CFCA專家顏維呈:資訊安全工作要從四點開展
- 發佈時間:2015-09-07 16:32:18 來源:中國網財經 責任編輯:鄭夢琦
中國網財經9月7日訊(記者 畢曉娟)7日,由中金支付有限公司主辦、中國金融認證中心(CFCA)聯合主辦的“網際網路+金融”創新發展高峰論壇在成都城市名人酒店舉行。中國金融認證中心(CFCA)資訊安全專家顏維呈在論壇上發表主題演講,他表示,資訊安全工作的開展需要四點。
“第一,目的明確,要做到相對安全一定要跟業務相綁定。第二,結構化治理,資訊安全不能蹴而就。第三,動態調整,我們應對的目標,應該考量的對象和客體是人。第四,行業聯合,我們曾經在行業裏面出過資金被盜取的案件,客戶去公安報案,公安因數額較小,案發地點不明,拒絕立案。”顏維呈表示。
以下是演講實錄:
很高興我們今天的會議非常熱烈,全天的會議當中眾多公司都強調了一點安全性,資金安全和資訊安全,我這裡借一點時間給大家講一下CFCA在網際網路金融方面的見解或者是認識。我們一直在研究網際網路到底有哪些特徵,總結出來它有四點。第一,萬物皆互聯。十年前大家沒有想過掏出手機看電影或者買衣服。第二,隨著技術更新我們的生活方式被改變,網際網路是去中心化、多元化成本極低的東西。第三,我們總結網際網路公司或者是網際網路的技術發展這麼多年,有一個態勢,它不斷發展,不斷的否定與自我否定,大家都在講“網際網路+”是什麼概念,就是用技術人員的角度來講把它總結得稍微技術化一點,我們總結“網際網路+”就是一個吊絲。為什麼呢?大家想一下網際網路熱度的話題,五年為界,五年以前我們討論部落格、微網志,現在微信很熱,包括網際網路加金融都很熱,能熱多久?我們總結網際網路一定是無法預測的,不斷的否定與自我否定。前兩年銀行講網際網路金融來了,我們銀行立足於何處,是不是我們銀行就消亡了?現在都在討論實體網點到底在哪。網際網路不要怕,它是不斷否定與自我否定的過程。大家可以看到這樣一些數據,網際網路金融在否定了一些傳統價值的同時,它所創造出來的新的價值點是多元化的,這個價值點是我們行銷的爆發點。
這是CFCA這麼多年在金融領域調研的數據,這些數據比如説我們出去拉一個行人來採訪他直觀的感覺,他為什麼要把錢放在網際網路上,或者為什麼要把錢放在銀行裏面,它關注的核心在於錢安全。因為錢如果在網際網路不流動,包括P2P、眾籌,它只是一個工具,包括支付也好,它只是一個工具,它只是定向的價值體現,這個價值最核心的就是説因為存在的基礎就是安全,如果是為零的話。大家可以回顧一下,就是説兩年以前或者是一年以前比特幣是非常火爆的網際網路金融的理念。隨著2014最大的比特幣交易網站大概一百多G的流量攻擊以後,比特幣就完全沒有價值。我們的金融工具是什麼?就是價值流通和轉向。微信紅包號稱改變了中國人民過節日的傳統,延續了多少年的傳統,大家開始都搖一搖了,那我們看看它的安全性。另外一個話題我想分享的是説,我們現在萬物皆互聯,這樣的環節下如果一個生態閉環,如果一個環節出了問題,那麼導致的不僅僅就是説我們金融機構自身的問題,它所帶來的負面影響是一連串的。
我們説完網際網路我們再説説安全,我們講的安全是什麼?塵沙之下築摩天大樓,我這裡簡單分享了我們數字上或者公開渠道能看到的東西。實際上在我們的暗處,包括今年的7月5日,在圈子裏面很轟動的一件事情,就是説Hacking Team內部文件被曝光,我們圈子裏講人手一件核武器,這種情況下,右邊的圖可以看到網上的漏洞,它是公開售賣的。我剛才講比特幣為什麼覆滅,我想問在座各位一句,誰家的網站能夠經受得住10G流量的攻擊,不多,就8個小時。由此所帶來的威脅和攻擊,我們其實今天講資訊安全就是在塵沙之上築摩天大樓。
回到我們今天的核心議題,金融。金融的資訊安全是可以量化的,可以直觀感覺得到的。另外一個方面金融是什麼,金融的數據直接是跟價值相關聯的,而不是像其他傳統行業的數據跟價值關聯性是弱關聯的,所以金融關注的資訊安全的問題。我們CFCA的實驗室在國內起步比較早,我們實驗室裏邊的病毒樣本,或者是木馬樣本,我們曾經拿出來在全國商業銀行實驗,使用1代K的情況下篡改成功率是百分之百,使用2代K的情況下在實驗室的理論環境當中,因為我們實驗室有比較好的環境,它的私鑰倒處率是百分之百,也就是説篡改成功率是百分之百。大家在日常的工作中,或者對於客戶的觀念引導當中,安全一定是和便捷性相矛盾的一個話題,但是我覺得安全性不單單是你向你客戶傳遞不必要的負擔,而是我們確保我們關注客戶資金的安全性,這是我們傳遞給客戶我們的價值,我們的價值倡導點所在。安全進展到這一步,像“網際網路+”一樣,我們的競爭對手和目標是誰,藏在暗處的是誰我們不知道。我們曾經做過調查,網上DOS攻擊70%都是由同業攻擊引起的。最早來説就是上一個網際網路浪潮的時候就是網遊,包括私服就是被DOS攻擊打垮的,現在大家都講網際網路金融很熱,我們很重視安全性。請問一句,假如咱們的網站八個小時不能用,那咱們的客戶會怎麼樣想?
其實安全這個東西,我們CFCA也在金融領域做一些研究工作,包括為客戶提供相關的服務,CFCA更多的是一個平臺,包括今天咱們參加這次會議,資訊安全是咱們傳遞的一個價值點所在,資訊安全工作怎麼開展,我覺得有四點。第一,目的明確,我們資訊安全不是簡單的安全,我們要做到相對安全一定要跟業務相綁定。第二就是結構化治理,資訊安全這件事情它不是一蹴而就的事情。第三就是動態調整,我們對抗的不是技術本身,而是由人在背後,包括我們使用的任何支付工具、眾籌工具都只是工具而已,我們真正應對的,應該考量的對象和客體是人。第四是行業聯合,就像今天的會議,我們曾經在行業裏面也出過這樣的案件,就是資金被盜取,客戶去公安報案,公安説有沒有超過2千,案發地點的發卡行在哪,不立案。我們CFCA從我們的角度出發,在我們的平臺之上促進整個行業的聯合,在安全方面做得比較好的公司,比如像支付寶,它的案件也被曝出來,我們講單獨一家公司的力量肯定不足以對抗流沙的不穩定性。
總的來説我們保護的是資訊資産,因為在金融行業資訊資産就直接等同於金錢,因為在駭客領域它如果攻擊傳統的電信行業或者工業行業,它帶來的收益不是直接的金錢。對於金融行業來説,客戶把錢放在你這兒就是相當於對咱們的信任,咱們圍繞資訊資産建立起來一套完整的體系,我覺得這個價值是可以向客戶傳遞的,我們關注您的收益,也關注您的安全。
我今天就分享到這裡,謝謝大家!