当前位置:文档之家 › CISAW风险管理专业级培训课件-客户端安全

CISAW风险管理专业级培训课件-客户端安全

  • 格式:pdf
  • 大小:2.20 MB
  • 文档页数:45

下载文档原格式

  / 45

合集下载

风险管理培训课件

风险管理培训课件

风险管理培训课件
培训目的
企业面临的风险越来越多,风险管理已成为企业不可或缺的一部分。

本培训课程旨在为企业员工提供风险管理的基础知识、技能和方法,
以帮助企业有效地管理风险,保障企业长期发展。

培训内容
以下是本培训课程的主要内容:
第一部分:风险管理概念与原则
1.什么是风险管理?
2.风险管理的作用和意义
3.风险管理的分类
4.风险管理的原则
第二部分:风险识别与评估
1.风险识别的方法和技巧
2.风险评估的过程和方法
3.风险评估的指标和标准
第三部分:风险控制与监测
1.风险控制的方法和策略
2.风险监测的方法和指标
3.风险应对措施的制定和实施
第四部分:风险管理实践
1.风险管理在企业中的应用
2.风险管理案例分析
3.风险管理工具的应用
培训方式
本培训课程分为理论和实践两部分,其中理论部分包括讲解、讨论和案例分析,实践部分包括模拟演习和培训考核。

培训效果
本培训课程将有助于企业员工深入了解风险管理的基础知识、技能和方法,掌握有效的风险管理策略和工具,提高企业风险管理能力,降低企业风险,保障企业长期发展。

结束语
风险管理是企业不可或缺的一部分,是企业取得成功和长期发展的关键因素之一。

我们希望本培训课程能够为企业员工提供有价值的知识和技能,帮助企业有效地管理风险,实现企业的长期发展目标。

风险管理培训教材(PPT 81页)

风险管理培训教材(PPT 81页)
❖ 3、提高员工的风险管理意识、增强风险控 制能力的需要。这是公司组织这次培训班的最根 本的目的。
❖ 二、风险管理的含义
❖ 风险管理的机理 ❖ 风险管理的流程 ❖ 定义及术语 ❖ 风险评价的过程
1、风险管理的机理
确定范围与目标
评价准则
危害辨识 风险评价
可接受? 否
风险处理
可接受?







2、风险管理的流程
❖ 三、主要风险评价方法介绍
❖ 1、定义 ❖ 2、主要评价方法介绍

危险和可操作性研究(HAZOP)

作业危害分析(JHA)

安全检查表法(SCL)

LEC法
❖ 3、风险控制及效果评审

(一)定义: ❖ 风险—发生特定事件(或事故)的可能性及后果的结合 ❖ 风险评价—评价风险程度并确定是否在可承受范围的过程 ❖ 可承受的风险---根据用人单位的法律义务和职业安全健康 方针,用人单位可接受的风险。 ❖ 偏差:人的不安全行为,物或环境的不安全状态,管理上 的缺陷,指标的波动等可能造成事故或事件发生的因素(也称 隐患)。
❖ (2)适用范围:
❖ 系统、详细地对工艺过程和操作进行检查,以确定过程的偏 差是否导致不希望的后果。还可以对拟定的操作规程进行分析 (3)方法介绍: HAZOP的基本过程以导向词为引导,找出工作系统中工艺过 程或状态的变化(即偏差),然后继续分析造成偏差的原因、
后果以及可以采取的对策。 其模式: 导向词 +设计参数 = 偏差(或偏离)
❖ ③ 设备在非正常状态下运行:带“病”运转;超负荷 运转。 ④维修、调整不当:
❖ 设备失修;地面不平;保养不当;设备失灵。 ❖ C 个人防护用品用具—防护服、手套、护目镜及面罩呼

《CISM培训课件》——信息安全工程

《CISM培训课件》——信息安全工程

信息安全合规性的管理
合规性定义
信息安全合规性是指企业或组织在信息安 全方面符合国家、行业和组织制定的信息 安全标准。
管理方法
为了实现信息安全合规性,需要进行有效 的合规性管理。合规性管理包括合规性评 估、风险评估、安全审计等方面。
05
信息安全风险管理
信息安全风险的概念与特点
信息安全风险是指信息系统中存在的安全威胁、漏洞或者 脆弱性等风险因素,可能导致信息泄露、系统崩溃或者业 务中断等不良后果。
置等。
信息安全应急响应技术的发展趋势
趋势一
技术手段越来越多样化。随着技术的不断发展,信息安全应急响应技术手段越来越多样化 ,包括入侵检测与防御技术、安全事件管理与处置技术、漏洞扫描与修复技术等。
趋势二
大数据分析与人工智能的应用。大数据分析与人工智能的应用已经成为当前信息安全应急 响应的重要趋势之一。通过大数据分析和人工智能技术,可以对海量的安全事件数据进行 快速分析、挖掘和处理,提高应急响应的速度和效率。
信息安全特点
03
04
05
综合性:信息安全涵盖 了技术、管理、法律和 政策等多个方面,需要 综合运用多种手段进行 防护。
动态性:信息安全威胁 不断演变,需要持续关 注和应对。
整体性:信息安全需要 从系统、网络和组织等 多个层面进行整体规划 和实施。
信息安全的必要性
1 2 3
信息安全的国家安全层面
信息安全是国家安全的重要组成部分,保护国 家信息安全对于维护国家政治、经济、文化等 方面的安全具有重要意义。
在系统实施阶段,需 要按照设计要求进行 具体的安全防护措施 的实施,包括安全设 备的配置、安全协议 的实现等。
在系统检测和维护阶 段,需要对系统进行 定期的安全检测和维 护,及时发现和修复 安全漏洞,确保系统 的安全性得到持续的 保障。

CISAW风险管理专业级培训课件-数据安全

CISAW风险管理专业级培训课件-数据安全
中国信息安全认证中心 信息安全保障人员认证
19
怎么办?
在大数据时代保护个人隐私,既要靠技术,也要靠 法律! 技术层面
一是要防止不法分子侵入个人系统,盗取个人信息 二是要限制个人信息掌握者的权限,使每个层级的相关人 员只能掌握相应的有限信息
法律层面
既要为依法合理地搜集处理大数据信息提供保障 也要确保信息处理过程中个人隐私不被泄露,不被用于服 务和统计以外的目的
举例 销售数据:可以反映销售状况,通过不同的时间,市场环境, 好坏,趋势等等变量,反映经营状况,生产状况,企业经营 者要根据数据做判断,来指导销售,生产,以及库存,制定 生产计划等等。例如:去年焦炭企业连续亏损,企业就要根 据市场数据做生产调整,来压缩产能,换取市场价格回升。
中国信息安全认证中心 信息安全保障人员认证
硬件级备份和软件级备份
硬件级备份:指用硬件的冗余来保护系统的业务连续运行。比如想磁 盘镜像,双机容错等方式。如果主硬件损坏,后备硬件马上能够接替 其工作,这种方式可以有效地防止硬件故障。能够最快速的解决硬件 破损问题。 软件级备份:指将系统数据保存到其它工具软件上,当出现错误状态 后可以将系统恢复到备份时的状态。由于这种备份是由软件来完成的, 所以称为软件备份。
数据安全事件举例(1)
911事件
金融机构聚集的世贸大厦里的大量数据化为乌有。纽约银行(Bank of New York)的数据中心被毁,通讯线路中断,缺乏灾备系统和有 力的应急业务恢复计划,在一个月后不得不关闭一些分支机构,数月 后不得不破产清盘。
中国信息安全认证中心 信息安全保障人员认证
数据安全事件举例(2)
可用性 保密性 完整性
保障阶段
使用 存储 传输
中国信息安全认证中心 信息安全保障人员认证

CISAW风险管理专业级培训课件-网银USBKEY安全性检测-数据分析

CISAW风险管理专业级培训课件-网银USBKEY安全性检测-数据分析

1.1、USBKey的基本概念
• 密码钥匙 • U盾 、Ukey • USBStick USBToken
是一种智能卡的衍生品,特点是具有智能卡+USB接口读卡器的集成硬 件和智能卡的嵌入软件(COS),具有密码算法、存储保护等智能卡的 安全特性,可实现数据加解密、身份认证、数字证书保存和数字签名等 安全功能。

3
中国信息安全认证中心 信息安全保障人员认证
1. USBKey 的基本知识
• 1.2、USBKey的应用
• 身份认证、网络登录 • 中国各银行网上银银行: 网银登录(身份认证)+交易认证
4
中国信息安全认证中心 信息安全保障人员认证
1.3. 网银系统USBKey的一般模型
5
中国信息安全认证中心 信息安全保障人员认证
• 5.1 准备
• 样本:某银行柜台,与办理人的真实银行账户绑定
• 操作:网络环境中运行并进行用户的普通操作:下载证书、校验并修 改PIN码、网银转账
• 工具:BUSHOUND、捷德命令集检索表
• 资料: i-COS_V1.0_Manual_05_03_18、

STARCOS S21
• 证书生成:vip.txt
• 攻击者的攻击潜力: • 1.物理占有USBkey 者可对目标进行长时间系统性分析; • 2.远程攻击者:具有足够的知识和技术能力通过移植木马等手段从互连
网远端控制客户端PC机;对受测件具有足够的知识(至少与测试人员 相当)和技术能力通过被控的客户端PC机监测并操控客户机与USBKey 之间的所有通讯信息。
网银USBKEY 安全性检测 之数据分析
实践课程
本课目录
1 USBKey 的基本知识 2 网银 USBKey 安全性检测 3 网银 USBKey 安全性检测准备 4 网银 USBKey 安全性检测实施 5USBKey 安全性检测实例 6实习题

第1天 - 第1课 概述

第1天 - 第1课 概述

1
2
3
4
5
RGSec ®
二、风险管理-风险管理环节
3. 风险管理的环节
CISAW风险管理认证培训课程(第01课 概述)
风险管理是一个管理过程,主要包括:明确状 况、风险识别、风险分析、风险评价、风险应对和 监测评审六个环节。
明确状况:明确目标、范围和内外状况; 风险识别:发现、认可和记录风险; 风险分析:分析后果、判断影响大小; 风险评价:对比准则、确定风险等级; 风险应对:实斲处置措斲、降低风险; 监测评审:贯穿生命周期,丌断改进提高。
----BG/T 20984-2007《信息安全技术 信息安全风险评估规范》
1
2
3
4
5
RGSec ®
四、信息安全风险评估-信息安全风险评估发展历程
CISAW风险管理认证培训课程(第01课 概述)
1. 信息安全风险评估发展历程-美国
第一阶段 (60-70年代)
以计算机为对象的 信息保密阶段
第二阶段 (80-90年代)
⑤ 相对性:因时空等因素的变化而变化。 ⑥ 时效性:风险随着时间的推秱而产生变化。 ⑦ 丌确定性:发生时间丌确定、损失丌确定、是否发生丌确定性。
⑧ 损失性:风险事件存在,就有造成损失的可能性。 ⑨ 可识别性:通过分析事物的内外部因素,可以识别风险。 ⑩ 可控性:采取一定的控制措斲,把风险损失控制在一定的范围内。
维基百科:风险管理(Risk Management)是一个管 理过程,是在降低风险的收益不成本之间进行权衡幵决 定采取何种措斲,包括对风险的定义、测量、评估和应 对风险的策略。
国际标准化组织:ISO31000:2009《风险管理-原则不实斲指南》中 对风险管理的定义是“一个组织对风险的指挥和控制的一系列协调活劢 (coordinated activities to direct and control an organization with regard to risk.)”。

CISAW风险管理专业级培训课件-风险处置与监视评审


4
中国信息安全认证中心 信息安全保障人员认证
4.1 风险处置过程框架
(2)制定风险处置计划并定义各处置项的优先级
等级赋 值
5
4 3 2 1
标识
描述
处置成本/目标收益值低,而风险对于组织的影响重 很高 大,对组织的根本利益有着决定性影响,若益值较低,风险对组织影响大,对 组织的利益有着重大的影响
中等
处置成本/目标收益值适中,风险对组织影响较大, 若不进行处置,风险将对组织的利益有较大影响
较低
处置成本/目标收益值较高,风险对组织有一定的影 响,若不处置,对组织的利益有轻微的影响
很低
处置成本/目标收益值很高,风险对组织的影响不是 太明显,可以考虑忽略
5
中国信息安全认证中心 信息安全保障人员认证
保险转移 非保险转移
11
中国信息安全认证中心 信息安全保障人员认证
4.2 风险处置方法
3、风险降低 当风险无法完全规避时,风险降低无疑是一种风险降低 是指通过一系列的保护措施来降低风险。 1)采取技术措施:及时打补丁、关闭无用网络服务端口、 加强边界防护、增加备仹容灾等。 2)建立风险预警机制和风险控制体系; 3)采取法律的手段将一些计算机犯罪予以法律制裁。计 算机犯罪的范畴包括盗取机密信息、攻击关键的信息系统 基础设施、传播病毒、不健康信息1和2 垃圾邮件等。中信国息信安息全安保全障认人证员中认心证
(7) 环境约束 (8) 法律约束 (9) 易用性约束 (10)人员约束 (11)整合新建和现有控制措施的约束
16
中国信息安全认证中心 信息安全保障人员认证
4.3 风险处置措施选择与实施
4.3.2 准备和实施风险处置计划 在进行具体的风险处置乊前都需要根据组织实际的情况 制定相应的合理的风险处置计划。包括风险类别、风险二 级分类、风险描述、处置方式的选择、处置措施的描述、 紧急程度、预计完成时间、估算投入的成本以及相关责仸 人等信息。

CISAW培训教材《信息安全风险管理》内容概述

《信息安全风险管理》力求从实践出发,介绍当前信息安全保障工作中的风险管理技术,适合申请认证考试人员或从事信息安全风险管理工作的人员使用。

全书共分为5章:
第1章概述。

本章从信息安全风险管理模型出发,阐述风险的起源、特性、要素及其关系和风险管理的基本概念;
第2章信息安全风险管理相关标准。

本章从信息安全风险管理标准出发,介绍ISO/IEC31000、ISO/IEC13335、ISO/IEC27005、卡内基梅隆、GB/T20984等相关标准的内容;
第3章信息安全风险评估实现。

本章关注风险管理中的风险评估这一核心要素,详细介绍了信息安全风险评估内容,按照风险识别、风险分析、风险评价这条主线展开论述,同时辅以部分实例进行说明;
第4章信息安全风险处置。

本章从风险处置的角度出发,详细阐述了风险处置的过程框架,并讨论了几种典型的风险处置措施及其应用;
第5章信息安全风险管理案例。

本章从整体出发,依照本书中第1章提出的风险管理模型,以一个实际项目作为案例,对整个风险管理的实施过程进行了论述。

《信息安全技术》是《信息安全风险管理》的配套教程,详细介绍了信息安全的基本概念和技术原理。

全书分上下册,共23章,包括信息安全基本概念、密码技术、身份认证、访问控制、信息隐藏、容错容灾、反垃圾邮件技术、存储
介质安全技术、恶意代码及防护、传输安全、机房环境、漏洞管理、主机安全、安全审计、取证技术、安全测试、安全编码、物理边界控制、防火墙技术、入侵检测、云计算安全和物联网安全。

CISAW风险管理专业级培训课件-项目管理

第24课项目管理一、项目管理概念和内容二、风险评估项目管理三、风险评估项目成功关键要素四、示例•在了解什么是项目管理之前,先简单地说什么是项目,举办一次展览会、开发一种新产品、建一个新小区、企业制定一个新战略等都可以称之为一个项目。

•什么是项目管理?–项目管理就是指把各种知识、技能、工具和技术应用于项目活动中,以达到项目的要求。

项目管理通过应用和综合诸如启动、规划、实施、监控和收尾等项目管理过程来进行组织单位Organization Unit固定预算Fix Budget 固定时间Fix Time按一定的技术标准Quality Assurance资源的利用Resource Utilization交付结果Delivery Result•项目的定义•项目特点–a) 具体的起始时间(The exact starting time)–b) 具体的终止日期(The exact finishing date)–c) 严格定义的最终目标(The exact definition of the final goal)–d) 只发生一次(Only one time)–e) 包含有时间(T),质量(Q)和成本(C)的详细计划(Including Time, Quality and Cost)–f) 有具体的结果(The exact Result)–g) 随时都具有的风险性(Full of the Risk)•项目生命周期•作为项目进行管理–合理安排项目的进度,有效使用项目资源,确保项目能够按期完成,并降低项目成本。

•降低项目风险,提高项目实施的成功率。

项目管理中重要的一部分是风险管理,通过风险管理可以有效降低项目的不确定因素对项目的影响。

•项目管理内容风险评估项目成功关键要素•项目成功的要素–领导重视–人、财、物的支持–时间安排–合理安排时间和进度–团队合作–加强项目的团队合作,提高项目团队的战斗力–风险管理–降低项目风险,提高项目实施的成功率–项目控制–增强项目的可控性(需求变更控制、范围控制)•按照项目进行管理–按照项目管理理论进行组织,依照生命周期进行管理•加强沟通•合法合规–项目来源合法合规–项目实施合法合规要素——风险评估项目成功的关键要素(1)•工作原则–最小影响原则–安全可控原则–标准指导原则–保密性原则–可重复原则•加强文档记录和签署–内部会议纪要、协调会议纪要、会议签到表–安全评估实施方案、同意实施意见单–文件(设备)移交清单、文档接收和归还确认单–安全检查与测试委托书、安全扫描委托书、评估工具清单–项目日报、资产/脆弱性/威胁报告、风险评估报告Thank you!感谢聆听。

网络安全与信息风险管理培训ppt

入侵检测概述
入侵检测系统用于实时监测网络 流量和系统行为,发现异常行为
并及时报警。
入侵防御系统
入侵防御系统在入侵检测的基础上 ,能够实时阻止恶意流量和攻击行 为。
部署方式
通常将入侵检测与防御系统部署在 关键网络节点和关键服务器上。
数据加密与备份恢复
数据加密
数据加密用于保护敏感数据在传输和 存储过程中的机密性,常见的加密算 法有对称加密、非对称加密和混合加 密。
新兴技术安全风险与应对
总结词
新兴技术的快速发展和应用,如人工智 能、物联网等,带来了新的安全风险和 挑战。
VS
详细描述
新兴技术的安全风险包括设备被攻击、数 据被窃取、隐私泄露等,需要采取相应的 安全措施,如建立安全防护体系、加强数 据加密和隐私保护等,来应对新兴技术的 安全风险。
谢谢
THANKS
数据备份与恢复
部署方式
根据数据的重要性和敏感程度,可以 选择不同的加密算法和备份策略。
定期备份数据并制定应急预案,以便 在数据丢失或损坏时能够及时恢复。
网络安全漏洞管理
漏ห้องสมุดไป่ตู้概述
网络安全漏洞是网络系统中的弱 点,可能被攻击者利用进行非法
访问和恶意攻击。
漏洞评估
对网络系统进行定期的漏洞扫描 和评估,识别存在的漏洞并评估
制定详细的信息安全手册,包括信息安全政策、操作规范、应急预 案等内容,供员工学习参考。
建立信息通报机制
建立信息通报机制,及时向员工发布信息安全事件、风险预警等信 息,提高员工对信息风险的敏感度。
建立信息安全文化
1 2 3
领导重视与支持
企业领导应重视信息安全工作,在企业文化中强 调信息安全的重要性,为信息安全文化建设提供 有力支持。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
实际攻击演示
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端业务安全检测项及攻击 案例
要求:客户端业务安全问题。 重点:客户端常规的问题的产生过程,问题引发的风险。
检测说明 检测是否可以非法查询其他用户余额
检测是否可以非法查询其他用户交易信 息 检测是否可以非法查询其他用户敏感信 息 检测是否可以非法挂失其他用户
进入网银后,点击摸个跳转按钮,是否 可以跳转到非法的页面 通过对收款方信息进行篡改,窃取用户 资金
中国信息安全认证中心 信息安全保障人员认证
客户端组成-保护控件安全性检测项
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
• 用户信息窃取
• 黑客通过在网银上挂木马,可以截获网银通过SSL发送、接收信 息的明文,从而获取用户的敏感信息。
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
中国信息安全认证中心 信பைடு நூலகம்安全保障人员认证
客户端常规安全攻击案例
• 密码窃取
• 黑客通过在网银上挂木马,可以从系统中截获用户输入的密码明 文。
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
检测项 键盘输入记录程序防范功能有效性测试
键盘消息挂钩程序保护功能有效性测试
检测说明
该检测项检测保护控件是否可以抗键盘 记录功能
该检测项检测保护控件是否可以抗消息 钩子功能
密码加密功能有效性测试 控件抗动态逆向分析功能有效性测试 控件抗静态逆向分析功能有效性测试 软键盘破解检测
检测密码在内存中是否明文保存,并且 可以抗中间人攻击和重放攻击
第26课 客户端安全
本章主要介绍电子银行客户端的常见问题,和相关攻击演示。
内容提要
客户端的组成
客户端常规检测项及攻击案例
客户端业务安全检测项及攻击案例
保护控件安全检测项及攻击案例
网银助手安全检测项及攻击案例
中国信息安全认证中心 信息安全保障人员认证
客户端组成
要求:理解进行客户端检测的目的。 重点:客户端检测的目的。
敏感信息安全性检测
检测敏感信息(身份证、手机号等)在传输过程中和 显示时是否加密或者使用“*”屏蔽部分位
残余信息保护 会话安全性检测
检测客户端在退出或者卸载后,敏感信息是否全部清 除
检测两台主机在同一时刻可以登录同一账号,并且用 户的标识(SessionID)是否随机唯一。
客户端安全性检测
检测客户端是否可以抗动态调试和逆向分析。
该检测项检测网银助手是否有防静态分 析功能,防止黑客使用IDA等静态分析工 具对网银助手进行静态分析,找出网银 助手的编程逻辑。 该检测项检测网银助手是否有防动态调 试功能,防止黑客使用OD、windbg等调 试工具对网银助手进行挂载调试,找出 网银助手漏洞。 该检测项检测网银助手是否能把所下载 控件替换成黑客的木马,达到窃取用户 登录密码和用户资金的目的。
通信安全性检测
检测客户端与服务器通信时,是否进行安全加密,并 且不易被中间人攻击或者重放攻击
敏感信息安全性检测
检测敏感信息(身份证、手机号等)在传输过程中和 显示时是否加密或者使用“*”屏蔽部分位
残余信息保护 会话安全性检测
检测客户端在退出或者卸载后,敏感信息是否全部清 除
检测两台主机在同一时刻可以登录同一账号,并且用 户的标识(SessionID)是否随机唯一。
中国信息安全认证中心 信息安全保障人员认证
客户端常规检测项及攻击案例
要求:客户端常规安全问题。 重点:问题的产生过程,问题引发的风险。
客户端常规安全检测项
检测项 登录安全性检测
检测说明
检测登录密码是否在内存中、在通信过程中、按键记 录方式获取密码明文,并成功登录用户账户。
通信安全性检测
检测客户端与服务器通信时,是否进行安全加密,并 且不易被中间人攻击或者重放攻击
客户端常规安全攻击案例
用户敏 感网银信服息务器
Mail服务器
互联网
查看用户 信息
攻击者
1
2
3
4
网银用户
用户敏 感信息
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
• 用户信息窃取危害
• 通过钓鱼网站,欺骗用户,窃取用户资金。 • 通过社会工程学攻击,可以骗取用户的资金。
1
2
3
4
客户端组成
与服务器交互的业务(认证 机制安全)流程
客户端插 件(如保 护控件等)
网上银行客户端程序
客户端常规安 全
中国信息安全认证中心 信息安全保障人员认证
客户端组成-客户端常规安全检测项
检测项 登录安全性检测
检测说明
检测登录密码是否在内存中、在通信过程中、按键记 录方式获取密码明文,并成功登录用户账户。
客户端安全性检测
检测客户端是否可以抗动态调试和逆向分析。
中国信息安全认证中心 信息安全保障人员认证
客户端组成-客户端业务安全检测项
检测项 非法查询其他账户余额安全检测 非法查询其他账户交易信息安全检测 非法查询其他账户敏感信息安全检测 非法挂失其他账户安全检测 网银银行页面篡改检测
交易篡改安全性检测
该检测项测试密码保护控件能否被调试 工具加载调试。 该检测项检测客户端是否可以被静态分 析工具进行逆向
该检测项检测软键盘是否存在漏洞可以 获取密码明文
中国信息安全认证中心 信息安全保障人员认证
客户端组成-网银助手安全性检测项
检测项 网银助手抗静态分析检测
网银助手抗动态调试检测
网银助手防挂马检测
检测说明
客户端业务安全检测项
检测项 非法查询其他账户余额安全检测 非法查询其他账户交易信息安全检测 非法查询其他账户敏感信息安全检测 非法挂失其他账户安全检测 网银银行页面篡改检测