¿Cómo establecen las instituciones financieras un sistema de prueba de seguridad para los sistemas de aplicaciones internos?

Dado que el sistema de evaluación de los sistemas de aplicaciones comerciales en mi país comenzó tarde y aún no está maduro, y los sistemas de aplicaciones financieras tienen sus propias particularidades, actualmente no existe un método de prueba sistemático en la industria financiera, lo que dificulta la prevención de riesgos de seguridad de los sistemas de aplicaciones en la industria financiera ligeramente insuficiente. Por lo tanto, establecer su propio sistema de prueba de seguridad del sistema de aplicaciones dentro de una institución financiera puede mejorar efectivamente las capacidades de prevención de seguridad y reducir los peligros ocultos causados ​​por problemas de seguridad del sistema de aplicaciones.

Los problemas de seguridad de los sistemas de aplicaciones deben resolverse urgentemente.

En 2011, 50.000 clientes de un banco se encontraron con una estafa de actualización de banca en línea, lo que resultó en enormes pérdidas de fondos de clientes y un impacto significativo en la reputación del banco; ese mismo año, se confirmó que Citibank había sido pirateado; , y aproximadamente 1 de cada 1 usuarios de tarjetas de crédito se vieron afectados por los piratas informáticos.

No importa cuál sea el incidente, los problemas de seguridad de los sistemas de aplicaciones se resumen principalmente en las siguientes seis categorías:

1. La falta de medidas de autenticación en el sistema de la aplicación puede hacer que los atacantes utilicen las identidades del sistema de otras personas para operar cuentas, utilizando así los permisos de otras personas para obtener información y materiales relevantes y robar fondos.

2. Manipulación de datos. Las medidas inadecuadas de protección de datos en el sistema de la aplicación pueden provocar que los atacantes manipulen maliciosamente información de datos como cantidades, contraseñas e información de contacto, lo que resulta en el robo de fondos de la cuenta y otras consecuencias.

3. Fuga de información. Los sistemas de aplicaciones se desarrollan, diseñan o configuran incorrectamente y carecen de funciones de protección de información confidencial, lo que puede provocar fugas de código fuente, cruce de directorios y otras consecuencias. Los atacantes pueden explotar más fácilmente la información comprometida.

4. Elevación de privilegios. La función de gestión de permisos insuficiente del sistema de aplicaciones permite a los atacantes eludir las restricciones de permisos y realizar operaciones no autorizadas o sobreautorizadas, lo que les permite obtener permisos del sistema o acceder a datos importantes en el sistema.

5. Denegación de servicio. El sistema de aplicación tiene capacidades de protección de seguridad insuficientes y carece de la capacidad de funcionar de forma continua y estable. Puede estar sujeto a ataques DDoS, como el consumo de recursos de la aplicación, o el sistema puede estar inactivo o funcionar lentamente debido a un punto muerto en la programación de tareas y es posible que no pueda continuar brindando servicios externos.

Las agencias reguladoras de la industria han presentado requisitos específicos para la seguridad de los sistemas de aplicaciones, como el Documento No. 19 "Gestión de riesgos de tecnología de la información" emitido por la Comisión Reguladora Bancaria de China en 2009, Documento No. 62 emitido por la Comisión Reguladora Bancaria de China en 2011 y Documento No. 62 emitido en 2009. 121 "Especificaciones generales de seguridad para aplicaciones de banca en línea" emitidas por el Banco Popular de China. Además, muchas instituciones financieras en China, como los cuatro principales bancos estatales, bancos por acciones y algunas compañías de seguros importantes, han comenzado a probar la seguridad de los sistemas de aplicaciones hace muchos años, desde las pruebas de penetración iniciales de los sistemas de aplicaciones de Internet hasta Las pruebas de caja negra de los controles de seguridad y luego las pruebas de caja blanca del código del sistema de aplicaciones ilustran plenamente la seriedad y la importancia de los problemas de seguridad del sistema de aplicaciones.

Solución Al analizar cuidadosamente una gran cantidad de trabajos de prueba de sistemas de aplicaciones realizados por muchas instituciones financieras, Venus descubrió que todavía existen las siguientes deficiencias en general:

1. términos de requisitos. En el proceso de brindar servicios de consultoría a la mayoría de las instituciones financieras, Venustech descubrió que no había suficientes consideraciones de seguridad en los requisitos, como una descripción incompleta de los requisitos de seguridad en la etapa de requisitos, diseño simple de escenarios de riesgo de seguridad, planificación unificada insuficiente de los límites de seguridad, e información sensible del sistema de aplicación en la etapa de requisitos. Consideración inadecuada de la prevención de fugas, etc.

2. Control de seguridad insuficiente durante el proceso de desarrollo.