当前位置:易读 > 人文社科 > 一本书读透金融科技安全_吴湘泰;范军;黄明卓_AZW3_MOBI_EPUB_PDF_电子书(无页码)_吴湘泰;范军;黄明卓
AL123AL123 人文社科 会员免费专区 文学

一本书读透金融科技安全_吴湘泰;范军;黄明卓_AZW3_MOBI_EPUB_PDF_电子书(无页码)_吴湘泰;范军;黄明卓

内容节选

6.3.3 面向应用和数据的统一身份和访问管理架构 金融企业应用和数据层面的统一身份和访问管理可以包括身份管理、访问管理和权限管理三个方面的核心能力,图6-3所示是我们根据业界领先企业的实践总结出的统一身份和访问管理架构。图中“访问管理”“权限管理”“身份管理”这3个模块相关功能还有待完善,“身份开通”“身份和策略库”模块相关功能在持续改进中,“安全支撑技术”模块相关功能已基本成型。 图6-3 身份和访问管理架构 综合考虑实施难度、业务影响度和网络逻辑分区的划分,金融企业首先可以建立一套身份和访问管理系统,针对使用人数多、使用范围广的业务应用和办公应用进行身份的统一集中管理。本小节要介绍的目标应用系统即上述业务应用和办公应用,其中核心安全功能涵盖身份管理、访问管理和权限管理三部分。 1.身份管理 统一身份管理为金融企业应用系统的用户分配唯一的用户ID,以便集中管理用户账号。身份管理提供统一的用户身份生命周期管理、完整的管理审批工作流程、委派管理和用户自助服务等功能,以实现以下目标:· 用户身份的创建和维护。 ·提供集中的、委托的、自助的或三者相结合的管理模型。 ·支持用户身份信息的分级委托管理,以减少与身份管理相关的时间和成本。身份信息的管理可以唯一指向特定的用户或特定的用户群。 ·自助服务允许用户自行维护个人基本信息、修改个人密码、忘记密码后自动找回,从而减少系统管理员的工作量。 身份和策略存储提供统一存储用户的身份信息、访问规则策略和审计日志信息的功能,是访问控制、开通服务和身份管理服务的基础。金融企业可以通过SAP系统的HR模块实现员工信息管理,并作为最权威的员工身份源,保证员工、组织机构信息的真实性和准确性。 如果金融企业采购的企业套装软件不支持AD,将难以对身份进行集中管理。因此,身份和访问管理体系可以考虑对上述情况的控制。身份管理的基础是身份目录,结合目前金融企业的业务和办公域AD的使用现状,可以通过如表6-9所示的两种方案来实现企业级的身份目录。 表6-9 企业级身份目录实现方案 身份开通按照业务策略和规则,可将用户身份从权威账号源传播到目标系统自身的身份库,实现应用账号的集中开通,从而提高安全性,应用自动化的手段也可降低管理成本。集成的工作流提供一种自动化的方式来请求和批准身份管理变更,支持一致的业务规则和流程。业界领先的企业级身份管理套装软件都支持工作流功能,可实现如下功能:· 迅速、自动地将用户身份从统一的身份库传播到目标资源自身的身份库。 ·替代手工操作,根据集中的策略和业务规则来开通用户的账号。 ·集成可定制的审批工作流。 ·通过连接器(个别系统采用API调用)提供与应用系统的集成。 ·接口优先级。 统一身份管理应该优先整合易于整合的、基于标准的用户目录(如关系型数据库或LDAP、AD),或者提供了身份管理接口的套装软件,优先整合用户范围为企业、跨多个业务部门的应用。 对于业务相关关键应用,如核心业务系统,须评估接口复杂度、操作人员角色数量、业务部门的意愿等方面的因素后再确定是否集成到身份管理系统。 2.访问管理 访问管理提供用户的身份鉴别服务,为后端受安全保护的应用和数据资源提供认证服务和访问控制。访问控制可以通过提供认证/单点登录的解决方案,减少用户重新登录办理业务的复杂性,提高用户的体验。目前金融企业普遍已经建立了统一认证SSO平台,可以从认证服务和远程访问两个方面持续推进对新接入系统的支持。· 认证服务:对用户身份的真实性进行验证,认证服务负责通过对用户的Session进行安全管理,为用户提供单点登录,从而达成用户与企业内的应用和资源的无缝访问,而无须重新登录。针对安全级别为三级或四级的应用系统,可以对登录用户采用双因素认证的方法;对于用户从安全级别较低的系统通过单点登录的方式登录的情况,则可以进一步进行双因素认证。 ·远程访问:金融企业可以实现从VPN入口实现单点登录,远程用户成功登录VPN之后访问企业门户,无须再次输入用户名和密码即可以漫游的方式访问其他基于B/S架构的有权限访问的应用系统。 3.权限管理 权限管理根据金融企业的组织架构和人员设置,定义应用系统的角色和权限模型,实现应用系统权限的统一管理。权限管理是实现金融企业统一授权的基础。 (1)基于角色模型的权限 金融企业应用系统权限可以采用请求(Request)、角色(Role)和规则(Rule)相结合的统一管理方法,即权限管理R3方法论。R3方法论指出,一个用户在系统中的权限是由3个因素决定的。 为了支撑部门灵活的业务需求,建议金融企业以角色+规则的自动分配方式为主,将基于请求的方式作为有益的补充和辅助,满足用户在岗位职责之外开通系统权限的临时或特定的工作需求。三种方式相辅相成,使业务价值得到最大体现。 在金融企业实施部署统一权限管......

  1. 信息
  2. 前言
  3. 第1章 金融科技时代的网络安全问题
  4. 1.1 金融科技时代的安全挑战
  5. 1.1.1 新技术挑战
  6. 1.1.2 业务挑战
  7. 1.1.3 法规监管的挑战与实践
  8. 1.1.4 内部运营管理存在的问题
  9. 1.1.5 行业协同机制亟待建立或完善
  10. 1.1.6 关键供应链安全挑战
  11. 1.2 金融科技发展历程
  12. 1.2.1 金融科技的3个时代
  13. 1.2.2 以ABCD为标志的金融科技时代
  14. 1.3 金融科技的定义和影响
  15. 1.3.1 什么是金融科技
  16. 1.3.2 金融科技解决了什么问题
  17. 1.3.3 金融科技面临的问题
  18. 1.4 应对未来金融安全挑战的思路
  19. 1.4.1 传统金融安全实践
  20. 1.4.2 完善金融科技安全的工作思路
  21. 1.5 小结
  22. 第2章 安全的价值
  23. 2.1 信任的代价
  24. 2.1.1 黑客和存在漏洞的系统
  25. 2.1.2 个人征信数据隐患重重
  26. 2.1.3 跨境资金安全堪忧
  27. 2.2 衡量金融科技安全的价值
  28. 2.2.2 常用的信息安全价值衡量方法
  29. 2.2.3 金融科技安全价值定位
  30. 2.3 金融科技安全价值构建
  31. 2.3.1 保证安全与业务目标的一致性
  32. 2.3.2 安全价值构建步骤
  33. 2.4 金融科技安全价值构建及投资案例
  34. 2.4.1 面临的风险
  35. 2.4.2 整体执行
  36. 2.4.3 建设项目
  37. 2.5 小结
  38. 第3章 业务安全
  39. 3.1 如何理解业务安全
  40. 3.2 业务安全价值浅析
  41. 3.3 业务安全的实现
  42. 3.3.1 业务风险的分类及分段管理
  43. 3.3.2 从业务链路角度保障安全
  44. 3.4 业务安全体系的运转及与其他域的集成
  45. 3.5 小结
  46. 第4章 应用安全
  47. 4.1 概述
  48. 4.2 应用安全管理的科技需求和框架
  49. 4.2.2 端到端的应用安全管理框架
  50. 4.3 整体安全体系
  51. 4.4 整体安全架构
  52. 4.5 场景化分析
  53. 4.5.1 安全场景分类
  54. 4.5.2 威胁分析
  55. 4.5.3 安全控制库
  56. 4.5.4 安全控制级别
  57. 4.6 安全系统开发生命周期管理中控制措施的落地
  58. 4.6.1 安全系统开发生命周期管理概述
  59. 4.6.2 应用安全设计框架
  60. 4.6.3 安全设计技术要求库
  61. 4.6.4 安全设计组件/安全模块
  62. 4.7 开放银行与API安全
  63. 4.7.1 开放银行标准
  64. 4.7.2 API安全
  65. 4.8 小结
  66. 第5章 数据安全
  67. 5.1 数据资产面临的威胁和挑战
  68. 5.2 金融科技行业的数据及数据安全
  69. 5.2.2 数据资产估值和暗数据
  70. 5.2.3 如何理解数据安全
  71. 5.3 数据安全管理参考框架
  72. 5.4 解决数据孤岛和隐私保护问题
  73. 5.5 小结
  74. 第6章 网络安全
  75. 6.1 金融企业安全技术架构
  76. 6.2 分级保护原则
  77. 6.2.1 系统安全级别
  78. 6.2.2 网络安全域
  79. 6.2.3 数据安全级别
  80. 6.3 身份和访问管理体系
  81. 6.3.2 身份和访问管理目标
  82. 6.3.3 面向应用和数据的统一身份和访问管理架构
  83. 6.3.4 本地管理模式
  84. 6.4 网络边界安全体系
  85. 6.4.2 网络边界防护目标
  86. 6.4.3 边界防护措施
  87. 6.4.4 无线边界安全
  88. 6.4.5 合作机构边界安全
  89. 6.5 小结
  90. 第7章 移动安全
  91. 7.1 概述
  92. 7.2 移动安全的基本需求与应对策略
  93. 7.2.2 移动安全策略
  94. 7.2.3 企业的安全管理和运营能力
  95. 7.3 移动安全治理的核心要素及实施流程
  96. 7.4 身份与访问管理的原则与认证
  97. 7.4.1 身份与访问管理的原则
  98. 7.4.2 基于云的身份与访问管理中的6个认证方式
  99. 7.4.3 移动认证和多要素认证方案——Intercede
  100. 7.5 移动应用安全
  101. 7.5.2 移动应用安全生命周期
  102. 7.5.3 移动应用的安全代码规范
  103. 7.5.4 移动应用安全代码审核
  104. 7.5.5 移动应用的容器化安全
  105. 7.6 移动数据安全
  106. 7.7 移动网络安全
  107. 7.8 移动设备安全
  108. 7.9 小结
  109. 第8章 安全的用户体验
  110. 8.1 安全与用户体验面面观
  111. 8.1.2 CFCA对电子银行的调研
  112. 8.2 安全体验互动模式
  113. 8.2.1 UX和CX
  114. 8.2.2 技术接受模型
  115. 8.2.3 体验和安全的整合
  116. 8.3 金融科技领域的用户体验实践
  117. 8.3.1 蚂蚁金服的AUX
  118. 8.3.2 度小满的ONE
  119. 8.4 统一访问服务
  120. 8.5 小结
  121. 第9章 监管合规
  122. 9.1 概述
  123. 9.2 国内外网络风险监管法规
  124. 9.2.2 国际网络风险的监管法规与背景
  125. 9.2.3 国际网络安全实践的借鉴意义
  126. 9.3 国内外网络安全标准
  127. 9.3.1 国际信息安全标准
  128. 9.3.2 国内信息安全标准
  129. 9.4 重点领域的监管合规思路
  130. 9.4.2 GDPR下的数据安全体系
  131. 9.5 完善网络风险监管的工作思路
  132. 9.6 小结
  133. 第10章 金融科技发展展望
  134. 10.1 威胁的发展趋势和应对之道
  135. 10.1.1 凭证和身份盗用
  136. 10.1.2 数据盗窃和操纵
  137. 10.1.3 破坏性恶意软件
  138. 10.1.4 新兴技术是一把双刃剑
  139. 10.1.5 虚假信息
  140. 10.1.6 供应链安全
  141. 10.2 监管政策
  142. 10.2.2 金融科技规划
  143. 10.3 新的安全方法论
  144. 10.3.2 新的安全架构方法
  145. 10.3.3 平衡风险和信任的CARTA
  146. 10.4 小结

分享到:

相关推荐