压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　在2014中國互聯(lián)網(wǎng)安全大會(huì)第二天的APT防御技術(shù)論壇中，國家信息技術(shù)安全研究中心特種技術(shù)檢測處隊(duì)長曹岳帶來“以金融行業(yè)為例，漫談APT防御”的主題分享，其中講到三個(gè)部分：金融安全態(tài)勢、實(shí)例分享及APT的攻防之道。

　　曹岳表示，“真實(shí)參與的高強(qiáng)度的攻擊在金融系統(tǒng)中并不常見，從銀行抽查情況來看，安全性整體較好。認(rèn)證體系基本完善，應(yīng)用技術(shù)世界領(lǐng)先。在我國的電子銀行認(rèn)證基本上是很復(fù)雜的認(rèn)證體系，包括多因子、雙因子，甚至是三因子，轉(zhuǎn)帳、帳號(hào)、密碼。這種技術(shù)的應(yīng)用在國外是不可想象的。”

　　曹岳講到，“我們在國外亞馬遜進(jìn)行支付的時(shí)候，只需要通過一個(gè)帳號(hào)。系統(tǒng)防御體系趨于成熟，防御能力較高。我們曾經(jīng)和一家銀行的安全主管講到網(wǎng)絡(luò)防御可能是處于弱勢。他當(dāng)時(shí)就說你知道我們一年投入多少個(gè)億在安全防御上嗎？當(dāng)時(shí)我沒有跟他爭論。我認(rèn)為我們應(yīng)該從風(fēng)險(xiǎn)控制系統(tǒng)逐漸開展工作。風(fēng)險(xiǎn)控制是金融在線支付講得比較多的話題。第三方支付的風(fēng)險(xiǎn)控制更多一些。目前政策監(jiān)管在加強(qiáng)，管理層安全意識(shí)也在加強(qiáng)。所以銀行從宏觀到微觀都進(jìn)行了雙重監(jiān)管。”

　　從高強(qiáng)度滲透測試來看，曹岳認(rèn)為，“大規(guī)模的網(wǎng)絡(luò)攻擊依然存在風(fēng)險(xiǎn)，從國家的信息安全角度來看，挑戰(zhàn)依然嚴(yán)峻。國產(chǎn)化率較低，自主可控的壓力較大。我認(rèn)為金融系統(tǒng)更多的是偏應(yīng)用，而對于核心設(shè)備這塊，金融系統(tǒng)是不掌握核心技術(shù)的，因此存在一定風(fēng)險(xiǎn)。”

　　另外，曹岳還表示，“系統(tǒng)復(fù)雜，防御滯后，安全動(dòng)態(tài)變化，科技風(fēng)險(xiǎn)集中。在2000年以后，金融系統(tǒng)的數(shù)據(jù)大規(guī)模集中。黑色產(chǎn)業(yè)鏈趨利化、集團(tuán)化、跨境化。當(dāng)我們防御某個(gè)攻擊的時(shí)候，不法分子的攻擊速度已經(jīng)遠(yuǎn)遠(yuǎn)超出了安全防御的框架。相關(guān)法律法規(guī)、信用體系仍待完善。在金融系統(tǒng)，我們說技術(shù)上領(lǐng)先，但這是一種悲哀，因?yàn)槲覀兊男畔⒖萍及l(fā)展太快了，我們個(gè)人的信息安全意識(shí)還有待提升。”

　　面對金融系統(tǒng)大都采用世界上最先進(jìn)的防御體系，我們也對他們的防疫能力進(jìn)行了穿透性測試，曹岳表示，“大概有20%的銀行防護(hù)能力較低，容易被直接穿透。而對于網(wǎng)站安全等級(jí)及趨勢，從十八大以后開始對金融網(wǎng)站進(jìn)行監(jiān)測，每個(gè)月會(huì)出一個(gè)報(bào)告。根據(jù)360在2014年發(fā)布的互聯(lián)網(wǎng)安全報(bào)告，金融網(wǎng)站的平均漏洞比例大概是50%。”

　　實(shí)例分享

　　曹岳在現(xiàn)場為我們分享了四個(gè)經(jīng)典案例，“第一個(gè)是邏輯缺陷。在轉(zhuǎn)帳的過程中，輸入一個(gè)負(fù)數(shù)，對方的錢就轉(zhuǎn)過來了。所以黑客在發(fā)現(xiàn)的上百個(gè)漏洞里面，認(rèn)為這個(gè)漏洞是最讓他們“開心”的漏洞。第二個(gè)是信息泄露。在2001年，CSDN有一個(gè)“經(jīng)典”信息漏洞事件。第三個(gè)是銀行信息泄露的情況。這些信息是通過復(fù)雜的攻擊手段獲得的。如果一個(gè)黑客進(jìn)行持續(xù)的攻擊，他可能比一個(gè)銀行掌握的信息還要多。第四個(gè)是交易劫持的案例。舉個(gè)簡單的例子。我們在過安檢的時(shí)候，是一個(gè)人對一個(gè)身份證，如果后臺(tái)驗(yàn)證不清楚，我們給了一個(gè)身份證，但是哪個(gè)人過去是不清楚的，這個(gè)一個(gè)案例是對加密協(xié)議的破解。“

　　曹岳認(rèn)為，“從攻擊的角度來講，金融系統(tǒng)需要照顧自身的安全和用戶信息的安全，存在一定的風(fēng)險(xiǎn)。從防御來看有兩個(gè)案例：第一個(gè)是DDOS攻擊，今天我們將是通過大數(shù)據(jù)的方式進(jìn)行DDOS的溯源。DDOS攻擊的溯源是很困難的，主要是因?yàn)槲覀冋莆盏姆烙畔⒈容^少。如果掌握互聯(lián)網(wǎng)的數(shù)據(jù)，任何一個(gè)DDOS攻擊都可以溯源。通過這些攻擊行為以及分析攻擊網(wǎng)站背后的心理狀態(tài)。第二個(gè)是大規(guī)模釣魚的分析。這個(gè)案例是病毒木馬的釣魚。有人問我一個(gè)問題，他的網(wǎng)上銀行開了這么多年，為什么在今年才被釣魚呢？我們分析一下釣魚的成本，它的攻擊方式是不法分子以廣告的形式誘騙用戶上釣魚網(wǎng)站。假設(shè)銀行的用戶總量是m，隨手機(jī)用戶總量是n為，上當(dāng)?shù)母怕适莗，一條短信的價(jià)格是a。在2009年，有800萬用戶，釣魚的成本是3萬。到2011年，用戶量是3000萬，釣魚成本就是8300塊錢。攻防不僅是技術(shù)的對行，更是利益的對抗。黑客投了幾萬塊錢在某個(gè)省進(jìn)行了試點(diǎn)，發(fā)現(xiàn)賺錢了，就開始投了幾十萬。最后一次攻擊是一次性投入幾百萬發(fā)短信。防御的方式很簡單，就是加一把鎖進(jìn)行認(rèn)證。”

　　APT攻防之道

　　最后，曹岳介紹APT的攻防之道。表示，“技術(shù)防控的演進(jìn)，傳統(tǒng)豎井式的防御體系，幾百套的應(yīng)用系統(tǒng)都是豎井式的防御體系。在面對高強(qiáng)度攻擊的時(shí)候，它是存在很大缺陷的。新一代的防御體系，應(yīng)該是具有智能的威脅感知能力。孫在2000年前就提出了網(wǎng)絡(luò)攻防的方法，就是知己知彼。我認(rèn)為金融行業(yè)的土豪可以買最好的設(shè)備，知道自己的系統(tǒng)情況，但在是需要加強(qiáng)知彼能力的。而從業(yè)務(wù)防控的演進(jìn)可以看出2006年到2014年的發(fā)展體系。當(dāng)我們提供便捷支付的時(shí)候，更多的考慮是去鑰匙，我通過分析這個(gè)人的走路形態(tài)和眼神是不是可疑的。”

　　曹岳表示，“2014年是互聯(lián)網(wǎng)金融的時(shí)代，金融支付已經(jīng)貫穿到存、貸、流通各個(gè)層面，安全問題是跨平臺(tái)、跨地域的，安全問題更加復(fù)雜，誰的電腦上中了一個(gè)病毒，這個(gè)病毒可能是淘寶的商家誘騙它的買家，最后這個(gè)錢是從某個(gè)銀行的信用卡里出去的。另一個(gè)關(guān)聯(lián)依賴的數(shù)字金融網(wǎng)絡(luò)，攻擊一個(gè)金融系統(tǒng)就意味著攻擊整個(gè)金融系統(tǒng)，沒有一個(gè)人可以逃脫這種攻擊。雖然每個(gè)金融機(jī)構(gòu)在業(yè)務(wù)上是競爭的，但我們在金融上面臨著同樣的安全風(fēng)險(xiǎn)。隨著黑色產(chǎn)業(yè)鏈的發(fā)展，我們有必要聯(lián)合起來進(jìn)行共同防御。需要安全服務(wù)商、金融機(jī)構(gòu)和主管部門以及金融參與者的聯(lián)合，只有聯(lián)合起來才能戰(zhàn)勝攻擊。

　　最后，曹岳總結(jié)，”某個(gè)支付機(jī)構(gòu)的高管要懸賞100萬，把帳號(hào)密碼向全社會(huì)公布。最后經(jīng)過技術(shù)人員的評(píng)估，他們對系統(tǒng)是很有信心的，但對APT沒信心，如果要攻擊郵件怎么辦呢？也許不一定能扛得住。最后我想對奮斗在APT攻防一線的人員致敬，他們給我們提供了更加方便、更加便捷的金融網(wǎng)絡(luò)安全支付環(huán)境。”