《浅谈互联网出海的安全挑战与应对-李广林.pdf》由会员分享,可在线阅读,更多相关《浅谈互联网出海的安全挑战与应对-李广林.pdf(22页珍藏版)》请在三个皮匠报告上搜索。
1、安世加安世加安世加安世加安世加安世加李广林 浅谈互联网出海的安全挑战与应对安世加安世加安世加安世加安世加安世加目录01互联网出海安全概述02主要安全挑战03应对方案探讨04未来展望安世加安世加安世加安世加安世加安世加互联网企业出海安全概述01安世加安世加安世加安世加安世加安世加不同地区的互联网安全环境对比 成熟市场 法律严格 基础设施完善 对安全重视北美欧洲 重视隐私 相对北美更具多样性 监管挑战更多 整体偏保守中东 文化敏感性 地缘政治复杂性 关键基础设施高风险 网络攻击频繁 政府行动积极 人口结构年轻化 文化多元 基础设施参差不齐 大国博弈主战场 数字经济发展迅速东南亚安世加安世加安世加安
2、世加安世加安世加国际数据安全法律与隐私政策的多样性国家或地区主要法律特点北美CCPA SHIELD HIPPA GLBA立法依赖于各州与行业欧洲GDPR 英国DPA 德国BDSG爱尔兰DPA 各个国家在GDPR框架内提供额外的指导和要求,爱尔兰DPC监管力度较强中东阿联酋FDL 沙特PDPL埃及 巴林PDPL 科威特PDPL暂未见到公开的执法案例中东地区的立法进程在不断加速东南亚/印度新加坡 马来西亚 泰国 PDPA越南PDPD 印度 DPDP 2023新加坡的立法与执法体系最为成熟共性特点 数据主体权利进行DPIA数据控制者和处理者的义务数据泄漏通知设置DPO充分同意获取数据本地化要求数据跨
3、境传输安全要求单独的监管机构较为高额的处罚立法更新与适应性安世加安世加安世加安世加安世加安世加出海面临的主要安全挑战02安世加安世加安世加安世加安世加安世加海外业务遭遇的安全攻击比国内同等规模业务多70%以上海外威胁情报的精准度不足出海经常需要部署多个云,多云环境的安全管理难度增加对海外办公区的把控不足对海外员工的安全控制力不足内部系统通过VPN连接难以满足业务对延时与稳定性的要求跨境网络安全问题安世加安世加安世加安世加安世加安世加多数国家的法案要求数据本地化海外合规成本整体较高,业务投入意愿CCPA GDPR等法案要求严格,处罚力度高多数法案均限制敏感数据跨境流动业务发展经常需要分析用户数据
4、海外基础设施成本整体较高跨境数据安全与隐私合规问题安世加安世加安世加安世加安世加安世加与国内相比,虚拟交易中存在币商,交易占比大对抗性强。VISA Mastercard 等允许180天甚至更久的拒付,造成直接资损拒付原因可能是商品描述不符,欺诈等第三方平台可能会延迟结算活着拒绝结算拒付原因可能是服务未让持卡人满意,会直接造成经济损失拒付率升高会受到卡组织警告,罚款甚至支付通道关闭海外黑信用卡产业链成熟,欺诈风险是国内的万倍以上海外支付安全问题除VFMP之外,VIRP BRAM等规定了商品合规性如果商品侵权或者违法,可能面临罚款甚至支付通道关闭 VFMP 的部分内容p VFMP包含特定的阈值,商
5、户的退单拒付达到这些阈值时会触发p 达到阈值的商户可能会被Visa置于高风险MCC中 VIRP的部分内容p 存在三个高完整性风险层级,有相应的尽职调查要求p 存在高风险的MCC需要接受Visa指定的控制评估安世加安世加安世加安世加安世加安世加业务发展与安全风险之间的平衡业务发展阶段安全合规是否要跟上业务发展到什么阶段,需要对齐安全要求标准在业务中产生大量流水的币商,有可能欺诈拒付风险更高安世加安世加安世加安世加安世加安世加应对方案探讨03安世加安世加安世加安世加安世加安世加网络安全方面MRREDIS数据存储处理GitLabWebhookHASH存储AST解析 噪音去除API 提取API状态更新
6、更新Hash一致性判断自动化监控PHP 和JAVA APIelasticsearchURL去重引擎/SOC API 检测监测页请求参数类型识别核心接口列表核心接口合规配置异常检测引擎业务数据关系请求链路分析QueueAPI Gateway route ruleRequest Response body安世加安世加安世加安世加安世加安世加网络安全方面 将需要全球化办公访问的系统置于远程浏览器中 对海外员工和办公地进行准入限制与终端安全检测 替代传统VPN员工外包合作伙伴访问内部系统本地系统云上系统远程访问流量代理与防护基于身份和行为的访问策略RBI类方案安世加安世加安世加安世加安世加安世加数据安
7、全方面对流量进行参数级加密安世加安世加安世加安世加安世加安世加数据安全方面客户端埋点服务端日志数据库文件业务后台存储用户终端数据传输数据集成数据存储中心数据仓库数据应用数据加工数据加工数据流通数据服务数据流通大数据 数据分类分级管理 数据分类:用户隐私敏感数据通用数据 数据分级:机密加密重要普通 流通范围:团队部门业务整体 审批流程:业务部门-安全部门-数据部门 用户隐私 脱敏 敏感数据 整体机密 整体性加密 部分机密 字段加密 部分重要 分区,分字段权限 通用数据 表级别权限 所有数据表权限均需流程审批安世加安世加安世加安世加安世加安世加包括VISA VFMP VDMP Master Car
8、d EFM 与ECP 等 完善与严格的kyc准入流程支付安全问题应对设备网络环境异常检测安世加安世加安世加安世加安世加安世加支付安全问题应对 风控工作流Ios充值谷歌充值他人代充checkoutstripepaypal充值方式前置风控设备ip账号活跃特征注册特征历史充值送礼特征所在地区充值货币外界反馈设备检测舆情检测交易频率限制用户属性判断情报运营风控处理充值阻断隐藏入口验证码短信图形验证银行卡验证退款处罚退款账号账户冻结扣除金币账号封禁关联退款风险账号支付id关联设备id关联银行卡关联收益账号处罚收益账户冻结扣减违规收益单独补款活动限制银行卡设备风控黑名单库人工审核安世加安世加安世加安世加安世加安世加未来展望04安世加安世加安世加安世加安世加安世加未来展望安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加关注我们安世加 专注于网络安全行业,通过互联网平台、线上线下沙龙、峰会、人才招聘等多种形式,致力于创建亚太地区最好的甲乙双方交流学习的平台,培养安全人才,提升行业的整体素质,助推安全生态圈的健康发展。安世加安世加安世加安世加安世加安世加