金融行业的案例分析_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
金融行业的案例分析
上传于||暂无简介
大小：67.00KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢金融毕业生及参加CFA考试的就业前景分析
山西人事考试网 简单可依赖的山西省人事招聘信息网！
您当前的位置： >
　　关于金融专业的学习，CFA的优势，以及考完后金融行业就业状况如何，本文将目前金融行业分为四大类，分别对以下四类公司的从业就职以及日后发展前景进行了分析，希望对各位金融行业求职者有所帮助。
　　对于金融毕业生来说，毕业后能进入行业监督管理部门做公务员应是首选。首先，中国金融学是立足于宏观经济学，基于金融市场宏观调控，专业应用较易入手，政策把握比较到位;其次，在行业管理部门做上三五年再入行到实践机构至少能给个中层以上的职位。其局限在于：要进入这几个行业主管部门难度较大，可能还需要背景依托。除非有的职位报考要求就是硕士以上，否则，大家都只能通过考试&进阶&，只要专业功底厚实，总还是有机会的。
　　一、国有四大商业银行、保险公司：待遇一般，积累经验的好平台
　　这是目前金融专业毕业生的最主要去向。每年都会有各大银行、保险公司来各学校招聘，一般都以笔试+面试的形式。
　　金融毕业生进国有银行大都不是最终选择，而是为了在一个进入门槛比较低的平台积累经验。在具备一定的银行业从业经验、专业背景后，到股份制商行或外资银行驻华机构的可能性会成倍增大。我的几个大学同学起初就是投身于国有四大行中，在城市股份制商业银行迅速发展起来之后，纷纷跳槽，并成为城市商业银行、股份制商行的中坚力量，很多成为中层管理人员，少数成为高层领导。城市商行、股份制商行的灵活务实、不论资排辈的干部任用方式，使得四大行成为其专业人才的&黄埔军校&，至今这种情况仍在延续。虽然国有四大行有一些遗留的官僚积习，但其稳定的收入，较轻的压力，较高的福利水平还是有一定吸引力的，尤其对于女同学来说是个不错的选择。建议对四大国有商行感兴趣的朋友把专业方向集中在商业银行经营管理、国际金融、货币政策等方向上。
　　货币市场(Trading Desk)这类美差很难轮到新人不说，即使让你摊上了，最长见识的决策都是由Leader做出，你很难得到核心的经验。刚毕业的学生进银行，首先分配到手上的工作一般是柜台和信贷业务。综合来说，这是一项具有挑战性的工作，银行部门都属于业务部门，如果你有抱负的话，那就非得从信贷业务或会计业务一步一个脚印慢慢来。在学校里边，我们能准备的，主要有授信报告的撰写和一般企业的贷款风险点以及风险评估，甚至分析防范措施。
　　另外，很多银行对员工有这样的要求：拉存款。这是一项能充分考验社交和协调沟通能力的任务。银行业激烈的竞争&惯&坏了很多企业客户，对账单都是由信贷员每天亲自送上门，说穿了呢，就是银行希望能通过这种小事使客户更能感受到优质服务，从而与客户建立感情上的联系，从而使客户把更多的钱存到银行里来。很多同学还将对银行工作的看法停留在十年前的&等客上门&，恐怕在面试时遭遇尴尬。鉴于银行从业现状，建议同学们跟市场营销专业的同学一样，多在学校锻炼沟通、说服技巧，并且做好吃苦的准备。
　　保险公司可以参照对商业银行的分析。做上数年，有保险营销、风险管理经验之后，在国内股份制保险机构迅速成长、外资保险机构进入的契机下，还是大有可为的。保险精算专业是非常吃香的。社保中心以及财政审计部门等是养老的地方，稳定有余，灵动不足，当然，希望获得稳健回报的朋友不妨作为一个选择来考虑。
　　二、 政策性银行、四大资产管理公司：待遇优厚，行业发展前景不明
　　其工作性质类似公务员，金融业务并不突出，是靠政策吃饭的地方，对于个人职业生涯的益处相对于行业监管部门、商业银行来说还是较弱的，若想在金融领域成一时气候最好不要选择这样的单位。不过目前这类单位的工资水平待遇等比商业银行好，而这也成为吸引毕业生眼球的亮点所在。政策性银行职位一般是由招聘单位组织考试，大家可从本校就业指导办得到该类考试时间等信息。四大资产管理公司类似于政策性银行，目前其设立之初的目的和作用在逐渐消退。金融租赁、担保这个行业发展迅速，可以考虑进入，当然，如果有在银行、证券的从业经历，进入到这个行业中应该更有作为。进入四大资产管理公司，需要硕士生和特别优秀的本科生，而且一般要求拥有六级以上英语水平。
　　三、证券、信托、基金类公司：和行业一样有风险，亦有丰厚回报
　　这三家均是靠风险管理吃饭的，存在行业系统风险因素，但一旺俱旺，赚钱相对较易，短期回报较高(风险亦大)，且按真正的企业管理机制运行。如果想在专业方面有所发展，有所建树，在这一行业做是极佳选择。
　　很多基金经理、投资银行经理人员都年薪过百万。难点是学历要求在逐步提高，最低要求硕士学历，相对于银行等金融机构其个人投资管理、金融运营能力要求更高，如果对这些行业有兴趣，可以选择证券投资、金融市场、金融工程专业方向，这也是不错的选择。三家当下用人思路是积极&挖角&，在金融行业内人员流动性最强的当属这三家。有志于风险管理、终日奔波、常年胃痛、居无定所的&精英人才&不妨选择这个行业。当然，调侃之余，不能否认，这个行业给你的回报与投入相比还是成正比的。建议男同学选择此行业，应该更有发展。上边说的是该行业诱人的地方。也有不少在&围墙&之内的朋友觉得欲罢不能：例如证券业经过前几年的风光以后，裁员降薪都已经进行了好几轮，加之国内股市疲软，从业状况也就跟着不景气。因此，想往这几个行业发展的同学一定要看清现状，最好是能在毕业前找一家此类公司实习，充分了解后再做决定。
　　CFA是含金量极高的资格考试项目，缺点在于取得参考资格需要工作经验，而且所需费用较高。我们可以上网查到CFA考试项目和要求，提前下载或购买点资料进行复习。这样做的好处显而易见：首先是工作以后可以用来看书的时间紧张，在校复习了内容或打好了基础可以提高通过几率。其次，CFA行业认可度高的原因在于实用性强，对考试内容熟悉和对专业面的扩展都不无好处。
　　四、上市公司证券部：特别优秀的学生才有机会
　　相关职位分布在上市(或欲上市)股份公司证券部、财务部、证券事务代表、董事会秘书处等。这种职位由于先天横跨证券产业两行，再要发展有立脚点。如果全程做过&IPO&筹备工作，对未来的职业生涯将更加有益，它对财务、产业分析能力要求较高，要加强这方面的学习。
（一） 由于各方面情况的调整，本网所提供的信息仅供参考，敬请以相关部门公布的正式信息为准。
（二） 本网转载的文章在于传递信息，不承担此类稿件侵权行为的连带责任，如需删除请及时联系。
（三） 招聘单位无权收取任何费用，请求职人员加强自我保护意识，警惕虚假招聘，避免上当受骗。
大家都在看您所在的位置： &
金融行业安全漏洞分析报告
金融行业安全漏洞分析报告
互联网+时代的到来，人们充分享受新时代科技创新成果的便利同时，万物互联带来的信息安全风险也日渐提高，信息泄密事件层出不穷，在资金体量庞大、用户信息集中、安全隐患影响深远的金融领域，所面临的安全问题尤为凸显。
互联网+时代的到来，人们充分享受新时代科技创新成果的便利同时，万物互联带来的信息安全风险也日渐提高，信息泄密事件层出不穷，在资金体量庞大、用户信息集中、安全隐患影响深远的金融领域，所面临的安全问题尤为凸显。
人们真切地感知到，原有的金融服务模式被颠覆，网银、第三方支付、互联网金融等新兴模式异军突起。用户也在这些新的业务模式下，将自身姓名、身份证号码、手机号码等身份认证信息与业务紧密绑定关联。所以说，互联网的发展为传统的信息防御体系划开了一道口子，打破看似牢不可破的安全防护状态，直逼用户核心数据。在这样的背景下，本次安华金和数据库攻防实验室选择以近三个月金融行业数据安全高危漏洞为分析样本，就金融行业安全漏洞的分布状态、原因分析及对应的安全防御办法详尽描述。
本次报告核心观点
1. 金融行业漏洞细分状况分析
2. 金融数据泄露原因分析
3. 金融行业漏洞入侵防御建议
2015年9月至11月三个月的时间里，安华金和在乌云漏洞平台上汇总金融行业已被客户确认的安全漏洞共206个。其中高危漏洞195个，中危漏洞9个，低危漏洞2个。而这206个漏洞中，直接与数据泄露相关的漏洞110个，占漏洞总量的的53%。
金融行业漏洞细分状况分析
近几年来随着行业政策和市场需求的推动，金融行业已经开始尝试服务互联网化，普通业务以及更深层次的业务也会逐渐互联网化，逐渐促进整个金融行业向互联网全面迁移。由于金融业多金的本质，各类不法分子一直对这个行业虎视眈眈;一些内部从业人员，也会因为利益的驱使，放下道德底线，从内部窃取数据，导致安全堡垒从内部被攻破，内外安全问题集中，使得金融业的安全更加危机四伏。金融行业多年沉淀的边界安全防御机制应面对互联网带来的新问题往往显得力不从心。
安华金和本次将金融行业安全漏洞进行了细分，以银行、保险、互联网金融、金融机构(包括证券、基金、期货、支付和与金融相关的其他机构)四类进行漏洞划分。近三个月时间在乌云已经确认的金融行业206个漏洞中，其中银行42个，保险和互联网金融各47个，其余来自证券、基金、期货、支付等金融机构。平均每月各细分领域曝出的漏洞在10个到20个之间。
月金融细分行业漏洞分布
金融机构由于包含业务种类繁多，漏洞数量最高、新兴互联网金融，由于对业务的追赶速度和要求远高于安全需求，虽然业务发展不长，但暴露的安全数量和威胁却名列前茅。截至2015年11月底，全国范围内近100家互联网金融平台被爆出存在漏洞。
金融数据泄露原因分析
安华金和通过对大量金融行业安全漏洞进行统计分析，发现SQL注入依然是金融业最大威胁。命令执行(框架漏洞)紧随其后占据了13%的比例。而其中越权类漏洞数量占比明显高于其他行业。
月金融行业安全漏洞类型
按照各行业深入探查不难发现：
1.银行行业中民营银行安全漏洞数量明显高于国有银行。
2.金融业漏洞威胁大，高危漏洞占到总漏洞数的94.56%
3.银行的APP业务成为隐含漏洞的重灾区
4.应用系统权限绕过漏洞五花八门
5.虽然有WAF，但SQl注入依然强劲。
整个金融行业中漏洞种类最全的就是互联网金融。下面我们着重介绍一下互联网金融业中的漏洞。
互联网金融安全漏洞类型
互联网金融业的漏洞数量虽然不是最多，但种类最全，分布也较为平衡。因为简单易用，用户对互联网金融的接受度普遍比较高。从各种宝到名目繁杂的P2P，互联网金融是金融业界的新宠儿。但由于该行业缺乏严格的政策管理和代码审计，业务发展的速度又远超安全可提供的支撑能力，前台代码质量较低，导致出现大量设计逻辑错误、SQL注入、跨站脚本攻击;从业人员安全意识低，管理不到位，导致出现大量弱口令、框架漏洞、配置错误、敏感信息泄露;软件更新缓慢，导致框架错误。
其中最为严重的是系统设计逻辑安全威胁。这些设计错误多体现在失败的权限约束上，形成一系列越权漏洞和SQL注入。越权本质并不复杂，例如平行越权查询、平行越权修改、垂直越权操作、批量注册、人以用户密码修改、密码暴力破解、平行越权下载、身份伪造漏洞、退出功能失效、任意邮箱注册漏洞、邮箱激活功能漏洞、刷积分漏洞、邀请码暴力破解、一号多户问题等等。
其中越权类查询在设计错误中占到了29%左右。举个简单的例子比如A用户的订单是111。B用户的订单号是112。A原本不能查询B的订单，但A用户可以通过修改订单号来越权查询B的订单，这就是一个平行越权漏洞。这类问题主要就是程序代码自身逻辑错误导致。这和很多互联网企业过度注重扩展速度，不关注自身安全的行为很相似，需要加强代码审计来规避这种风险。
例如乌云上爆出的 wuyun-漏洞是一个标准的因为设计权限导致可充值任意用户密码的漏洞。按照流程在网站上注册一个用户，选择忘记密码。去邮箱打开链接。重新输入密码和确认密码。点击发送，劫持客户端的网络包。
在包中把当前用户名替换成目标用户名再发送给服务器，达到修改目标用户密码的目的。至此入侵者获得一组被人的账号，为入侵者可进一步实施入侵奠定基础。
面对SQL注入虽然有WAF的辅助，但WAF难免有关键字过滤不到的时候。于是在金融业界出现了大量的SQL注入漏洞。由于WAF采用的是正则匹配的方式，于是出现了以下3种常见绕过WAF的手段：
(1)编码绕过
在大小写绕过的基础上开始出现编码绕过，主要出现了三种：URL编码、十六进制编码、Unicode编码。在浏览器中输入URL会进行一次URL编码，黑客会通过多次编码来进行WAF绕过，例如：Id.php?id=1%2520union/**/select ，数据库得到的Id.php?id=1 union/**/select。如果只解码一次得到的是Id.php?id=1%20union/**/select，很有可能绕过WAF入侵数据库。针对这一问题可以采用多次循环解码来应对。其中Unicode编码种类很多，如果只是基于黑名单过滤，无法处理全部情况，其中UTF-32曾经实现过对GOOGLE的绕过。
(2)注释绕过
不但可以采用编码改写关键字，还可以采用注释改写关键字，避免正则匹配。例如z.com/index.php?page_id=-15 %55nION/**/%53ElecT1,2,3,4 'union%a0select pass from users# 。就是用符号编码代替一部分字母和判定的空格来逃避正则匹配。(selectxxx不会被拦截，因为可能是函数名等。select 空格xxx则一定会被拦截，去掉空格成为绕过的关键)。同样还有针对MYSQL版本的/*!5000union*/系列。
(3)等价替换
等价替换是个比较大的分类，主要可以分为等价函数、等价符号、特殊符号、比较符号等4类。
等价函数，就是同功能函数替换。WAF禁止了一些函数，但对另外一些函数没有禁止例如 Substring()可以用mid()，substr()这些函数来替换。还将可以采用生僻函数迂回完成原函数的功能，进行WAF关键字绕过。and or 这种关键字在PHP中可以用|| 和&&代替。于是语句id=1 or 1=1就可以写成id=1 || 1=来进行绕过。同样!= 、&、&等都可以代替等号进行绕过。
除去绕过关键字和关键符号外，最关键的是绕过空格。想各种方式避免空格出现。
例如原句 id=1 or 1=1
可以写成 id=1+or+1=1
id=1%0bor%0b1=1
id=1--s%0aor--s%0a1=1
id=1/*!or*/1=1
id=1()or(1=1) 等多种形式进行尝试绕过
金融行业漏洞入侵防御建议
金融行业除去人为因素造成的漏洞外，最主要的两大类漏洞分别是SQL注入和程序逻辑错误。
1.解决人为因素
人为因素会造成弱口令、错误配置等。人为因素只能从人的角度进行规范。通过加强安全团队建设、人员安全意识培训等方式应该可以解决人为因素造成的问题。
2.解决SQL注入
SQL注入是金融行业数据安全面临的最大威胁。只依赖WAF不足以完全保障程序免收SQL注入的困扰。这是由于WAF擅长解析过滤http协议，不能对SQL进行解析过滤。针对这个缺陷，可以在WEB应用和数据库之间加入数据库防火墙进行SQL部分的解析和过滤。数据库防火墙对从WEB应用发向数据库的SQL语句进行语法解析，可以理解SQL语句的真实含义，并做以下四点判断：
语句是否含有明显的SQL注入特征;
语句访问的对象是否属于该用户访问权限;
语句的关键谓词是否被禁用;
限制语句的返回行数，把危险控制在最低限。
加入数据库防火墙后，数据库防火墙会在WEB应用和数据库之间获取WEB应用发送给数据库的SQL语句。通过拿到的SQL语句，按照不同数据库进行SQL协议解析，通过协议解析把应用发送的SQL语句还原成标准模式(去掉各种加入的符号，转译码等)，防止黑客利用上述绕过WAF的手法绕过数据库防火墙进行SQL注入。
首先还原后的SQL语句和黑名单中的禁止语句结构进行匹配，如果认为是威胁语句，则禁止该语句发送到数据库端，并通过发送短信、邮件等方式及时通知管理员进行处理;语句结构判断没有问题后防火墙接下来会对语句中的操作对象和谓词进行判断，如果对象或谓词有控制，则依旧禁止该语句发送到数据库端;最后即便规则全部符合，SQL语句被发送到数据库端，数据库防火墙还可以通过行数控制来限制数据库每次的返回行数把威胁减到最小。
3.解决程序逻辑错误
程序逻辑错误主要指每个用户权限的划分时存在逻辑问题。这需要对业务系统中逻辑错误进行代码修改，并加强关键部分的逻辑防守。特别需要注意加强防守的功能点有购物车、支付功能、提现功能、用户数据查询、订单数据查询、API接口、密码设置/重置等。同时要注重重要业务系统的运维管理、遵循安全开发最佳实践、对密码本身进行可靠的存储(数据库中只存储加盐的HASH而不是密码本身)、使用加密的传输协议。
安全其实就是这样一种形态，平时不出状况看不到安全的效果，一旦爆发数据泄露事件，无论对于企业还是用户本身，甚至国家信息安全，其损失不可估量。业务在发展，安全领域攻与防的对抗将长期持续。
【责任编辑： TEL：（010）】
关于&&&&的更多文章
作为首届论坛，本届论坛主要内容将围绕WEB应用防护的技术体系建
虽然网购有诸多优点，越来越多的人热衷于此，但网购的安全性也逐渐凸显
讲师： 1818人学习过讲师： 1538人学习过讲师： 1029人学习过
随着Web2.0时代的到来，用户的许多业务均以Web形式开
无线网络为我们的生活工作带来很大便利,同时也让很多
中国网络安全大会凭借其独特资源优势和平台优势，在主
它从最简单的地方入手，不仅讲述了JavaScript的基础知识，还讲述了JavsScript如何操作CSS、DOM等Ajax基础技术。而关于跨浏览器兼
51CTO旗下网站君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
第二章金融营销环境分析
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口浅谈我国金融市场监管中问题分析及措施_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
浅谈我国金融市场监管中问题分析及措施
上传于||暂无简介
阅读已结束，如果下载本文需要使用2下载券
想免费下载本文？
下载文档到电脑，查找使用更方便
还剩4页未读，继续阅读
你可能喜欢