和有 位，没有基于网络 效的被执行。 一、事前网络隔离， 和主机的入侵检测 访问控制，权限管 安全系统，没有有 理等都很糟糕，密 效的对账系统。 码复杂策略等等都 没有