文档介绍：目录
1 金融业信息安全的现状 5
2 银行业源代码检测的相关标准和要求 7
《信息安全等级保护基本要求》 7
信息安全管理体系要求(IDT ISO/IEC27001:2005) 7
支付卡行业数据库安全标准(PCI DSS) 8
网上银行系统信息安全通用规范 8
电子银行业务管理办法及电子银行安全评估指引 8
3 中国XXXX银行的软件安全现状 9
4 软件源代码安全扫描、审计和管理方案 10
解决方案组成 11
Fortify SCA源代码安全测试方法 12
输出结果 14
5 实施建议 15
方案概要 16
方案目的 16
使用模式 16
产品配置建议 17
6 FORTIFY SOFTWARE 应用软件安全方案给XXXX银行带来的价值 17
7 FORTIFY案例及业内位置 18
公司产品背景 18
部分中国客户名单 19
Gartner权威机构最新排名 19
8 附件一:OWASP应用安全TOP 10安全漏洞及控制措施示例 20
应用开发弱点的原始清单 20
跨站脚本攻击(Cross Site Scripting - XSS) 22
描述 22
控制措施 23
注入缺陷 23
描述 23
SQL注入攻击 24
控制措施 25
恶意文件执行 27
描述 27
控制措施 29
直接对象引用 29
描述 29
控制措施 30
跨站请求伪造(CSRF) 30
描述 30
CSRF攻击 32
控制措施 33
错误处理不当 33
描述 33
控制措施 34
失效的账户和线程管理类的威胁 35
描述 35
控制措施 35
密码存储 35
保护传输凭证 36
保护线程IDs 36
保护帐号列表 37
管理程序组件的信任关系 37
加密存储不安全 37
描述 37
确认存在加密存储不安全脆弱性 38
控制措施 38
通信不安全 38
描述 38
控制措施 39
无法限制URL访问 39
描述 39
控制措施 40
金融业信息安全的现状
从光大证券“乌龙指”到财付通多起账户被盗事件,互联网信息系统安全成为社会关注的重点。作为我国信息化前沿的核心行业,银行业的信息安全形势和自主可控体系一直是行业建设的重点。保障金融信息安全也更符合十八届三中全会《决定》“加强金融基础设施建设,保障金融市场安全高效运行和整体稳定”要求。
因此建立银行业自主可控信息技术创新战略联盟机制,推动落实信息科技外包风险联合监督平台和外包合作组织机制,并进一步加强统筹和引导,着力解决一些关乎全局、影响长远的问题提上了更好的议程。
“要牢牢守住信息安全底线。”中国银监会副主席郭利根在会议上强调,银行业信息科技工作要牢牢守住信息安全底线,切实开展科技顶层设计,深入落实“创新驱动”发展战略,深化银行科技工作体制机制改革,全面激发自主创新活力,以科技创新推动银行业发展转型,以科技引领提升银行业核心竞争力,不断增强风险抵御能力。
确保计算机系统和应用免受侵入和破坏是管理商业风险最为重要的一部分,每年企业都花了数百万美元的成本在计算机软件,硬件和服务方面去保护他们的IT系统,数据免受诸如病毒. worms, ,黑客攻击,我们期望花更多的预算去减轻我们商业应用系统的信息安全,但是结果并不是我们想象的那样,现目前我们的信息系统仍然处在不安全的境地,据IDC的统计,至少有75%的企业发现他们的系统被黑客成功地攻击过。我们已经建立了非常完善的认证系统、网络安全系统、入侵检测的防范措施,为什么我们的系统还是处在不安全的境地呢?通过全球的一些信息安全专家的调查和分析,他们得出这样一个结论:目前我们信息安全的主要问题:是应用软件安全问题,而不是我们通常所认为的网络问题,操作系统问题…….。这下面是来自Gartner Group 和NIST的分析报告。
“Over 75% of security vulnerabilities exist at the application layer,