北京银行案例介绍

客户简介

北京银行股份有限公司(英文简称 BOB),原称“北京市商业银行”,成立于1996年,是一家新型的股份制商业银行,是中国最大的城市商业银行及北京地区第三大银行,雇有3600多名员工,通过其116家支行为个人与公司客户提供服务。同时,北京银行还在其覆盖网点设立了272台自动取款机,并建立了快速增长的电子银行业务,2016年8月,北京银行在"2016中国企业500强"中排名第163位。

北京银行
客户现状

随着互联网、专用网络化信息系统和各种网络应用的普及,网络与信息安全是保障北京银行业务安全稳定运行的关键因素,安全测试作为检验目标系统安全性最有效的服务,需要服务人员通过智能工具扫描与人工测试、分析的手段,来发现及识别目标存在的安全风险。安全测试服务的目的在于充分挖掘和暴露系统的弱点,特别是业务层面潜在的业务逻辑问题,从而让管理人员了解其系统所面临的威胁。

网站渗透测试

客户需求

① 系统漏洞和配置层面

需要对已知系统层面的漏洞和安全配置定期进行扫描、验证和加固,系统脆弱性大

② WEB层面安全

增强针对WEB层面漏洞的有效主动发现手段,如:SQL注入、跨站脚本(XSS)、XML注入、命令注入、代码注入、跨站请求伪造(CSRF)、失效的身份认证和会话管理、不安全的对象直接引用、敏感信息泄露等。

③ 建立增量测试环节

曾经已完成阶段性安全评估工作的系统一旦发生变更或功能新增,需要针对新功能模块的增量测试技术手段

④ 业务逻辑漏洞感知能力

提升针对业务逻辑漏洞的分析和验证能力,这类问题很难通过自动化工具扫描并识别,需通过有经验的安全服务人员全面了解目标系统的业务模式后,结合自身的专业技能才能发现

解决方案

选用产品

360渗透测试安全服务 360渗透测试安全服务

360安全测试服务人员通过独立研发的智能工具扫描与人工测试、分析的手段,帮助北京银行充分挖掘和暴露目标系统的弱点,在首次测试工作结束后对发现的问题进行安全整改,通过回归测试的方式验证加固工作是否切实有效,并结合后续安全意识培训进一步加强北京银行相关人员及系统的安全性。主要包含以下内容:

1、基于黑盒的远程渗透

2、基于本地的物理渗透;

3、漏洞和配置全生命周期监控;

4、安全意识培训;

方案价值及意义
① 进一步完善北京银行系统安全评估体系流程


② 结合业务系统特点进行评估


③ 提供特殊环境的评估测试


④ 多维度的安全评估视角