来源:科技日报 发布日期:2015.07.15 点击量:
网上转账安全吗?朋友圈的红包可以抢吗?网上理财产品值不值得买?随着互联网金融的风生水起,互联网金融安全已成为大众关注的焦点。请关注——互联网金融,如何把好安全关?
随着互联网时代的到来,互联网金融风生水起,成为当下备受关注的热门行业。然而与此同时,在原有金融安全风险控制的基础上,互联网金融还叠加了通信系统安全的风险。全新的系统风险,对整个互联网金融行业都提出了全新的挑战。
近日,在“2015首届互联网金融安全高级研讨会”上,中央财经大学金融安全信息安全研究所携手有关专家,聚焦互联网金融安全威胁,探讨构建互联网金融安全体系。如今,互联网金融行业的安全与老百姓财产安全息息相关,如果企业不做好业务平台安全,不仅会使客户财产受损,也会失去自身信誉,从而影响到业务发展,甚至影响到相关行业。
网络安全落后于网络应用
“现今的信息技术使得系统之间的连接更为简便,但pc、平板电脑、智能手机等设备的安全结构却过于简单,操作系统更是存在天生的安全缺陷。”互联网金融安全专家林鹏指出,“目前很多企业的安全管理体制、网络安全技术都还很落后,而黑客的攻击却更为主动。在攻防战争中,防御者正在逐渐落后。而互联网金融企业风险更是‘互联网行业风险’与‘金融业务风险’的集合。”
据安恒互联网金融行业总监张开介绍,在对全国互联网金融网站进行的100个抽样安全检测发现,其中存在高危漏洞的网站占53%,6%的网站可以getshell,47%的网站发现sql注入漏洞,2%的网站发现struts2命令执行漏洞,25%的网站发现跨站脚本漏洞,4%的网站发现逻辑漏洞,6%的网站发现高危敏感信息泄露漏洞。张开指出,互联网金融面临的现实问题是,恶性黑客攻击行为导致用户信息泄露、恶意冒充投资人进行恶意提现、大型ddos攻击和cc攻击、以及来自黑客的恶意勒索。
“互联网金融不安全的原因概括而言表现为:自身缺陷、开放性和黑客攻击。”中央财经大学信息学院院长、金融信息安全研究所所长朱建明认为,“从用户方面来看,现有的安全管理体制不能满足网络发展的需要,网络安全远远落后于网络应用,并且在网络建设的同时往往忽视网络安全建设。从黑客方面来看,攻击者技术层次不断提高,黑客趋于专业化,往往掌握了深层次网络技术和协议。由于诸多网站通信协议缺乏有效的安全机制,黑客的可攻击点越来越多。计算机性能大幅提高,为破译密码口令提供了先进技术,使得黑客攻击手段越来越先进。”
应对网络攻击要有的放矢
如何发现与对抗黑客的入侵呢?林鹏表示,可以通过访客日志分析、安全平台建立和用户行为建模来发现恶意登录行为。
“对手可能来自世界的任何地方,因为他们认为p2p值得攻击。”张开认为,要想对互联网金融进行有效安全防护,需要使得信息安全管控策略与商业目标统一,也就是企业要重视并成为企业战略。具体而言,要保护有价值的数据、建立应急响应策略、寻找多个靠谱的安全合作商,并向主动安全迈进。
网信理财信息安全部负责人孙晶认为,目前p2p平台安全防护包括三个方面,即信息安全组织与人员、信息安全技术、信息安全管理。“通过这三张盾牌来抵御和避免来自外部的攻击与内部的风险。”
针对入侵者利用p2p的套利行为,孙晶认为,最主要的是从业务角度防套利,不能让入侵者“空手套白狼”。他指出,仅靠身份证、银行卡、手机号、邮箱证明身份是不够的,还要综合使用汇款、转账、免冠照片、线下验证、电话、ip验证、设备识别等多种方式;其次,要依靠大数据,识别批量注册、批量抢红包、批量提现的可疑行为;此外,应不断总结和完善防范规则。在举办市场活动前应提前考虑反套利措施,活动过程中可随时分析数据异动,活动后及时处理不合规用户。“另外,可以考虑与外部的大数据防欺诈公司合作,但提供数据要慎重。”
构建互联网金融安全体系
朱建明认为,安全是一个整体,千万不能盲人摸象般的防御。理想的防御是对所有的攻击进行防护,但从组织资源限制等实际情况考虑,需要做“适度”的安全,即互联网安全措施的级别要与商业价值相一致。互联网金融安全不仅是技术问题,更是管理问题。不仅包括一般的安全问题,更包括业务安全问题。
“云计算在节省资源方面有很大的优势,但是在云计算基础上,它的负载资源能力以及建立在虚拟化平台上的安全设备和安全管理网站,目前都不是很成熟。”朱建明建议,互联网金融公司在3年以后再将技术往云上转。他认为,大数据(公司业务核心数据)安全应该是互联网金融公司安全问题的重中之重。如果公司的核心数据被黑客窃取,半年时间就可以复制一个同样的平台,公司便失去了价值。
“安全建设实际上是对抗入侵的过程,只有加强各方面的合作力度,构建互联网金融安全体系,才能使我们稳操胜券。”朱建明说。
北京中安国发信息技术研究院院长张胜生表示,信息安全是一场持久战,知己知彼,才能百战百胜。他透露,研究院将致力于整合金融和信息领域专家力量,组建金融信息安全专家智库;整合金融和信息领域安全解决方案,形成与业务紧密结合的安全最佳实践,为业界树立标杆;集合全行业力量,打造主动防御体系,防患于未然;开发智能专家工具库,为业界提供便捷的一键式安全解决方案。
相关新闻:
版权所有©上海安言信息技术有限公司 2014-2015