【IT168 资讯】蓝盾信息安全技术股份有限公司
伴随着BAT等互联网大佬们一系列针对金融行业渗透的动作以及网贷、众筹等新业务的快速发展,互联网已有全面颠覆传统金融业游戏规则,倒逼金融改革的态势。与此同时,传统金融行业也积极应战,在改革政策的推动下努力转型。在“互联网金融”与“金融互联网”疯狂发展的同时,不少网络黑客和贪婪的内幕交易员也向这个领域“疯狂聚集”:
事件一:2013年8月30日,证监会披露对光大乌龙指事件调查结果:当日,光大证券首先获知其交易系统出现问题,却未选择戒绝交易,反而在信息公开前将股指期货合约等大量卖出,构成“内幕交易”行为。光大证券处以超过5.2亿巨额罚款。
事件二:2014年2月28日,世界最大规模的比特币交易所运营商Mt. Gox宣布破产,因交易平台的85万个比特币被盗一空,公司已经向日本东京地方法院申请破产保护。
事件三:2014年3月20日,国内最大、最具影响力的P2P网络借贷行业门户网站网贷之家发布公告:自2014年3月16日起,网贷之家官网持续多日受到黑客的严重恶意攻击,持续十分钟的30G流量攻击,同时数万IP的CC攻击,短短几小时内6亿次的连续攻击。
在《中国互联网金融发展报告(2013)》报告中,明确指出互联网当下已面临着日益严峻的风险隐患以及安全问题,随着互联网金融的影响和规模逐渐扩大,我们迫切需要解决互联网金融信息安全保障、风险防范以及相应的监管问题。
透过近几年频发的互联网金融安全事件,对于落实构建互联网金融安全防护体系的重要使命,我们可以从以下五大维度工作着手:
维度一:网站安全防护
据CNNIC数据统计,网银用户量目前已超过4000万人,半年增长率达47.1%。银行门户网站所提供的服务已不再局限于单纯的信息发布和业务咨询,而是更多的结合了实际的业务交易行为。
Web应用技术的深入普及,网页挂马、数据篡改等网站安全事件屡屡频发,网站安全形势日益严峻。为了保障网站安全,我们可采取以下安全防护措施:
【1】部署防火墙,控制网站服务器端口的访问安全;
【2】部署防病毒系统,实时进行病毒检测与防护;
【3】部署网站安全检测产品,主动进行漏洞扫描与安全检测;
【4】部署网站入侵防护产品,拦截黑客攻击,加强防入侵能力,加固边界安全。
维度二:数据安全保护
无论是“互联网金融”还是“金融互联网”,数据安全主要体现在3个维度,一是后台数据库安全,二是数据传输安全,三是数据容灾备份。
后台数据库安全防护可采用通过部署数据库安全防护产品,解决核心数据资源面临的“越权使用、权限滥用、权限盗用”等安全威胁。
主流的、成熟的数据传输安全解决方案居多是通过结合类似数字证书的各类安全认证机制及传输加密机制共同来保障数据传输安全。
关键数据的丢失会中断企业正常商务运行,直接造成不可预计的巨大经济损失。因此,部署数据容灾备份系统是缺一不可的安全防护工作。
维度三:交易安全保障
交易安全主要是集中在交易平台的登陆、支付环节。其安全防护通过3个环节来保障:一是安全环境检测,二是安全控件的加载,三是用户帐户及口令认证。
安全环境检查主要是对本地的数字证书及U盾类的USB Key进行合法、正确性检测。安全控件加载的作用在于对关键数据的SSL加密,防止用户账号密码被木马程序或病毒窃取,防止木马截取键盘记录。
维度四:安全制度建设
进入2014年以来,互联网金融领域四面楚歌:
【1】2014年3月13日,央行支付结算司下发一份特急函件,要求包括支付宝在内的多家第三方支付平台立即暂停线下条码(二维码)支付、虚拟信用卡等业务模式。
【2】2014年3月11日,央行向第三方支付企业下发“限额令”。
当前,互联网金融行业方面的监管与可适用的法律仍存在着空白及灰色地带,其相应的监管制度建设也相对滞后于当下市场的发展。一方面互联网金融业务呈现多元化,涵盖全部金融子领域;另一方面互联网金融无时空限制、客户范围广泛,一旦发生了金融风险,就会造成大面积的负面影响甚至还会出现系统性严重风险。因此,互联网金融安全除了要有技术上的充分保障,还需要有相应配套的安全制度保障。
维度五:安全应急服务
在信息技术发展迅猛的当下,企业、运营商自身所具备的安全故障恢复机制以及所需的安全保障技术储备仍具有一定的局限性和薄弱性。
面对Web应用漏洞以及已经造成的危害,企业自身的技术团队力量及资源不足以提供所需的安全响应支撑,必需要有专业的安全服务技术团队给予全面的、系统性的外援保障,使得在出现突发安全事故的情况下,企业、运营商能及时作出安全应急响应,迅速进行运营恢复,深入解决安全问题,最大程度的降低整体安全风险及提高信息系统的安全等级。
【蓝盾信息安全技术股份有限公司】
蓝盾信息安全技术股份有限公司作为中国信息安全行业领先的专业网络安全企业和服务提供商,集产品研发、销售、系统集成、技术服务、运营为一体的高科技软件企业,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全运营等多项综合性网络安全业务、打造国际一流的信息安全企业。所有产品均经过严格的产品开发管理和周密的性能测试,获得军队、公安和国家保密局等权威部门的认证证书,广泛应用于制造业、通讯业、审计业、广告业、媒体、政府、军队等,解决用户日常的业务办公、数据加解密、安全访问等问题,并提供丰富的安全解决方案,让你的安全更智慧!(作者 何思思)