51Testing软件测试论坛

标题: 客户信息,展示的太多就不安全啦! [打印本页]

作者: lsekfe    时间: 2020-11-18 10:29
标题: 客户信息,展示的太多就不安全啦!
一、客户信息安全性测试简介
  各行各业都普遍使用包含大量客户信息的系统,如果泄露可能会造成经济损失和不良社会影响。客户信息的泄露有多种途径,本文设计的客户信息安全性测试方法关注从系统的应用层面产生的泄露风险。比如,有些应用系统界面展现了较多的客户信息,有些界面具有导出、拷贝、打印功能,存在一定客户信息泄露风险。然而,有些界面展现的是系统内部分析结果、系统内部使用的客户标签数据,这些数据脱离系统本身,并不具有意义。一个客户信息应用系统往往包含较多的界面,不同应用界面展现的客户信息内容、数量等均不相同。哪些风险较高,那些风险较低,凭借主观经验判断很难精准定量分析。应用系统客户信息安全性测试正好可以解决这一问题,它采用定量评估方法,准确计算出每个展现客户信息应用界面的客户信息泄露风险值,取值范围在0至100之间,能够将风险量化为数值,便于定位风险、分级保护。
  二、建立评估模型
  想要通过计算机定量计算出客户信息泄露的风险值,先要建立一个评估的模型。这里,我们使用径向基函数(RBF)神经网络方法,具体实现通过以下几步:
  第一步:确定输入
  每个客户信息应用界面都包含如下一些特征信息:展现的客户信息要素的种类数量、展现的最多条数、精准查询定位功能、其他安全相关功能(如:打印、导出等等)。本方法需要将应用界面的特征信息抽象为特征向量。
  举个例子:可以将个人客户信息要素分为七类:
  (一)身份标识信息,包括姓名/名称、证件类别、证件号码及有效期限、手机号;
  (二)身份其他信息,包括座机电话、邮件、微信等联系方式、地址及照片等;
  (三)认证信息,包括密码、秘钥、动态认证信息等;
  (四)账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等;
  (五)财产信息,包括经营或收入状况、拥有的不动产状况、拥有的车辆状况、纳税额等;
  (六)信用信息,包括授信或信用卡额度情况、贷款情况以及客户在经济活动中形成的,能够反映其信用状况的其他信息。
  (七)其他信息。
  [attach]130717[/attach]
[attach]130715[/attach]
图1:客户信息系统应用界面

  以上是对个人客户信息系统应用界面提取特征向量的一种举例,实际应用本方法,可以根据情况调整,适应不同应用环境。
  第二步:建立训练样本
  本发明建立样本的方法采用调研法。首先制定出合理的评分范围,调研对象在评分范围内对样本进行打分。对于上文中对个人客户信息要素分为七类的方法,打分范围的规则如下:
  100分档至少包含以下信息组合之一:身份标识+认证;账户+认证。
  80分档至少包含以下信息组合之一:身份标识+财产;身份标识+信用;
  60分档至少包含以下信息组合之一:只含有身份标识;身份标识+身份其他;身份其他+认证;身份其他+帐户;身份其他+财产;身份其他+信用;
  40分档至少包含以下信息组合之一:认证+财产;认证+信用;账户+财产;账户+信用;财产+信用;
  20分档只含有以下信息之一:身份其他;认证;帐户;财产;信用。
  如某个样本满足80分档,需要结合特征向量其他维度取值情况主观判断确定80-99之间的具体一个分值。不同的调研者对同一个样本的打分可能不一样,这里采用统计学均值方法确定样本唯一取值。采用这种方法可以获得噪声相对较小的样本集。
  第三步:建立评估模型
[attach]130716[/attach]
图2:径向基函数神经网络

  径向基函数神经网络如图所示。其中输入层的大小为m,输出层的大小为1,隐层的大小为K。本发明采用非监督的机器学习方法,建立径向基函数神经网络主要包括以下几个步骤:

[attach]130718[/attach]
[attach]130720[/attach]
图3:建立评估模型流程图

  三、使用模型进行风险评估
  模型建立好后,我们就能够使用模型来评估客户信息泄露的风险啦,这种客户信息安全性测试方法,适用于客户信息系统对外展示级别的风险分析,可以分析计算每个应用界面的客户信息泄露风险值,适用于各领域的客户信息系统。通过较小的样本训练集可训练出成熟的神经网络,自动分析判断客户信息泄露风险,代替人工判断,减少人工分析的工作量及主观性。可以通过采用或者自动化的方法,

[attach]130721[/attach]






欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2