V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
banksiae
V2EX  ›  程序员

互联网企业风险控制都有哪些内容

  •  
  •   banksiae · 2017-04-14 16:04:53 +08:00 · 2224 次点击
    这是一个创建于 2787 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近准备启动企业风险控制方面的系统,主要是安全方面的,但是对风险控制这块不太懂,有没有了解的大侠,求指点一二。
    我觉得应该 涉及 硬件资产、数据资产、产品安全管控什么的。
    有经验的同学,指点指点啊
    5 条回复    2017-04-17 10:56:13 +08:00
    banksiae
        1
    banksiae  
    OP
       2017-04-14 18:00:19 +08:00
    还有人啊?
    Crabby
        2
    Crabby  
       2017-04-14 18:49:33 +08:00
    座标广东深圳. 要做安全风险评估.
    广东这边获得安全风险评估资质的就 3 家: 总名单在这里 http://www.cace-ns.org.cn/pdzx_3907/fxpg/xxgg/index.html
    我们要做 2 级评测, 这是我从评测公司那边拿到的要准备的信息
    业务日志: 应包含如下:
    业务日志包括:用户登录、注册、修改登录密码、找回登录密码、修改交易密码、找回交易密码、注销、绑定/修改个人认证信息(身份证、银行卡、手机号码、邮件)、交易记录(订单记录、投资记录)等。
    后台管理的日志必须包含除查询外的所有日志(覆盖以下内容:登录、修改密码、修改用户信息、发标等)
    业务日志的格式:用户名/管理员 ID 、时间、 IP 、操作模块、动作、结果(成功、失败、异常)、备注等
    业务日志中不能包含敏感信息(如有,必须模糊处理),保留期限需大于 180 天,需要以 web 页面的形式展示,可以根据对应的用户名/管理员 ID ,时间、操作模块、结果等进行组合搜索
    业务日志存储位置:
    文件:需限制只能写入和读取,并且除指定账号外,其它账号不能访问
    数据库:需设置权限只有读取和插入
    业务日志和非法关键字过滤系统的账号给管局外部访问用。(给通管局查询
    Adyme
        3
    Adyme  
       2017-04-15 17:41:54 +08:00
    企业风险控制和互联网风险控制不太一样吧
    banksiae
        4
    banksiae  
    OP
       2017-04-17 09:49:29 +08:00
    @Crabby 拿到日志之后的动作,主要是什么呢? 日志分析,还是风险告警,权限控制啊
    Crabby
        5
    Crabby  
       2017-04-17 10:56:13 +08:00
    @banksiae 我还不太清楚. 他们明天过来.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   960 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:14 · PVG 04:14 · LAX 12:14 · JFK 15:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.