首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

企业安全建设之浅谈数据泄露

前言 数据泄露在每个公司都是很头疼的事情,大大小小的泄露事件也总是不期而至。本文结合我的使用经验从使用的层面介绍常见的数据泄露技术手段。...核心数据资产的定义 数据泄露是一个非常复杂的工程,投入再多人力也不为过,但是互联网公司的安全人力多是非常有限,所以大蛇打七寸,我们需要先定义清楚什么是核心数据资产。通常理解会包含以下几大类: ?...数据保护的生命周期 数据泄露需要针对定义的核心数据的全生命周期进行保护。 ? 数据泄露的协议栈为: ? 这并非一个严格的划分,只是便于把不同的数据泄露产品和方案进行划分。...设备级 0x01设备加密 设备丢失,主要是预防设备丢失后造成的数据泄露,最常见的就是U盘等移动存储,京东上一搜一大片。 ? 密码保护的: ? 指纹保护的: ?...网络级 0x01网络DLP 狭义的数据泄漏产品就是指网络DLP,这是一个经久不衰的安全领域,16年的gartner排名如下: ?

74230

企业安全建设之浅谈数据泄露

前言 数据泄露在每个公司都是很头疼的事情,大大小小的泄露事件也总是不期而至。本文结合我的使用经验从使用的层面介绍常见的数据泄露技术手段。...核心数据资产的定义 数据泄露是一个非常复杂的工程,投入再多人力也不为过,但是互联网公司的安全人力多是非常有限,所以大蛇打七寸,我们需要先定义清楚什么是核心数据资产。通常理解会包含以下几大类: ?...数据保护的生命周期 数据泄露需要针对定义的核心数据的全生命周期进行保护。 ? 数据泄露的协议栈为: ? 这并非一个严格的划分,只是便于把不同的数据泄露产品和方案进行划分。...设备级 0×01设备加密 设备丢失,主要是预防设备丢失后造成的数据泄露,最常见的就是U盘等移动存储,京东上一搜一大片。 ? 指纹保护的: ? 密码保护的: ?...总结 数据泄漏是个非常复杂的系统工程,任何技术手段都不能确保不被绕过,必要的技术手段可以提高门槛,最后的落地强依赖于公司相关数据安全管理策略的执行,常说的七分管理三分技术在这里非常合适,数据泄露工作很重要的一个就是安全意识教育

2.1K80
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    国家专委会发布网站漏洞分析报告:高危漏洞占比6.2%

    一般而言,利用跨站脚本攻击,攻击者可窃取会话COOKIE从而窃取网站用户的密码等隐私数据。 对于SQL注入漏洞,攻击者可在易受攻击的系统上执行任意SQL语句,损害数据库的完整性和暴露敏感信息。...根据使用中的后端数据库,SQL注入漏洞导致攻击者不同级别的数据和系统访问。不仅可以操作现有查询,还可以在任意数据中联合,使用子选择或附加查询。...其它例如弱算法漏洞,一定条件下,密文可以被破解得到明文,通过拦截正常的网络通信数据,并进行数据篡改和嗅探。如果用户登录存在该漏洞网站或使用相关软件,用户的信息和提交的数据请求可能被篡改或泄漏。...对于用户凭证明文发送漏洞,用户传输的账号、密文或者身份验证码未加密传输,通过拦截正常的网络通信数据,并进行数据篡改和嗅探,可直接获取,导致信息泄漏和账号密码被盗。...亚洲财经网是我国第一家立足国内,辐射亚洲,致力于打造亚洲地区最具影响力的全金融门户网站;是一个集合金融征信、大数据应用的金融服务平台,是一家以互联网金融产品为主题的UGC聚合互动平台。

    68370

    巨头“去金融化” 打的什么算盘?

    更有意思的是,就在很多人尚未搞清楚二者概念之时,曾经的代表公司——蚂蚁服、百度金融、京东金融近期又开始嚷嚷,“我们是科技公司,我们不是金融公司。”...其实,在更早前,蚂蚁服也有过类似的表述。2017年4月,蚂蚁服曾对外宣称:“目前申领牌照所从事的金融业务,目的并不在金融本身。...且不论蚂蚁服、京东金融、百度金融、腾讯金融等这些“独角兽”企业之间的竞争将如何精彩,如今连传统银行也已扛着“科技”的大旗杀入进来。...“百度和中国农业银行的合作,从金融大脑的建设开始,已在大数据风控和智能获客等方面展开全方位的合作。双方建立了金融科技联合实验室,有一些金融科技已在农行的产品中应用。”朱光举例称。...蚂蚁服则在此前对外表示,今年将探索开放花呗、借呗业务,尝试与银行等金融机构合作。近年来,以平台开放的形式与基金公司、保险公司进行合作已成蚂蚁服的常态。

    47620

    全球首款万兆数据泄露产品什么样

    二、全球首款万兆DLP 传统安全技术最大的问题就是,没有任何一家公司能解决所有安全设备的智能联动,传统技术必须升级,而DLP是数据保护的最后一道防线。...以国内某70万员工的大型国有企业为例,为了解决内部数据泄露问题,上了一个投入高达2500万元的项目。由于带宽可达十几个G,仅监控就需要200台设备,而客户的出口路由才几十台。...本次发布会现场发布的DLP产品最高可达万兆性能,而且与洋品牌相比,不仅在性能上远超同类产品,还可做到与WAF/防火墙联动、帮助管理层了解信息资产的使用情况和对敏感数据高度可靠的拦截。...据了解,天空卫士已经和中国最大的云服务商开始合作,以保护云上大量中小企业的数据资产。 ?

    35010

    专委会:金行业仍存盗号、钓鱼欺诈等高危漏洞

    互联网金融信息系统在运行过程中一旦发生数据泄露、盗取、篡改等事件,会使各方蒙受巨大损失,甚至影响经济和社会稳定。近期,国家互联网金融风险分析技术平台对互联网金融行业的网站漏洞情况进行了抽样分析。...一般而言,利用跨站脚本攻击,攻击者可窃取会话COOKIE从而窃取网站用户的密码等隐私数据。 对于SQL注入漏洞,攻击者可在易受攻击的系统上执行任意SQL语句,损害数据库的完整性和暴露敏感信息。...根据使用中的后端数据库,SQL注入漏洞导致攻击者不同级别的数据和系统访问。不仅可以操作现有查询,还可以在任意数据中联合,使用子选择或附加查询。...其它例如弱算法漏洞,一定条件下,密文可以被破解得到明文,通过拦截正常的网络通信数据,并进行数据篡改和嗅探。如果用户登录存在该漏洞网站或使用相关软件,用户的信息和提交的数据请求可能被篡改或泄漏。...对于用户凭证明文发送漏洞,用户传输的账号、密文或者身份验证码未加密传输,通过拦截正常的网络通信数据,并进行数据篡改和嗅探,可直接获取,导致信息泄漏和账号密码被盗。

    67470

    协会P2P大数据揭示的网贷趋势

    数据来源:中国协会、麻袋研究院 3、在贷余额与累计借贷金额不相关 从在贷余额与累计借贷金额所呈现的散点图可知,各网贷平台这二者相关系数仅0.3,并不呈现明显的相关性。...数据来源:中国协会、麻袋研究院整理 从历史数据看,陆服可谓一枝独秀,几乎没有受到各种现金贷政策、网贷政策的影响。...数据来源:中国协会、麻袋研究院 (2)红岭创投、陆所表现优异 从绝对值看,红岭创投涨幅最大,从2017年7月2537亿增长到2018年3月3472亿,月均增长近93亿。...数据来源:中国协会、麻袋研究院 此外,从历史数据可知,与头部平台大部分保持增长不同,在贷余额排名靠后18家的平台基本上保持递减趋势。 ?...资料来源:中国协会、麻袋研究院 总结 从数据上看,即使是中国协会会员,尾部平台也在苦苦挣扎,在贷余额仅1亿左右,盈利之路更是遥遥无期,但是合规平台、头部平台业务却在快速增长。

    69520

    金融科技化:徐徐开启的后时代画卷

    相对于简单相加,金融行业或更需要深度改变 智能科技加入风控环节、大数据强化风险管控、人脸支付优化支付体验……这些新的方式与金融行业的融合都有一个很大的特点,这个特点就是基于金融本身,借助新的技术,从而让金融发生了最本质的变化...:利用智能科技进行风控,减少了传统时代人工搜集资料风控的低效和纰漏;大数据加入风控的环节,拓展了传统风控的行业界限,让风控更加科学和全面;基于生物识别技术的人脸支付,解放了支付对于手机的依赖,让人们的消费更加便捷...当前,无论是以蚂蚁服为代表的互联网金融巨头,还是以京东众筹、聚米众筹、苏宁众筹为代表的互联网金融新锐都在试图通过深度参与到金融行业当中来改变互联网金融仅仅只是“互联网”和“金融”两种元素简单相加的现状...比如,智能科技可以和金融行业融合产生智能投顾、大数据能够与金融行业融合进行风险评估、人脸支付可以让支付环节更加轻松便捷……新技术的不断涌现以及与金融行业结合产生的新应用都让我们看到了金融行业在未来能够有更大的发展空间...这些技术本身就带有金融属性,这些技术在应用的过程当中能够对金融行业产生更加直接的推动作用,比如区块链技术就是一个产生于金融行业本身的技术,借助它能够降低企业的的运行成本,促进行业更好地运营;比如信用积分体系为主要表现形式的大数据技术

    59180

    Redis 在核心账务系统中的场景实践

    在这种背景下,如何应对当下互联网金融账务核心应用的高并发、海量数据快速计算、数据结果急速响应的需求,Redis的使用提供了较为出色的解决方案,通过将数据和请求分布到不同的节点,实现水平扩展和负载均衡,进而提供高并发数...、数据吞吐量和快速响应的能力。...它引入了哈希槽的概念,支持动态添加或删除节点,可线性扩展至1000个节点,多个Redis节点之间数据共享,部分节点不可达时集群仍可用,数据通过异步复制,不保证数据的强一致性,具备自动FAILOVER的能力...redis7.png (2)对Redis进行全局数据化处理,基于Redis内存高读写高QPS的特性,解决热点数据的高并发问题。...我们的缓存数据交换逻辑图如下 redis12.png 经过排查,发现数据库CPU飙升因为查询量激增,按照我们的数据交换逻辑来看,当客户端请求在Redis命中直接返回,如果MISS才去数据库查询,查询结果返回的同时将数据回写至

    1.4K22

    公司的AI野心,还要经历几重考验?

    数据不足、经济周期的复杂性等制约智能风控 毫无疑问,风控是金融领域最适用AI技术的环节,也是迄今为止收获最大的环节,借助大数据和AI技术,通过分析各种与信用弱相关的行为数据,形成风控能力,公司可以为缺乏足够信用数据的群体提供借贷服务...,虽然衍生了一些问题,但无可否认智能风控是十年以来的最大收获。...通过AI构建风控能力,公司得以实现借贷业务的拓展,形成收入和利润。 智能风控带来的变革已经不用多说了,各种研究浩如烟海。...不过智能风控的主要应用还是在消费信贷领域,在服务于实体经济中的生产环节方面,以及AI都还缺乏作为。...以质检机器人为例,公司需要确保从获客到风控再到客服每个环节的对外信息输出是准确的,这就要检查客户经理、客服人员的语音服务记录,工作量非常庞大。没有AI技术就没法做完全意义上的质检。

    51650

    账户系统如何应对高并发、热点账户等问题

    账户系统的特点是并发量大、响应快、交易金额大,热点账户问题突出。一个合格的账户系统既要解决上述问题,又必须绝对保证资金安全。...设置记账订单重表,按照请求单号和机构号对记账请求做幂等性校验。 采用复式记账法,按照会计规则按照借贷记录流水,有借必有贷。 记账处理时,更新账户余额后同步返回结果给业务系统,异步的处理记账流水。...记账时,所有涉及的账户余额都要做update更新,高并发情况下,当出现上述类型的热点账户时,由于数据库的行级锁,对同一账户的更新余额操作由并行变成串行,单个请求的响应时间变长,从而拖垮整个记账服务。...2.2 账户系统存储层架构 宜信支付结算账户系统数据库采用Mysql,缓存采用redis。 Mysql数据库采用主从架构,一主二从,主库向从库同步数据。...针对一些数据量大的表进行分表,比较有代表性的是账户流水表,既要按账户维度查询,又要按时间维度汇总,所以针对这个特点,冗余了一张表,一张按照账户分表,一张按照日期分表。

    5.8K52

    “一个人”的企业安全建设总结

    正好赶上支付牌照的认证,企业的监管机构太多了,等级保护,PCI DSS,ADSS,中认证,人民银行…… 于是,为了应对检测,先把现有制度熟悉了一遍,长远考虑,打算重新搞一套符合各位大爷的制度,在原有不熟悉的制度上改造不如重新做...ps,企业更重视结果的记录,因此在做类似系统变更、补丁修复这样的操作时候要有记录,无论纸质或者电子的。...数据库真心不太懂,而且我们有oracle、mysql、SQLserver、mongoDB,核查下安全基线关注下漏洞动态…比如启动数据库的账号权限,数据库内的默认账号,生产库账号限制,访问权限限制。...但是对于数据安全,企业对其要求极高,数据的存储、加密、传输、备份恢复都有严格要求,按照监管机构的要求去做就好了╮(╯▽╰)╭ ps,作为企业,对灾备切换极其重视,因此每年的灾备演练要确实去做。...AI:先看书学习吧 > < 业务安全:金行业对业务的功能要求蛮多的,而作为企业,风控是一个重点工作,我不清楚大的互联网公司风控和业务安全是如何归属,但是业务安全做得好,防止企业利益受损,是看的见的收益

    1.1K80

    整治要求企业退出比特币挖矿 部分矿场仍生产

    2018年1月2日,互联网金融风险专项整治办工作领导小组(以下简称整治办)下发文件,要求各地引导辖内企业有序退出“挖矿”业务,并定期报送工作进展。...根据通知文件,整治办要求各地整治办填报辖内“挖矿”企业有关情况。具体包括矿机数量、耗电情况等企业基本情况、营业收入、纳税情况等营收情况,以及执行电价、场租情况等享受优惠情况和环保、安检情况。...实际上,在整治办下达文件之前,市场上就曾传出风声,称“央行1月3日召开闭门会要求限期关停比特币矿场”,后被证实为不实消息。...矿场尚未接到通知 根据火币旗下区块浏览器数据显示,中国的比特币算力在全网中占比约为64%,尤其在中国西南、西北地区都存在不少比特币矿场。 监管趋严,将对比特币矿场的经营者们产生何种影响?

    66960

    从巨头搭建开放平台,看2.0时代的到来

    在我看来,这一观点并不充分,金融强监管只是提前开启了巨头们的转型之路,从更深层次的驱动因素看,巨头向开放平台的转型却是迟早的事情。...1.0:得场景者,得天下 1.0阶段,互联网金融与传统金融更多地属于竞争关系,直接的诱因是传统金融机构不能很好地满足互联网新业态及其用户的金融需求,于是互联网巨头开始自己下场干金融。...传统金融产品与产品之间,看上去是体验的差距,本质上则是场景的差距。在1.0阶段,得场景者,得天下。甚至一度有段时间,场景金融成了互联网金融的别称。...对于巨头而言,依托自身的差异化资源禀赋,去吸引在特定环节拥有差异化优势的合作伙伴,共建开放平台,协同发展,有望成为2.0阶段的主流模式。...具体来看,蚂蚁服、腾讯、苏宁金融等场景性巨头,依靠在场景、客户、数据等方面的竞争力;建行、工行、招行等银行业巨头,依靠在客户、资金、资产等方面的竞争力;度小满(百度金融)等科技巨头依靠在客户、数据、技术等方面的竞争力

    43530

    “一个人”的企业安全建设总结续篇

    二、2018 这一年集团出现大的变动,公司也受到影响,安全所负责的业务仅仅只有支付牌照下的四个业务了(之前还有P2P、大数据、电商),本来这一年要做蜜罐和SDL,全部泡汤了,但是SDL也算是积累些内容,...需求分析针对金行业主要是合规、数据安全以及漏洞风险,不过由于开发流程上的设计,目前还没有安全需求这块,就是夹杂在安全设计里面,在项目初期评审会上提出来。...基线更新,把系统、网络、数据库的基线全部用思维导图方式搞了一遍,大家也比较认可,看起来直观方便,加固的内容参考CIS的基线,然后结合之前遇到的问题进行了整合(sudo禁止了vi,vim,find等,/etc...客户端服务端认证 ossec-agentd 客户端进程 ossec-agentlessd 未安装客户端的系统上完整性检测 ossec-integratord 外部API、报警的连接 ossec-dbd 报警日志插入数据库...管理可以参考上篇文章目录去做,技术上,划分安全域、设置访问控制、能检测入侵和病毒,每个设备、终端有一些密码、账号、访问的策略,有个统一的日志收集平台做日志审计,数据和设备的备份冗余、敏感数据的处理、传输存储加密

    1K20

    响铃:AI等智能科技风靡,金融科技企业如何借翅高飞

    在此期间,几乎所有的企业要么强调金融科技驱动,要么转型金融科技企业;传统金融机构也来“凑热闹”,开始高喊大数据,区块链等,央妈也宣布成立金融科技委员会。一时,金融科技成为金融界最热词汇,没有之一。...1 智能科技成为金行业的新门槛,新想象力 现如今,在移动互联、大数据、云计算、人工智能等技术的逐步使用下,金融的底层基础设施正在被深刻改变。...如凡普科的大数据动态风控系统FinUp云图,该系统能够有效链接内外多元数据,通过机器学习和自然语言处理形成一个用于风控的完整知识体系,从而在数据获取、反欺诈引擎、数据处理与分析、个人数据动态更新、事后标签反馈等关键业务环节...同样以凡普科FinUp云图系统为例,其能够把生活中涉及到的方方面面数据都收集起来,进行独特的大数据处理和分析,转化成客户画像,并且通过将图谱知识与深度学习相结合,模仿人类大脑行为,自动发现隐藏在复杂关系里的风险点...如凡普科还拥有智能反欺诈系统,对包括设备指纹,LBS数据,用户授权的交易记录,通话记录等上千维度特征通过非监督的高维度的图模型,自动查找异常的关联规则。

    35420

    云CEO许瀚丹:利用大数据构建金融风险控体系

    如何将大数据技术运用于金融风险防范工作中,构建起风控防御网?本文作者结合能云的运作实际,与大家分享了大数据技术在规避金融风险中发挥的价值。...看到这个消息,对我们能云是个很大的提振,因为我们的优势在于利用大数据技术进行金融风险控。...那么如何将大数据技术运用于金融风险防范工作中,构建起风控防御网?以下我将结合能云的运作实际,与大家分享一下大数据技术在规避金融风险发挥的价值。...能云对全球能源项目近10年大数据预防性维护进行分析,并依靠在国内近9吉瓦,超过5年的电站运营和系统运行实践,依托基于实时大数据的商业智能分析和挖掘及机器自学习技术,为光伏电站投资者提供包括覆盖全国范围的全寿命周期电站资产价值趋势走向数据库和项目投资泛风险评估评价系统在内的...2.风险控体系的搭建要注重理论与方法的结合,有视角、有方法、有落脚点 我将能云的风控体系归结为三个字: “论”、“法”、“点”,“论”是指方法论,风险控制要以规避为主,控制为辅为指导思想,将风险透明

    1K40
    领券