■打破砂鍋
網上轉賬安全嗎���?朋友圈的紅包可以搶嗎��?網上理財產品值不值得買?隨著互聯網金融的風生水起���,互聯網金融安全已成為大眾關注的焦點���。請關注——互聯網金融,如何把好安全關���?
隨著互聯網時代的到來���,互聯網金融風生水起,成為當下備受關注的熱門行業(yè)����。然而與此同時,在原有金融安全風險控制的基礎上�,互聯網金融還疊加了通信系統安全的風險。全新的系統風險���,對整個互聯網金融行業(yè)都提出了全新的挑戰(zhàn)��。
近日����,在“2015首屆互聯網金融安全高級研討會”上,中央財經大學金融安全信息安全研究所攜手有關專家����,聚焦互聯網金融安全威脅,探討構建互聯網金融安全體系��。如今��,互聯網金融行業(yè)的安全與老百姓財產安全息息相關��,如果企業(yè)不做好業(yè)務平臺安全��,不僅會使客戶財產受損���,也會失去自身信譽����,從而影響到業(yè)務發(fā)展,甚至影響到相關行業(yè)�。
網絡安全落后于網絡應用
“現今的信息技術使得系統之間的連接更為簡便,但PC�、平板電腦、智能手機等設備的安全結構卻過于簡單����,操作系統更是存在天生的安全缺陷?!被ヂ摼W金融安全專家林鵬指出,“目前很多企業(yè)的安全管理體制����、網絡安全技術都還很落后��,而黑客的攻擊卻更為主動��。在攻防戰(zhàn)爭中�,防御者正在逐漸落后。而互聯網金融企業(yè)風險更是‘互聯網行業(yè)風險’與‘金融業(yè)務風險’的集合�。”
據安恒互聯網金融行業(yè)總監(jiān)張開介紹���,在對全國互聯網金融網站進行的100個抽樣安全檢測發(fā)現���,其中存在高危漏洞的網站占53%�,6%的網站可以getshell����,47%的網站發(fā)現SQL注入漏洞,2%的網站發(fā)現Struts2命令執(zhí)行漏洞��,25%的網站發(fā)現跨站腳本漏洞��,4%的網站發(fā)現邏輯漏洞���,6%的網站發(fā)現高危敏感信息泄露漏洞���。張開指出,互聯網金融面臨的現實問題是�,惡性黑客攻擊行為導致用戶信息泄露、惡意冒充投資人進行惡意提現�、大型DDOS攻擊和CC攻擊、以及來自黑客的惡意勒索����。
“互聯網金融不安全的原因概括而言表現為:自身缺陷、開放性和黑客攻擊���?!敝醒胴斀洿髮W信息學院院長、金融信息安全研究所所長朱建明認為��,“從用戶方面來看�,現有的安全管理體制不能滿足網絡發(fā)展的需要,網絡安全遠遠落后于網絡應用����,并且在網絡建設的同時往往忽視網絡安全建設。從黑客方面來看���,攻擊者技術層次不斷提高���,黑客趨于專業(yè)化�,往往掌握了深層次網絡技術和協議。由于諸多網站通信協議缺乏有效的安全機制���,黑客的可攻擊點越來越多��。計算機性能大幅提高���,為破譯密碼口令提供了先進技術,使得黑客攻擊手段越來越先進?�!?/p>
應對網絡攻擊要有的放矢
如何發(fā)現與對抗黑客的入侵呢����?林鵬表示,可以通過訪客日志分析����、安全平臺建立和用戶行為建模來發(fā)現惡意登錄行為。
“對手可能來自世界的任何地方���,因為他們認為P2P值得攻擊����?�!睆堥_認為�,要想對互聯網金融進行有效安全防護,需要使得信息安全管控策略與商業(yè)目標統一��,也就是企業(yè)要重視并成為企業(yè)戰(zhàn)略����。具體而言�,要保護有價值的數據�、建立應急響應策略、尋找多個靠譜的安全合作商�,并向主動安全邁進。
網信理財信息安全部負責人孫晶認為���,目前P2P平臺安全防護包括三個方面��,即信息安全組織與人員�、信息安全技術��、信息安全管理�。“通過這三張盾牌來抵御和避免來自外部的攻擊與內部的風險���?�!?/p>
針對入侵者利用P2P的套利行為,孫晶認為���,最主要的是從業(yè)務角度防套利�,不能讓入侵者“空手套白狼”���。他指出�,僅靠身份證、銀行卡����、手機號、郵箱證明身份是不夠的���,還要綜合使用匯款����、轉賬���、免冠照片��、線下驗證���、電話、IP驗證����、設備識別等多種方式;其次�,要依靠大數據��,識別批量注冊����、批量搶紅包�、批量提現的可疑行為;此外����,應不斷總結和完善防范規(guī)則。在舉辦市場活動前應提前考慮反套利措施�,活動過程中可隨時分析數據異動,活動后及時處理不合規(guī)用戶���?!傲硗?,可以考慮與外部的大數據防欺詐公司合作,但提供數據要慎重���?���!?/p>
構建互聯網金融安全體系
朱建明認為���,安全是一個整體��,千萬不能盲人摸象般的防御����。理想的防御是對所有的攻擊進行防護�,但從組織資源限制等實際情況考慮,需要做“適度”的安全�,即互聯網安全措施的級別要與商業(yè)價值相一致?�;ヂ摼W金融安全不僅是技術問題���,更是管理問題���。不僅包括一般的安全問題,更包括業(yè)務安全問題��。
“云計算在節(jié)省資源方面有很大的優(yōu)勢����,但是在云計算基礎上,它的負載資源能力以及建立在虛擬化平臺上的安全設備和安全管理網站��,目前都不是很成熟?���!敝旖鹘ㄗh,互聯網金融公司在3年以后再將技術往云上轉��。他認為����,大數據(公司業(yè)務核心數據)安全應該是互聯網金融公司安全問題的重中之重。如果公司的核心數據被黑客竊取���,半年時間就可以復制一個同樣的平臺����,公司便失去了價值。
“安全建設實際上是對抗入侵的過程,只有加強各方面的合作力度����,構建互聯網金融安全體系��,才能使我們穩(wěn)操勝券��?���!敝旖髡f����。
北京中安國發(fā)信息技術研究院院長張勝生表示,信息安全是一場持久戰(zhàn)��,知己知彼�,才能百戰(zhàn)百勝。他透露��,研究院將致力于整合金融和信息領域專家力量�,組建金融信息安全專家智庫;整合金融和信息領域安全解決方案���,形成與業(yè)務緊密結合的安全最佳實踐���,為業(yè)界樹立標桿;集合全行業(yè)力量����,打造主動防御體系,防患于未然;開發(fā)智能專家工具庫���,為業(yè)界提供便捷的一鍵式安全解決方案�。
