本文講的是網際網路金融交易平台的安全思考,金融資訊系統外應用系統相互牽連、使用物件多樣化、安全風險的多方位、資訊可靠性、保密性要求高等特徵構成了金融系統的突出特點。國際金融危機以來,金融系統的風險控制和監管被提到了前所未有的高度。如何利用資訊科技的優勢加強金融機構的內部控制,提高金融監管和服務水平,防範和化解金融風險,是當前我國金融業資訊化建設面臨的重大問題。
金融行業網路安全為何面臨「多重考驗」?
首先,充滿風險的網路大環境不容樂觀,惡意鏈結和釣魚**等的氾濫對個人與企業使用者的資訊保安防護策略提出了越來越高的要求。
其次,網路威脅在不斷地進化,金融系統中新舊業務渠道都面臨著前所未有的挑戰,體現在:
·atm機危險係數增加
·虛擬化防毒未能如意,安全是雲計算的頭號關注點
·apt攻擊愈演愈烈,金融行業成為「重災區」
·移動惡意應用爆發式增長
在第三屆中國網路安全大會(nsc2015)的cio網路安全論壇上,岱達金融副總裁熊軍認為,移動網際網路強調體驗,安全體系進行了大整合,移動網際網路上的「雲」也面臨著很大的挑戰,而金融與移動網際網路的結合,使得金融行業業務接入方式多終端化,業務效果對體驗更敏感,交易方式與頻次變得碎片化,安全形態更加複雜,面臨的安全威脅也更多樣化。
▲岱達金融副總裁熊軍
網際網路金融這個領域可做的安全是非常多的,整個網際網路安全是乙個立體的、全面的、綜合的過程,從端來說就有客戶端、傳輸端、服務端和雲端等一系列的安全。熊軍說:「安全是乙個比較大的系統性的共享,安全問題往往不是乙個技術問題那麼簡單,甚至人為的問題,流程制度的問題要遠遠大於技術層面的問題,從這個角度來說安全問題是綜合立體的過程,作為我們公司的負責人,我更願意從流程、制度以及整個人為的因素去進行安全防控。」
網際網路金融風險有兩個層面:信用風險和網路安全風險,但從業者往往注重前者而對後者認識不足。在網際網路金融安全的業務層面,往往需要去關注以下幾個方面:
·傳輸問題
ssl常用來為web瀏覽器與伺服器之間進行身份認證和加密資料傳輸,但實際上很多企業都沒能做到這一點,也就是企業的資料是不加密傳輸的,也沒有驗證碼,連簡單的防機器攻擊都沒有部署。熊軍說:「在涉及敏感資訊時建議使用ssl協議來進行防護,而不涉及敏感資訊時可以用http協議。」
·簽名問題
○交易簽名/雙因素認證
在網際網路金融之前,傳統的金融行業有一整套完整的應對簽名問題的解決方案,這些解決方案從技術的角度來說就是做電子簽名。
目前真正做到電子簽名的網際網路金融只有兩家——宜人貸和投公尺網,其他平台的電子簽名大多數基本上都是偽簽名,也就是ptf協議上面看似是蓋了章,但實際上是沒有經過數字證書的簽名的,而一般投資者是看不到這種本質的區別的。關於簽名問題在銀行的解決方案裡面是很完整的,最早的是基於瀏覽器的檔案證書,包括軟/硬證書以及1至4代的簽名體系,但目前網際網路金融在電子簽名方面做的非常不好。
熊軍說:「在國際上,比如一些跨國組織,他們使用雙因素認證來替代電子簽名。雙因素是指企業所擁有的和所知道的兩個因素,最普遍的就是我們經常用到的手機動態密碼。」手機動態密碼可以和雙因素配合起來的原因主要是,手機是個人所擁有的,而交易密碼是個人所知道的因素,手機這種個人所屬物能夠表明這是你個人發起的個人交易。
雙因素認證在目前網際網路金融裡面的應用是非常普遍的,比如在核心的交易環節就會啟用證明是由本人發起的動態密碼。之前傳統金融行業經常用到的是軟/硬證書,或是u盾,亦或是動態令牌,但對於網際網路金融行業來說太繁瑣了,所以目前網際網路金融行業都會啟用比較簡單的雙因素認證。
手機動態密碼也會存在安全隱患,但這個安全隱患比較低。第乙個隱患是信用卡的複製;第二個是簡訊的延遲和到達率的問題對客戶體驗的影響。安全與便捷性之前是需要去平衡的,如果某個平台足夠安全必定會給使用者體驗帶來傷害。網際網路金融業務安全對不同領域、不同環節,甚至不同的交易平台的考慮是不一樣的,有的是選擇犧牲安全,有的是把安全看得特別重,所以雙因素認證的方式是乙個相對平衡的方式。
○電子檔案簽名
○資料備份簽名
在網際網路金融行業,有乙個普遍的擔憂是平台資金的安全問題。首先是企業的產品是不是安全的;其次是企業負責人是不是安全的,也就是內部人員問題;最後是使用者個人賬戶是不是安全的,擱在裡面的資料是不是安全的。解決此類問題就簡單的方法就是備份,不管是冷備還是熱備,但很多行業是連最基本的備份都沒有去完成。熊軍建議,網際網路金融行業最起碼的要求,或者說在安全方面的最低配置一定要去做的就是備份。
○後台日誌簽名
當事故發生的時候企業可以進行審計,做得好企業有良好的審計系統,做的不好的企業最起碼的要對日誌本身進行保護,因為日誌是整個審核過程中很重要的一環。把日誌從備份的伺服器挪到其他伺服器的時候,日誌是不是會被篡改是個需要去考慮的問題。乙個解決方案是每條日誌記錄都做簽名,在挪動日誌的過程中儲存原日誌或日誌記錄的痕跡,即使被篡改也能找到原始日誌源。
網際網路金融領域是乙個新的、開放的、不斷發展的領域,從縱深的發展角度看,整個領域需要找到自己的安全解決方案。安全與透明永遠是網際網路金融的終極追求,如果行業能解決安全與資訊透明的問題,就能獲得更開闊的發展前景。
網際網路金融
目錄 網際網路金融分類舉例 指紋識別對手機銀行業務帶來的便利和風險 人臉識別 網際網路金融與傳統金融的五大區別 1.定位不同 2.驅動因素不同 3.模式不同 4.治理機制不同 5.優勢不同 目前網際網路金融大概可以分為六類,其中三種是目前中國執行時間和運作企業比較多,相對比較成熟的,主要是第三方服務...
網際網路 消費金融的打法思考
網際網路 消費金融,筆者認為是最具挑戰性的乙個,消費金融 消費 金融,而消費的核心是場景,金融的核心是風控,為什麼這麼說呢?大家知道,螞蟻金服的整個網際網路金融戰略其實是建立在其電商成功的基礎上,通過電商的成功,打造了大量的支付場景,撫育了支付寶的成功,積累了大量實名綁卡使用者,在這個海量使用者基礎...
笑看網際網路金融
在這個圈子裡面已經摸爬滾打5年之久,但是一直都是逛園子,從來沒有寫過部落格,最近突然想把自己的一些心得分享出來,第一次寫部落格,可能寫的不好,希望大家不要噴,口下留情。今天是我的第一篇部落格,所以也沒有好好的準備,就簡單的寫一些。因為目前工作的原因,接觸了一些網際網路金融方面的知識,之前我對比如說 ...