網際網路金融,如何把好安全關?
- 發佈時間:2015-07-15 02:31:12 來源:科技日報 責任編輯:張明江
網上轉賬安全嗎?朋友圈的紅包可以搶嗎?網上理財産品值不值得買?隨著網際網路金融的風生水起,網際網路金融安全已成為大眾關注的焦點。請關注——網際網路金融,如何把好安全關?
隨著網際網路時代的到來,網際網路金融風生水起,成為當下備受關注的熱門行業。然而與此同時,在原有金融安全風險控制的基礎上,網際網路金融還疊加了通信系統安全的風險。全新的系統風險,對整個網際網路金融行業都提出了全新的挑戰。
近日,在“2015首屆網際網路金融安全高級研討會”上,中央財經大學金融安全資訊安全研究所攜手有關專家,聚焦網際網路金融安全威脅,探討構建網際網路金融安全體系。如今,網際網路金融行業的安全與老百姓財産安全息息相關,如果企業不做好業務平臺安全,不僅會使客戶財産受損,也會失去自身信譽,從而影響到業務發展,甚至影響到相關行業。
網路安全落後於網路應用
“現今的資訊技術使得系統之間的連接更為簡便,但PC、平板電腦、智慧手機等設備的安全結構卻過於簡單,作業系統更是存在天生的安全缺陷。”網際網路金融安全專家林鵬指出,“目前很多企業的安全管理體制、網路安全技術都還很落後,而駭客的攻擊卻更為主動。在攻防戰爭中,防禦者正在逐漸落後。而網際網路金融企業風險更是‘網際網路行業風險’與‘金融業務風險’的集合。”
據安恒網際網路金融行業總監張開介紹,在對全國網際網路金融網站進行的100個抽樣安全檢測發現,其中存在高危漏洞的網站佔53%,6%的網站可以getshell,47%的網站發現SQL注入漏洞,2%的網站發現Struts2命令執行漏洞,25%的網站發現跨站腳本漏洞,4%的網站發現邏輯漏洞,6%的網站發現高危敏感資訊洩露漏洞。張開指出,網際網路金融面臨的現實問題是,惡性駭客攻擊行為導致用戶資訊洩露、惡意冒充投資人進行惡意提現、大型DDOS攻擊和CC攻擊、以及來自駭客的惡意勒索。
“網際網路金融不安全的原因概括而言表現為:自身缺陷、開放性和駭客攻擊。”中央財經大學資訊學院院長、金融資訊安全研究所所長朱建明認為,“從用戶方面來看,現有的安全管理體制不能滿足網路發展的需要,網路安全遠遠落後於網路應用,並且在網路建設的同時往往忽視網路安全建設。從駭客方面來看,攻擊者技術層次不斷提高,駭客趨於專業化,往往掌握了深層次網路技術和協議。由於諸多網站通信協議缺乏有效的安全機制,駭客的可攻擊點越來越多。電腦性能大幅提高,為破譯密碼密碼提供了先進技術,使得駭客攻擊手段越來越先進。”
應對網路攻擊要有的放矢
如何發現與對抗駭客的入侵呢?林鵬表示,可以通過訪客日誌分析、安全平臺建立和用戶行為建模來發現惡意登錄行為。
“對手可能來自世界的任何地方,因為他們認為P2P值得攻擊。”張開認為,要想對網際網路金融進行有效安全防護,需要使得資訊安全管控策略與商業目標統一,也就是企業要重視並成為企業戰略。具體而言,要保護有價值的數據、建立應急響應策略、尋找多個靠譜的安全合作商,並向主動安全邁進。
網信理財資訊安全部負責人孫晶認為,目前P2P平臺安全防護包括三個方面,即資訊安全組織與人員、資訊安全技術、資訊安全管理。“通過這三張盾牌來抵禦和避免來自外部的攻擊與內部的風險。”
針對入侵者利用P2P的套利行為,孫晶認為,最主要的是從業務角度防套利,不能讓入侵者“空手套白狼”。他指出,僅靠身份證、銀行卡、手機號、郵箱證明身份是不夠的,還要綜合使用匯款、轉賬、免冠照片、線下驗證、電話、IP驗證、設備識別等多種方式;其次,要依靠大數據,識別批量註冊、批量搶紅包、批量提現的可疑行為;此外,應不斷總結和完善防範規則。在舉辦市場活動前應提前考慮反套利措施,活動過程中可隨時分析數據異動,活動後及時處理不合規用戶。“另外,可以考慮與外部的大數據防欺詐公司合作,但提供數據要慎重。”
構建網際網路金融安全體系
朱建明認為,安全是一個整體,千萬不能盲人摸象般的防禦。理想的防禦是對所有的攻擊進行防護,但從組織資源限制等實際情況考慮,需要做“適度”的安全,即網際網路安全措施的級別要與商業價值相一致。網際網路金融安全不僅是技術問題,更是管理問題。不僅包括一般的安全問題,更包括業務安全問題。
“雲計算在節省資源方面有很大的優勢,但是在雲計算基礎上,它的負載資源能力以及建立在虛擬化平臺上的安全設備和安全管理網站,目前都不是很成熟。”朱建明建議,網際網路金融公司在3年以後再將技術往雲上轉。他認為,大數據(公司業務核心數據)安全應該是網際網路金融公司安全問題的重中之重。如果公司的核心數據被駭客竊取,半年時間就可以複製一個同樣的平臺,公司便失去了價值。
“安全建設實際上是對抗入侵的過程,只有加強各方面的合作力度,構建網際網路金融安全體系,才能使我們穩操勝券。”朱建明説。
北京中安國發資訊技術研究院院長張勝生表示,資訊安全是一場持久戰,知己知彼,才能百戰百勝。他透露,研究院將致力於整合金融和資訊領域專家力量,組建金融資訊安全專家智庫;整合金融和資訊領域安全解決方案,形成與業務緊密結合的安全最佳實踐,為業界樹立標桿;集合全行業力量,打造主動防禦體系,防患于未然;開發智慧專家工具庫,為業界提供便捷的一鍵式安全解決方案。
- 股票名稱 最新價 漲跌幅