« 移动银行安全和风险评估的思考 | 电汇Syetms和设备的思考 »

网上银行的安全评估因素

星期二, 2008年8月5日@上午10时38分| 银行和EFTPoS 安全

有人问我前一段时间什么样的事情可能被视为看银行 。

以下是名单中的事情可以考虑。 这只是一个大脑转储,因此,可能不完整。

不要低估的价值标准为您的基础设施,网站配置,数据库引擎配置/ 与发展/质量环境。

一些想法:

  • 许多人不锁定帐户后X登录失败,这通常是良好的客户服务,但使系统

-和所有其他东西的预期远被迫更老化等) )
-工具,如布使用蛮力破证会议。

  • 许多允许会话序列编号,以递增,允许经过验证的用户查看其他客户的会议。

-这些可能是服客户端,基于饼干等
-获取有人来检查的展方法和代码被使用。
-数据库查询字符串可以放入测试进入领域,允许表转储到浏览器。
-检查所有网页服务的安全性和控制的户认证标志。

  • 客户可能无法分开,这需要进行检查。
  • 客户不应该驻留在服务器 。
  • 数据库/ 数据不应该驻留在网络服务器上。
  • 数据库应该驻留在一个私人/半私人

-一个不同的部分主要银

  • 网络服务器应双穴或同等学历(一些VLAN的技术是好的)

-单独的私人和公共网测/备份/管理
-基础设施设置,明确拒绝入境/出境港口,私有I P&摆脱监测网

  • 的数据隔离点确保规则在赞赏的交通虽然这一点。
  • 所有的数据在可能的情况下应该是来自一个安全的后端数据库。

-这可能是一个分境。 即无主
-这通常允许交易实时显示给客户。
-许多交易可能会在现实中批处理。 (内部或外部银行)

  • 确保合适的规则已经设置的防火墙。

-应该有呼入和呼出规则的防火墙和过滤路由器。

  • 不允许任何基础设施的前端,使远程管理连接。 等)

-使用串行控制台端口连接到一个服端终务器。

  • 确保一个单独的质量保证/生产环境系统和合适的工艺已经到位。
  • 服务没有使用该系统活跃

-这些应该被禁用。

  • 端口扫描的基础配套设施(路由器/交换机) 服务器(星期日) 。

-调查的原因,所有打开的端口。

  • 不要使用的主要门户值得信赖的合作伙伴清除/的RAS /等)
  • 尽一切的标准IIS会检查和NT检查(示例脚本,变更管理, 的方法,等等)
  • 确保拒绝服务攻击的预防措施已考虑到所有的基础设施和设备。
  • 检查是否有足够的升级程序。

-查找实时监测和报警。
-查找责任矩阵。
-查找所有权的问题。

  • 考虑上游承运人(星期日) 拒绝服务攻击, IP欺骗, 黑客攻击等)
  • 考虑到社会工程的客户,行政,伙伴的帐目/系统/基础设施。

-求助的程序和政策和/或替代技术(主叫号码,网关的I P等) 。

  • 使用动态密码在可能的情况下( SecureID , TACACS ,等等) 。
  • 使用加密隧道在必要情况下( ,防火墙1 ,等等)
  • 考虑寻求其他客户 ,以加强现有的方法。

-数字证书, I P地址锁定的帐户,等
-考虑使用血航空母舰的行卡发行。

  • 考虑如何分配密码/更改客户。

-纯本电子邮件,电话等
-可以更改密码在线?

  • 是额外的使用部门之间的服务再次验证?
  • 考虑哪些客户获得一次验证。

-看迅时支付结算系统, 行间的转让, 得信贷卡等
-如果攻击者没有取得什么可以做什么?

  • 使用技术,以确保网页,客户详细信息,没有缓存在客户端系统。

-这是国旗,可设置在网页上。
-通常S SL是缓存,但一些代理厂商一直在玩技巧这样做。
-缓存的网页上的S SL客户端系统可以打开一些浏览器。
-5月银行使用的 ava(或类似)应用程序的所有客户互动,限制所有缓存的问题。

  • 确保纸张和网上赔偿责任的条款是可以解决所有影响的地区。
  • 确保客户在申请过程中负债减少。

-我见过的声明,如“使用这个系统在您自己的风险,责任承担任何责任或索赔不会. ... ..”
-不太客户为中心,但是这就是他们的法律部门的建议。

上述所有可以影响运作的银行系统。

其他的事情考虑:

  • 对外和支持该申请。
  • 所有权和管理的应用
  • 出版点的新内容(内部/私营/值得信赖的或Internet )
  • 拓扑结构的前端。即体系文件应在地点和适当的管理。
  • 电是有限的测试时,改变了环境? 即综合电到变更管理的过程。
  • 数据库的 这是缓冲,还是生活的核心
  • 什么设施提供? 转帐+ + + ... ... 。 考虑不同的方案为您的取决于功能。
  • 有哪些其它服务,共享内的部分互联网服务正在运行。 这可以被用来妥协的银行网站。 例如。 的支持/商务/ 具有不同 /简介。
  • 考虑到所有的外部支持服务,你电。 看内部/外部中毒的机会, 中继等什么新闻通讯社的,他们使用的任何机会或支持服务,可能会影响到银行 。
  • 根据规模的许多组织不使用相同的的基础设施和应用程序。 由于外部连接的基础设施可能提供了支持的组织管理基础设施。
  • 看看企业和身份验证的方法和路径(客户端证书,安全身份证智能卡等) 。 考虑因子认证和现代的用户 例如。 什么是您最喜爱的食物,除正常的用户名和密码。 这样做的系统管理人员使用动态密码( secureID等) ?
  • 见,如果银行的应用发送给用户的电子邮件可能包含有趣的信息。
  • 地进入应用一般都可以取得后, 即获得一个合法的帐户系统。 我已经发现,一些样品/行政屏幕已经限制身份验证的用户只。
  • 考虑到社会工程的服务台,有一个帐户

最近

  • 业余无线电和Radhaz
  • 安全应用开发的联系
  • 凯茜的学校-一所学校建设项目在柬埔寨。
  • 电汇Syetms和设备的考虑
  • 网上银行的安全评估因素
  • 移动银行业务安全和风险评估的考虑
  • 黑客需要的DNS补丁-严重的问题
  • 思科命令作弊表
  • 隐藏的Skype表情
  • 打破签证针

    • 您可以按照任何反应,这个项目通过2.0饲料。
    您可以留下一个回应,引用从您自己的网站。

    留下一个回复

    兼容:您可以使用这些标签: href="" title="">的<a <abbr title=""> <acronym title="">的<b> <blockquote cite=""> <cite>的<code> “删除日期时间= “ ” “的<em> <i> <q cite=""> <strike>的<strong>