網(wǎng)上轉(zhuǎn)賬安全嗎？朋友圈的紅包可以搶嗎？網(wǎng)上理財(cái)產(chǎn)品值不值得買？隨著互聯(lián)網(wǎng)金融的風(fēng)生水起，互聯(lián)網(wǎng)金融安全已成為大眾關(guān)注的焦點(diǎn)。請(qǐng)關(guān)注——互聯(lián)網(wǎng)金融，如何把好安全關(guān)？

　　隨著互聯(lián)網(wǎng)時(shí)代的到來，互聯(lián)網(wǎng)金融風(fēng)生水起，成為當(dāng)下備受關(guān)注的熱門行業(yè)。然而與此同時(shí)，在原有金融安全風(fēng)險(xiǎn)控制的基礎(chǔ)上，互聯(lián)網(wǎng)金融還疊加了通信系統(tǒng)安全的風(fēng)險(xiǎn)。全新的系統(tǒng)風(fēng)險(xiǎn)，對(duì)整個(gè)互聯(lián)網(wǎng)金融行業(yè)都提出了全新的挑戰(zhàn)。

　　近日，在“2015首屆互聯(lián)網(wǎng)金融安全高級(jí)研討會(huì)”上，中央財(cái)經(jīng)大學(xué)金融安全信息安全研究所攜手有關(guān)專家，聚焦互聯(lián)網(wǎng)金融安全威脅，探討構(gòu)建互聯(lián)網(wǎng)金融安全體系。如今，互聯(lián)網(wǎng)金融行業(yè)的安全與老百姓財(cái)產(chǎn)安全息息相關(guān)，如果企業(yè)不做好業(yè)務(wù)平臺(tái)安全，不僅會(huì)使客戶財(cái)產(chǎn)受損，也會(huì)失去自身信譽(yù)，從而影響到業(yè)務(wù)發(fā)展，甚至影響到相關(guān)行業(yè)。

　　網(wǎng)絡(luò)安全落后于網(wǎng)絡(luò)應(yīng)用

　　“現(xiàn)今的信息技術(shù)使得系統(tǒng)之間的連接更為簡便，但PC、平板電腦、智能手機(jī)等設(shè)備的安全結(jié)構(gòu)卻過于簡單，操作系統(tǒng)更是存在天生的安全缺陷。”互聯(lián)網(wǎng)金融安全專家林鵬指出，“目前很多企業(yè)的安全管理體制、網(wǎng)絡(luò)安全技術(shù)都還很落后，而黑客的攻擊卻更為主動(dòng)。在攻防戰(zhàn)爭中，防御者正在逐漸落后。而互聯(lián)網(wǎng)金融企業(yè)風(fēng)險(xiǎn)更是‘互聯(lián)網(wǎng)行業(yè)風(fēng)險(xiǎn)’與‘金融業(yè)務(wù)風(fēng)險(xiǎn)’的集合?！?/p>

　　據(jù)安恒互聯(lián)網(wǎng)金融行業(yè)總監(jiān)張開介紹，在對(duì)全國互聯(lián)網(wǎng)金融網(wǎng)站進(jìn)行的100個(gè)抽樣安全檢測發(fā)現(xiàn)，其中存在高危漏洞的網(wǎng)站占53%，6%的網(wǎng)站可以getshell，47%的網(wǎng)站發(fā)現(xiàn)SQL注入漏洞，2%的網(wǎng)站發(fā)現(xiàn)Struts2命令執(zhí)行漏洞，25%的網(wǎng)站發(fā)現(xiàn)跨站腳本漏洞，4%的網(wǎng)站發(fā)現(xiàn)邏輯漏洞，6%的網(wǎng)站發(fā)現(xiàn)高危敏感信息泄露漏洞。張開指出，互聯(lián)網(wǎng)金融面臨的現(xiàn)實(shí)問題是，惡性黑客攻擊行為導(dǎo)致用戶信息泄露、惡意冒充投資人進(jìn)行惡意提現(xiàn)、大型DDOS攻擊和CC攻擊、以及來自黑客的惡意勒索。

　　“互聯(lián)網(wǎng)金融不安全的原因概括而言表現(xiàn)為：自身缺陷、開放性和黑客攻擊?！敝醒胴?cái)經(jīng)大學(xué)信息學(xué)院院長、金融信息安全研究所所長朱建明認(rèn)為，“從用戶方面來看，現(xiàn)有的安全管理體制不能滿足網(wǎng)絡(luò)發(fā)展的需要，網(wǎng)絡(luò)安全遠(yuǎn)遠(yuǎn)落后于網(wǎng)絡(luò)應(yīng)用，并且在網(wǎng)絡(luò)建設(shè)的同時(shí)往往忽視網(wǎng)絡(luò)安全建設(shè)。從黑客方面來看，攻擊者技術(shù)層次不斷提高，黑客趨于專業(yè)化，往往掌握了深層次網(wǎng)絡(luò)技術(shù)和協(xié)議。由于諸多網(wǎng)站通信協(xié)議缺乏有效的安全機(jī)制，黑客的可攻擊點(diǎn)越來越多。計(jì)算機(jī)性能大幅提高，為破譯密碼口令提供了先進(jìn)技術(shù)，使得黑客攻擊手段越來越先進(jìn)?！?/p>

　　應(yīng)對(duì)網(wǎng)絡(luò)攻擊要有的放矢

　　如何發(fā)現(xiàn)與對(duì)抗黑客的入侵呢？林鵬表示，可以通過訪客日志分析、安全平臺(tái)建立和用戶行為建模來發(fā)現(xiàn)惡意登錄行為。

　　“對(duì)手可能來自世界的任何地方，因?yàn)樗麄冋J(rèn)為P2P值得攻擊。”張開認(rèn)為，要想對(duì)互聯(lián)網(wǎng)金融進(jìn)行有效安全防護(hù)，需要使得信息安全管控策略與商業(yè)目標(biāo)統(tǒng)一，也就是企業(yè)要重視并成為企業(yè)戰(zhàn)略。具體而言，要保護(hù)有價(jià)值的數(shù)據(jù)、建立應(yīng)急響應(yīng)策略、尋找多個(gè)靠譜的安全合作商，并向主動(dòng)安全邁進(jìn)。

　　網(wǎng)信理財(cái)信息安全部負(fù)責(zé)人孫晶認(rèn)為，目前P2P平臺(tái)安全防護(hù)包括三個(gè)方面，即信息安全組織與人員、信息安全技術(shù)、信息安全管理?！巴ㄟ^這三張盾牌來抵御和避免來自外部的攻擊與內(nèi)部的風(fēng)險(xiǎn)。”

　　針對(duì)入侵者利用P2P的套利行為，孫晶認(rèn)為，最主要的是從業(yè)務(wù)角度防套利，不能讓入侵者“空手套白狼”。他指出，僅靠身份證、銀行卡、手機(jī)號(hào)、郵箱證明身份是不夠的，還要綜合使用匯款、轉(zhuǎn)賬、免冠照片、線下驗(yàn)證、電話、IP驗(yàn)證、設(shè)備識(shí)別等多種方式；其次，要依靠大數(shù)據(jù)，識(shí)別批量注冊(cè)、批量搶紅包、批量提現(xiàn)的可疑行為；此外，應(yīng)不斷總結(jié)和完善防范規(guī)則。在舉辦市場活動(dòng)前應(yīng)提前考慮反套利措施，活動(dòng)過程中可隨時(shí)分析數(shù)據(jù)異動(dòng)，活動(dòng)后及時(shí)處理不合規(guī)用戶?！傲硗?，可以考慮與外部的大數(shù)據(jù)防欺詐公司合作，但提供數(shù)據(jù)要慎重?！?/p>

　　構(gòu)建互聯(lián)網(wǎng)金融安全體系

　　朱建明認(rèn)為，安全是一個(gè)整體，千萬不能盲人摸象般的防御。理想的防御是對(duì)所有的攻擊進(jìn)行防護(hù)，但從組織資源限制等實(shí)際情況考慮，需要做“適度”的安全，即互聯(lián)網(wǎng)安全措施的級(jí)別要與商業(yè)價(jià)值相一致。互聯(lián)網(wǎng)金融安全不僅是技術(shù)問題，更是管理問題。不僅包括一般的安全問題，更包括業(yè)務(wù)安全問題。

　　“云計(jì)算在節(jié)省資源方面有很大的優(yōu)勢，但是在云計(jì)算基礎(chǔ)上，它的負(fù)載資源能力以及建立在虛擬化平臺(tái)上的安全設(shè)備和安全管理網(wǎng)站，目前都不是很成熟?！敝旖鹘ㄗh，互聯(lián)網(wǎng)金融公司在3年以后再將技術(shù)往云上轉(zhuǎn)。他認(rèn)為，大數(shù)據(jù)（公司業(yè)務(wù)核心數(shù)據(jù)）安全應(yīng)該是互聯(lián)網(wǎng)金融公司安全問題的重中之重。如果公司的核心數(shù)據(jù)被黑客竊取，半年時(shí)間就可以復(fù)制一個(gè)同樣的平臺(tái)，公司便失去了價(jià)值。

　　“安全建設(shè)實(shí)際上是對(duì)抗入侵的過程，只有加強(qiáng)各方面的合作力度，構(gòu)建互聯(lián)網(wǎng)金融安全體系，才能使我們穩(wěn)操勝券。”朱建明說。

　　北京中安國發(fā)信息技術(shù)研究院院長張勝生表示，信息安全是一場持久戰(zhàn)，知己知彼，才能百戰(zhàn)百勝。他透露，研究院將致力于整合金融和信息領(lǐng)域?qū)＜伊α?，組建金融信息安全專家智庫；整合金融和信息領(lǐng)域安全解決方案，形成與業(yè)務(wù)緊密結(jié)合的安全最佳實(shí)踐，為業(yè)界樹立標(biāo)桿；集合全行業(yè)力量，打造主動(dòng)防御體系，防患于未然；開發(fā)智能專家工具庫，為業(yè)界提供便捷的一鍵式安全解決方案。