NSC2015熊軍:互聯網金融交易平臺安全思考
責編:penggao |2015-07-06 10:51:00首先有請岱達金融金融副總裁兼CTO熊軍,他給大家匯報的主題是互聯網金融交易平臺安全思考。有請。
熊軍:各位來賓,大家下午好!我是岱達金融聯合創始人兼副總裁熊軍。對互聯網金融這個行業來說,大家已經不太陌生了。如果說這個事情在2013年可能大家覺得互聯網金融僅僅是一個P2P,隨著兩年時間的過去,隨著移動金融以及互聯網金融、金融創新和”互聯網+”戰略等一系列措施的發展,整個互聯網金融已經從一個點擴展到線和面了,從這個角度我們看整個互聯網金融拓展成多個形態向縱深、垂直兩個方向發展。
對于我有幸從銀行領域轉到互聯網金融領域,我自己在銀行從事了將近13年研發工作,后來創立這樣一個金融平臺,確實是有很多的體會和感受,所以今天下午和行業內的安全大佬、大師們做一個溝通和分享。
在互聯網金融領域的安全的點特別多,所以它遇到的問題也特別多,總的來說,痛點特別多。到底安全領域中,我們需要做哪些事情,其實安全是一個立體綜合的大的包。上午百度騰訊的專家都有提到,從云管端三個層面立體的角度思考安全,我理解安全也是一個立體的東西。上至政策社會以及整個財經和政治的這樣一些大環境到整個監管層面的中層環境,以及到行業內細分環境來說,面臨的不僅僅是IT安全這樣一個簡單的東西。
具體到技術安全角度可以分享的內容特別多,從安全攻防、漏洞掃描等等來說,我想在座的以及今天都有很多的廠商,他們在各自的領域都有非常多的解決方案,我想和大家分享的不是解決方案,我站在客戶的立場和互聯網金融平臺創立人的立場,我想和大家分享的更多是基于業務層面的互聯網金融安全。拋出這個問題,更多的是給大家做一個拋磚的過程,希望能夠獲得大家更多的建議,或者是引導大家往一個更深更廣的角度去思考,互聯網金融這樣一個領域可做的安全還是非常多的。
剛才我提到了,整個互聯網金融的安全是一個綜合、立體全面的過程。端有客戶端、傳輸端、服務端和云端的一系列的安全。本身安全是一個比較大的系統性的工程,尤其很多同事都知道,安全問題往往不是一個技術問題那么簡單,甚至更多層面的人為的問題,流程制度的問題要遠遠大于技術層面的問題。從這個角度來說,安全問題是一個很綜合立體的包。所以,我更愿意作為我們公司的技術方面的負責人,給愿意從流程、制度以及整個人為因素防控關于安全這塊的問題,當然技術是不可或缺的一部分。
這是剛才我提到的一個關于多層次的安全體系,這其實是一張平面圖,但更愿意把它理解為立體的綜合的圖。從最上面我們關注的有數據庫、審計和快照和整個數據層面的,還有應用層面的東西,應用層面的東西比較多,涉及到有端的,也有云的,還有代碼的各種安全。從系統角度有主機入侵、加固和端口的。從云的角度說有各種行為的分析、防控和策略部署。從網絡角度來說更復雜一些了。
物理安全如果在云端的話,在公有云上面就沒有這一塊了,如果在IDC的話這塊也是不可或缺的。當時我們在民生做機房的時候連老鼠都會考慮,因為老鼠會咬斷很多東西。這里面也有很多專業人士,我就不闡述細的東西了。從上倒下,安全是滲透到每一個層次、每一個層面的安全業務的環節,我要強調的是安全永遠是立體的過程,上至國家政策和下至每一條日志的審核。
今天我要分享的主題,因為我覺得單純從技術角度說或者是從整個互聯網行業來說,這個問題太大,我更想和大家分享的是關于互聯網金融細分領域,我們在業務角度切入安全的話題。對于互聯網金融領域,簡單來說分成線上線下的,現在鋪天蓋地的廣告都是互聯網金融的,其實他們真正的形態相差很遠,有專注于眾籌,有專注于2C、2B、消費金融或者供應鏈金融等大趨勢。從這些趨勢來說,我個人覺得只要是線上的平臺一定是要在業務上專注于如下幾個方面,目前從整個互聯網金融來說,在我了解的過程中,只有不到10家公司在這方面真正做到了或者已經做了,其他的至少還處在暫時不考慮或者嘗試,或者準備的階段。
第一,很常見的傳輸問題。很明顯的SSL協議有一個過程,它可以把信息通過在傳輸層面解決明文的問題,它的底層其實是基于ISA的。目前我們看到很多網站沒有做到這一塊,它的密碼甚至都是明文傳輸的,甚至在整個過程中,連簡單的防機器攻擊的部分都沒有做,也就是驗證碼都沒有,這一點是首要的一點,至少在敏感信息傳輸的時候,一定要用SSL協議,也就是HTTP協議,為什么很多企業不愿意用呢,因為SSL一上去對整個傳輸效率有很大的影響,所以我個人在這方面建議的做法是涉及到敏感信息的時候起用SSL協議,不敏感的時候直接用HTTP協議。配置的時候有一個麻煩,是全局起用還是局部起用,局部起用的時候我們典型的做法是直接用異步的后臺來起用,我們會把整個敏感信息通過后臺異步的方式提交到客戶端,客戶看起來全站都沒有用SSL協議,在但在局部的時候是用了SSL協議的,這是一個簡單的執行的方式,但做到了在客戶體驗和安全上的平衡。
第二,關于簽名的過程。我們知道所有的金融交易如果沒有簽名很明顯就會存在一個抵賴的問題。如何解決這個問題,在互聯網金融前,金融行業有一整套的完整的解決方案,比如說關于飛金誠信(音)這樣的供應商,或者天宏(音)這樣的供應商他們都有一系列的軟硬件的解決方案出來。從技術的角度來說就是做了電子簽名,首先中國有電子簽名法,電子簽名是受到法律保護的。但目前互聯網金融的平臺,其實我理解下來,真正做到電子簽名的,就是對合同電子簽名的好像只有宜人貸和投米網(音)做到了,其他的平臺的電子簽名基本上都是偽簽名,這種偽簽名什么意思呢?PDF上看似蓋章了,但卻沒有經過數字證書的簽名,所以,本身這一點從一般的投資者來說看不到這種本質的區別,我看到的同樣是一份PDF協議,但有沒有做電子簽名,很多投資者是感知不到的。在銀行的方案里面,其實很完整,包括軟證書、硬證書、一代、二代、三代、四代很多數字簽名的體系,現在有挑戰應答的方式了,基本不太可能有偽冒的程度。最早是基于瀏覽器的文件證書,從這個角度說,總結一下目前的電子簽名在整個互聯網金融領域做的非常不好,但這里面有一種國際上比較認可的,比如維薩和萬事達這樣的卡組織有一個可以替代電子簽名的雙因素認證,就是你所擁有和你所知道的兩個因素。國內比較普遍的是我們經常用到的手機動態密碼,為什么可以和雙因素配合呢?你所擁有的是你的手機,你所知道的是你的交易密碼。我們把手機,比如上午很多BAT的人也提到了,手機其實是我們整個身體器官的一部分,你擁有的手機就是你身體的一部分,能夠表明是你本人發起的交易,這是國際上認可的一種雙因素的認證。在整個目前的互聯網金融里雙因素認證目前非常普遍,幾乎都會采用這樣一種方式。比如在核心的交易環節,就會起用動態密碼這樣一個證明是由本人發起的一個動作。
在之前的金融領域里,我們看到大部分都是用的軟證書或者硬證書,也就是U-key,還有一種所謂的動態令牌,比如光大銀行使用的這種。但對互聯網銀行來說太煩瑣了,所以都會起用雙因素認證,基本上都會采用手機動態密碼的方式。
這種方式有好也有不好,麻煩的是還存在一系列的安全隱患,當然安全隱患比較低,大概安全的隱患可能是SIM卡的復制,短信延遲和到達率對客戶體驗的影響。我們說安全和交易的便捷性之間永遠是一個需要去平衡的點,如果這個交易足夠安全,那么對它的體驗是會帶來傷害的。所以,交易的便捷性,就拿體驗好的網站和極度安全的網站來說永遠有一個平衡的關系,目前整個互聯網金融中普遍的做法還是起用了雙因素的認證,只有極個別的,像投米(音)和宜人貸(音)會完全起用數字證書的方式來做數字簽名。
這是我們在防抵賴,在安全領域證明這一筆交易是由你發出的,在這樣的維度講業務的安全,對不同的行業和不同的領域,不同的環節,甚至不同的這種交易平臺對這一部分的考慮是不一樣的。有的需要犧牲安全,有的把安全看得特別重。今天是為數不多的來自互聯網金融的領域需要給大家分享的一個代表,所以,這里我覺得可以給大家做一個借鑒。
第二,電子文件的簽名。這可以涉及到一系列交易中的電子文件,比如合同,通常這個合同只有甲乙雙方簽字了。在整個互聯網企業下,我們說電子簽名已經不是那么好實現了,它要么是采用數字證書的方式,也會有各種載體,但在互聯網金融下,它對客戶的體驗還是有傷害的。比如我們在用銀行的時候,更多是需要你去銀行辦一個類似于U盾UKey,下載一個公鑰和私鑰裝在瀏覽器,從而發起一個電子簽名。我們看到現場也有亞洲誠信這樣的供應商他們也有完整的解決方案,這是在電子簽名這塊我的一個思考,給大家分享。
第三,數據方面。從數據的角度來說,目前大家在互聯網金融平臺有一個直接的擔心,我投到你這里的錢會不會第二天就沒了,這是一個簡單的問題,可能所有的投資者都問這個平臺這個問題,你這個平臺是不是安全的。首先第一個關心的是你的產品是不是安全的,會不會出現逾期,會不會出現違約。第二個是說你老板是不是安全的,老板會不會跑路,有沒有這樣的道德問題。第三個層面大家會問到我的帳戶和數據是不是安全的,那就是第三個層面的問題,我相信你把錢投給你,下一步你的平臺是不是安全的,你的數據是不是安全的,所以更多從數據層面來講,我想今天在座的也有很多是來自廠商的,對這個本身的數據,不管是云端的數據還是放在我機房里服務器上的數據,都會有很多的解決方案。最簡單的還是備份,不管是冷備還是熱備,這個行業里有很多連這個簡單的動作都沒有做的。所以也是提一個建議,對整個行業至少可以說是最低配置,這些事情是一定要去做的。
關于后臺日志。我們知道對于內部安全來說,我們唯一做的事情是當事故發生的時候我們可以審計。審計的時候做得好的有良好的審計系統,做得不好的至少可以在最低限度對日志本身有一個保護,這個時候我們在挪日志的時候,比如日志從備份服務器挪到其他服務器的時候,日志本身會不會被篡改的這樣一個問題。這里會有很多的解決方案保證日志不被篡改,日志是我們整個審核過程中很重要的一環。
今天從我個人在互聯網金融領域中一些點滴的思考,當然我覺得這是關于安全領域的話題特別多,時間非常有限,給大家做的分享比較簡單一些,但更多是起到拋磚引玉的作用,互聯網金融領域總的來說很開放,也是一個很新的和不斷發展的領域。簡單來說向垂直和縱深發展,我覺得每個領域在整個互聯網金融細分中,可能會需要找到自己適合的一種安全解決方案,并不是說越安全的就越好,我覺得適合自己平臺的就是最好的。
這是今天給大家做的一個內容分享,非常感謝。