电子银行(销售)（PPT58页)

电子银行安全服务2015.05.13目录我们能做什么我们的优势是什么23背景知识1世界银行排名英国《银行家》2014年全球银行排行榜前十名单排名银行国家一级资本20142013金额（m$）增减（%）11中国工商银行中国207,61429.2425中国建设银行中国173,99226.4532摩根大通美国165,6633.5443美国银行美国161,4563.8654汇丰控股英国158,1554.7166花旗集团美国149,8049.7279中国银行中国149,72923.2388富国银行美国140,73511.16910中国农业银行中国137,41023.24107三菱UFJ金融集团日本117,206-1.60中国银行业体系结构中国人民银行、银监会政策银行：国家开发银行中国进出口银行中国农业发展银行私人银行投资银行商业银行：四大行（工、建、农、中）、全国性股份制银行、城市商业银行、外资银行、村镇银行其他存款类金融机构（如：城市信用社、农村信用社）什么是电子银行电子银行业务是商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络，以及银行为特定自助服务设施或客户建立的专用网络，向客户提供的银行服务。电子银行业务包括利用计算机和互联网开展的银行业务（简称网上银行业务），利用电话等声讯设备和电信网络开展的银行业务（简称电话银行业务），利用移动电话和无线网络开展的银行业务（简称手机银行业务），以及其他利用电子服务设备和网络，由客户通过自助服务方式完成金融交易的银行业务。银行组织架构（四大行）银行组织架构（股份制）银行组织架构（城商行）银行组织架构（联盟）银行组织架构（总结）•股份制银行一般最顶级的组织是股东大会，然后往下依次是董事会、高级管理层（行长）、信息科技管理委员会、科技信息部。主要对接部门是科技信息部，也有的叫信息科技部或信息技术部等类似名称。科技信息部中一般有负责安全检测的部门或小组。具体检测时由科技信息部的人负责与其他部门进行协调。•城商行基本沿用股份制的架构，具体名称会有不同，比如会有专门的安全管理中心设有专门的信息安全岗。•城商行联盟会有专门的IT服务中心，安全检测工作可能由相关的IT基础设施部门来负责与具体相关部门（IT研发部、IT业务支持部）协调。银行业安全要求的产生外部威胁内部威胁。。。提供安全便捷的金融服务国家和行业要求-人民银行-银监会-公安部（等保）。。。业务系统-安全可靠-稳定高效银行业安全测试标准法规•《电子银行业务管理办法》【银监会2006年第5号令】•《电子银行安全评估指引》【银监会2006.3.1】•《银行业金融机构信息系统风险管理指引》【银监会2006】•《商业银行操作风险管理指引》【银监会2007】•《网上银行系统信息安全通用规范》JR/T0068-2012《电子银行安全评估指引》评估内容第一章（总则）第三条开展电子银行业务的金融机构，应根据其电子银行发展和管理的需要，至少每2年对电子银行进行一次全面的安全评估。一．总则二．安全评估机构三．安全评估的实施四．附则《网上银行系统信息安全通用规范》2012年5月8日发布，分为基本要求和增强要求两个层次，基本要求为最低安全要求，增强要求为规范下发之日起的三年内应达到的安全要求。金融机构现阶段要遵照执行基本要求，同时，积极采取改进措施，在规定的三年期限内达到增强要求。安全技术规范安全管理规范业务运作安全规范目录我们能做什么我们的优势是什么23背景知识1网银及内网安全服务网银手机银行微信银行银行业信息系统应用安全管理平台银行业合规评测社区银行无线安全检测银行业全视角风险评估手机银行安全服务手机银行APP检测源代码审计终端应用检测APT攻击溯源审计服务网银远程监测服务电子银行网络安全解决方案Webshell攻击防护网页防篡改恶意扫描防护Web应用防火墙网银安全卫士安全防护系列Web应用攻击审计业务审计系统日志审计管理平台安全审计系列WEB漏洞扫描器系统漏洞扫描器配置基线检查安全检测系列APP渠道监测手机银行APP加固服务范围16文档编写《XX电子银行渗透测试报告》《XX银行网上银行渗透测试报告》《XX银行手机银行渗透测试报告》《XX电子银行安全评估报告》《XX银行网上银行安全评估报告》《XX银行手机银行安全评估报告》渗透测试报告安全评估报告一．概述二．安全管理体系评估三．业务安全评估四．应用系统安全评估（外网、手机APP）五．网络和后台基础设施安全评估（内网）六．评估总结目录我们能做什么我们的优势是什么23背景知识1我们的优势是什么资质齐全人员精干案例丰富与竞争对手比较类型机构策略自身国舜1）资质非常全2）高手很多：有乌云高手、河马安全网创建人等高手3）有漏洞发掘能力，为国家漏洞库提交漏洞，是国测的国家漏洞库的支撑单位。4）有很多辉煌的实际项目。国家队总参、国测、公安部、国务院信息办1）一般客户均是有钱的大型机构，他们需要国家队的名义；2）重点是共存，找国家队买名声，找国舜解决实际问题；3）强调：国家队服务差，高手不派出来。大的绿盟、启明1）均使用本地安服人员，水平参差不齐；2）总部的人内部结算价3000元/人日，对外销售至少要5000元/人日，很多项目承受不了。3）总部的高手都承担国家项目，高手也都没空中等的天融信、网神（360）、网御星云（启明）、安恒1）可能使用本地按服务人员，水平参差不齐。2）资质没有国舜全。小的各地本地各种类型公司1）缺乏高手2）资质和国舜差距非常远3）解决不了实际问题国家信息安全服务（安全工程类）二级资质（最高级）国家信息安全服务（风险评估）二级资质（最高级）信息系统安全风险评估一级资质（最高级）信息系统安全集成资质一级资质（最高级）应急处理服务资质二级资质（一级500人）国家漏洞库二级支撑单位中国首家获得公安部web漏洞扫描产品三级资质（最高级）云服务平台核心产品网站综合监控平台通过eal-3测试（同类最高级）iso9000认证国家信息安全测评中心中国信息安全认证中心资质说明资质说明24网页防篡改产品Web应用防火墙网站安全综合监控管理平台信息安全服务二级资质、信息安全应急处理服务二级资质产品与资质网站安全漏洞扫描产品信息系统安全集成一级资质、信息安全风险评估一级资质25关于人员•之前三年某安全公司进行安全服务•涉及此次检查的所有系统和设备•之前均无发现安全问题安全服务介绍安全服务介绍80多个管理权限共检查六套系统，涉及150台设备安全服务介绍XX移动2011年集团基线检查倒数第五名2012年集团基线检查第四名安全服务介绍某金融监管机构2012年前，由权威安全服务机构提供服务，证明无任何安全问题2012年国舜服务部安全工程师在服务实施过程中，获取该机构全国所有邮件用户和密码。至今，国舜仍在为其提供安全服务。安全服务介绍XX银行2014年前，由多安全厂商提供多年的安全服务，未发现重大安全问题2014年国舜服务部安全工程师在服务实施过程中，获取多个网站服务器权限。发现手机APP应用多处漏洞。安全服务介绍安全服务介绍国舜拥有六个安全领域的专业技术团队，具备为大规模安全规划建设项目和安全服务项目提供一站式服务的雄厚实力。专业团队技术能力攻防研究安全服务漏洞挖掘安全产品研发解决方案中心移动安全研究人员介绍人员介绍人员介绍人员能力——书籍编写国舜漏洞挖掘能力人员能力——漏洞挖掘安服实力41成功案例重点案例42金融行业典型案例：银监会安全服务项目在银监会安全服务项目中，北京国舜对银监会长期合作，定期对银监会内部信息系统风险评估。利用网站综合监控管理平台对客户抽选的商业银行进行检查，检查结果同样获得客户的认可。同时，网站综合监控管理平台还多次监控到网站的异常现象及时告警，为应急反应赢得时间。银监会风险评估银行网站监控应急响应重点案例43正在参与“国家金融领域商业银行重要信息系统安全应急保障平台工程项目”（银监会）的建设,负责商业银行监控平台的方案设计和建设成功案例44行业监管典型案例：国家计算机网络与信息安全管理中心金融行业典型案例：华夏银行全网风险评估和手机银行加固成功案例金融行业典型案例：民生银行电子银行安全评估项目成功案例金融行业典型案例：上海浦东发展银行渗透测试服务项目成功案例金融行业典型案例：吉林银行网银、网站及邮件系统安全渗透测试实施项目成功案例成功案例49金融行业典型案例：北京农商银行安全扫描测试项目金融行业典型案例：齐鲁银行全网风险评估和手机银行加固成功案例成功案例51金融行业典型案例三：东莞银行WEB安全扫描项目金融行业典型案例：恒丰银行手机银行风险评估成功案例金融行业典型案例：山东农信社风险评估成功案例成功案例54金融行业典型案例：中信证券安全扫描项目金融行业典型案例：山东城商行合作联盟安全评估项目成功案例总结•背景（合规要求）•能做什么（渗透测试、安全评估）•我们的优势（资质、人员、案例）Q&A谢谢!