压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

首先有請岱達(dá)金融金融副總裁兼CTO熊軍，他給大家匯報的主題是互聯(lián)網(wǎng)金融交易平臺安全思考。有請。

熊軍：各位來賓，大家下午好！我是岱達(dá)金融聯(lián)合創(chuàng)始人兼副總裁熊軍。對互聯(lián)網(wǎng)金融這個行業(yè)來說，大家已經(jīng)不太陌生了。如果說這個事情在2013年可能大家覺得互聯(lián)網(wǎng)金融僅僅是一個P2P，隨著兩年時間的過去，隨著移動金融以及互聯(lián)網(wǎng)金融、金融創(chuàng)新和”互聯(lián)網(wǎng)+”戰(zhàn)略等一系列措施的發(fā)展，整個互聯(lián)網(wǎng)金融已經(jīng)從一個點擴展到線和面了，從這個角度我們看整個互聯(lián)網(wǎng)金融拓展成多個形態(tài)向縱深、垂直兩個方向發(fā)展。

對于我有幸從銀行領(lǐng)域轉(zhuǎn)到互聯(lián)網(wǎng)金融領(lǐng)域，我自己在銀行從事了將近13年研發(fā)工作，后來創(chuàng)立這樣一個金融平臺，確實是有很多的體會和感受，所以今天下午和行業(yè)內(nèi)的安全大佬、大師們做一個溝通和分享。

在互聯(lián)網(wǎng)金融領(lǐng)域的安全的點特別多，所以它遇到的問題也特別多，總的來說，痛點特別多。到底安全領(lǐng)域中，我們需要做哪些事情，其實安全是一個立體綜合的大的包。上午百度騰訊的專家都有提到，從云管端三個層面立體的角度思考安全，我理解安全也是一個立體的東西。上至政策社會以及整個財經(jīng)和政治的這樣一些大環(huán)境到整個監(jiān)管層面的中層環(huán)境，以及到行業(yè)內(nèi)細(xì)分環(huán)境來說，面臨的不僅僅是IT安全這樣一個簡單的東西。

具體到技術(shù)安全角度可以分享的內(nèi)容特別多，從安全攻防、漏洞掃描等等來說，我想在座的以及今天都有很多的廠商，他們在各自的領(lǐng)域都有非常多的解決方案，我想和大家分享的不是解決方案，我站在客戶的立場和互聯(lián)網(wǎng)金融平臺創(chuàng)立人的立場，我想和大家分享的更多是基于業(yè)務(wù)層面的互聯(lián)網(wǎng)金融安全。拋出這個問題，更多的是給大家做一個拋磚的過程，希望能夠獲得大家更多的建議，或者是引導(dǎo)大家往一個更深更廣的角度去思考，互聯(lián)網(wǎng)金融這樣一個領(lǐng)域可做的安全還是非常多的。

剛才我提到了，整個互聯(lián)網(wǎng)金融的安全是一個綜合、立體全面的過程。端有客戶端、傳輸端、服務(wù)端和云端的一系列的安全。本身安全是一個比較大的系統(tǒng)性的工程，尤其很多同事都知道，安全問題往往不是一個技術(shù)問題那么簡單，甚至更多層面的人為的問題，流程制度的問題要遠(yuǎn)遠(yuǎn)大于技術(shù)層面的問題。從這個角度來說，安全問題是一個很綜合立體的包。所以，我更愿意作為我們公司的技術(shù)方面的負(fù)責(zé)人，給愿意從流程、制度以及整個人為因素防控關(guān)于安全這塊的問題，當(dāng)然技術(shù)是不可或缺的一部分。

這是剛才我提到的一個關(guān)于多層次的安全體系，這其實是一張平面圖，但更愿意把它理解為立體的綜合的圖。從最上面我們關(guān)注的有數(shù)據(jù)庫、審計和快照和整個數(shù)據(jù)層面的，還有應(yīng)用層面的東西，應(yīng)用層面的東西比較多，涉及到有端的，也有云的，還有代碼的各種安全。從系統(tǒng)角度有主機入侵、加固和端口的。從云的角度說有各種行為的分析、防控和策略部署。從網(wǎng)絡(luò)角度來說更復(fù)雜一些了。

物理安全如果在云端的話，在公有云上面就沒有這一塊了，如果在IDC的話這塊也是不可或缺的。當(dāng)時我們在民生做機房的時候連老鼠都會考慮，因為老鼠會咬斷很多東西。這里面也有很多專業(yè)人士，我就不闡述細(xì)的東西了。從上倒下，安全是滲透到每一個層次、每一個層面的安全業(yè)務(wù)的環(huán)節(jié)，我要強調(diào)的是安全永遠(yuǎn)是立體的過程，上至國家政策和下至每一條日志的審核。

今天我要分享的主題，因為我覺得單純從技術(shù)角度說或者是從整個互聯(lián)網(wǎng)行業(yè)來說，這個問題太大，我更想和大家分享的是關(guān)于互聯(lián)網(wǎng)金融細(xì)分領(lǐng)域，我們在業(yè)務(wù)角度切入安全的話題。對于互聯(lián)網(wǎng)金融領(lǐng)域，簡單來說分成線上線下的，現(xiàn)在鋪天蓋地的廣告都是互聯(lián)網(wǎng)金融的，其實他們真正的形態(tài)相差很遠(yuǎn)，有專注于眾籌，有專注于2C、2B、消費金融或者供應(yīng)鏈金融等大趨勢。從這些趨勢來說，我個人覺得只要是線上的平臺一定是要在業(yè)務(wù)上專注于如下幾個方面，目前從整個互聯(lián)網(wǎng)金融來說，在我了解的過程中，只有不到10家公司在這方面真正做到了或者已經(jīng)做了，其他的至少還處在暫時不考慮或者嘗試，或者準(zhǔn)備的階段。

第一，很常見的傳輸問題。很明顯的SSL協(xié)議有一個過程，它可以把信息通過在傳輸層面解決明文的問題，它的底層其實是基于ISA的。目前我們看到很多網(wǎng)站沒有做到這一塊，它的密碼甚至都是明文傳輸?shù)?，甚至在整個過程中，連簡單的防機器攻擊的部分都沒有做，也就是驗證碼都沒有，這一點是首要的一點，至少在敏感信息傳輸?shù)臅r候，一定要用SSL協(xié)議，也就是HTTP協(xié)議，為什么很多企業(yè)不愿意用呢，因為SSL一上去對整個傳輸效率有很大的影響，所以我個人在這方面建議的做法是涉及到敏感信息的時候起用SSL協(xié)議，不敏感的時候直接用HTTP協(xié)議。配置的時候有一個麻煩，是全局起用還是局部起用，局部起用的時候我們典型的做法是直接用異步的后臺來起用，我們會把整個敏感信息通過后臺異步的方式提交到客戶端，客戶看起來全站都沒有用SSL協(xié)議，在但在局部的時候是用了SSL協(xié)議的，這是一個簡單的執(zhí)行的方式，但做到了在客戶體驗和安全上的平衡。

第二，關(guān)于簽名的過程。我們知道所有的金融交易如果沒有簽名很明顯就會存在一個抵賴的問題。如何解決這個問題，在互聯(lián)網(wǎng)金融前，金融行業(yè)有一整套的完整的解決方案，比如說關(guān)于飛金誠信（音）這樣的供應(yīng)商，或者天宏（音）這樣的供應(yīng)商他們都有一系列的軟硬件的解決方案出來。從技術(shù)的角度來說就是做了電子簽名，首先中國有電子簽名法，電子簽名是受到法律保護的。但目前互聯(lián)網(wǎng)金融的平臺，其實我理解下來，真正做到電子簽名的，就是對合同電子簽名的好像只有宜人貸和投米網(wǎng)（音）做到了，其他的平臺的電子簽名基本上都是偽簽名，這種偽簽名什么意思呢？PDF上看似蓋章了，但卻沒有經(jīng)過數(shù)字證書的簽名，所以，本身這一點從一般的投資者來說看不到這種本質(zhì)的區(qū)別，我看到的同樣是一份PDF協(xié)議，但有沒有做電子簽名，很多投資者是感知不到的。在銀行的方案里面，其實很完整，包括軟證書、硬證書、一代、二代、三代、四代很多數(shù)字簽名的體系，現(xiàn)在有挑戰(zhàn)應(yīng)答的方式了，基本不太可能有偽冒的程度。最早是基于瀏覽器的文件證書，從這個角度說，總結(jié)一下目前的電子簽名在整個互聯(lián)網(wǎng)金融領(lǐng)域做的非常不好，但這里面有一種國際上比較認(rèn)可的，比如維薩和萬事達(dá)這樣的卡組織有一個可以替代電子簽名的雙因素認(rèn)證，就是你所擁有和你所知道的兩個因素。國內(nèi)比較普遍的是我們經(jīng)常用到的手機動態(tài)密碼，為什么可以和雙因素配合呢？你所擁有的是你的手機，你所知道的是你的交易密碼。我們把手機，比如上午很多BAT的人也提到了，手機其實是我們整個身體器官的一部分，你擁有的手機就是你身體的一部分，能夠表明是你本人發(fā)起的交易，這是國際上認(rèn)可的一種雙因素的認(rèn)證。在整個目前的互聯(lián)網(wǎng)金融里雙因素認(rèn)證目前非常普遍，幾乎都會采用這樣一種方式。比如在核心的交易環(huán)節(jié)，就會起用動態(tài)密碼這樣一個證明是由本人發(fā)起的一個動作。

在之前的金融領(lǐng)域里，我們看到大部分都是用的軟證書或者硬證書，也就是U-key，還有一種所謂的動態(tài)令牌，比如光大銀行使用的這種。但對互聯(lián)網(wǎng)銀行來說太煩瑣了，所以都會起用雙因素認(rèn)證，基本上都會采用手機動態(tài)密碼的方式。

這種方式有好也有不好，麻煩的是還存在一系列的安全隱患，當(dāng)然安全隱患比較低，大概安全的隱患可能是SIM卡的復(fù)制，短信延遲和到達(dá)率對客戶體驗的影響。我們說安全和交易的便捷性之間永遠(yuǎn)是一個需要去平衡的點，如果這個交易足夠安全，那么對它的體驗是會帶來傷害的。所以，交易的便捷性，就拿體驗好的網(wǎng)站和極度安全的網(wǎng)站來說永遠(yuǎn)有一個平衡的關(guān)系，目前整個互聯(lián)網(wǎng)金融中普遍的做法還是起用了雙因素的認(rèn)證，只有極個別的，像投米（音）和宜人貸（音）會完全起用數(shù)字證書的方式來做數(shù)字簽名。

這是我們在防抵賴，在安全領(lǐng)域證明這一筆交易是由你發(fā)出的，在這樣的維度講業(yè)務(wù)的安全，對不同的行業(yè)和不同的領(lǐng)域，不同的環(huán)節(jié)，甚至不同的這種交易平臺對這一部分的考慮是不一樣的。有的需要犧牲安全，有的把安全看得特別重。今天是為數(shù)不多的來自互聯(lián)網(wǎng)金融的領(lǐng)域需要給大家分享的一個代表，所以，這里我覺得可以給大家做一個借鑒。

第二，電子文件的簽名。這可以涉及到一系列交易中的電子文件，比如合同，通常這個合同只有甲乙雙方簽字了。在整個互聯(lián)網(wǎng)企業(yè)下，我們說電子簽名已經(jīng)不是那么好實現(xiàn)了，它要么是采用數(shù)字證書的方式，也會有各種載體，但在互聯(lián)網(wǎng)金融下，它對客戶的體驗還是有傷害的。比如我們在用銀行的時候，更多是需要你去銀行辦一個類似于U盾UKey，下載一個公鑰和私鑰裝在瀏覽器，從而發(fā)起一個電子簽名。我們看到現(xiàn)場也有亞洲誠信這樣的供應(yīng)商他們也有完整的解決方案，這是在電子簽名這塊我的一個思考，給大家分享。

第三，數(shù)據(jù)方面。從數(shù)據(jù)的角度來說，目前大家在互聯(lián)網(wǎng)金融平臺有一個直接的擔(dān)心，我投到你這里的錢會不會第二天就沒了，這是一個簡單的問題，可能所有的投資者都問這個平臺這個問題，你這個平臺是不是安全的。首先第一個關(guān)心的是你的產(chǎn)品是不是安全的，會不會出現(xiàn)逾期，會不會出現(xiàn)違約。第二個是說你老板是不是安全的，老板會不會跑路，有沒有這樣的道德問題。第三個層面大家會問到我的帳戶和數(shù)據(jù)是不是安全的，那就是第三個層面的問題，我相信你把錢投給你，下一步你的平臺是不是安全的，你的數(shù)據(jù)是不是安全的，所以更多從數(shù)據(jù)層面來講，我想今天在座的也有很多是來自廠商的，對這個本身的數(shù)據(jù)，不管是云端的數(shù)據(jù)還是放在我機房里服務(wù)器上的數(shù)據(jù)，都會有很多的解決方案。最簡單的還是備份，不管是冷備還是熱備，這個行業(yè)里有很多連這個簡單的動作都沒有做的。所以也是提一個建議，對整個行業(yè)至少可以說是最低配置，這些事情是一定要去做的。

關(guān)于后臺日志。我們知道對于內(nèi)部安全來說，我們唯一做的事情是當(dāng)事故發(fā)生的時候我們可以審計。審計的時候做得好的有良好的審計系統(tǒng)，做得不好的至少可以在最低限度對日志本身有一個保護，這個時候我們在挪日志的時候，比如日志從備份服務(wù)器挪到其他服務(wù)器的時候，日志本身會不會被篡改的這樣一個問題。這里會有很多的解決方案保證日志不被篡改，日志是我們整個審核過程中很重要的一環(huán)。

今天從我個人在互聯(lián)網(wǎng)金融領(lǐng)域中一些點滴的思考，當(dāng)然我覺得這是關(guān)于安全領(lǐng)域的話題特別多，時間非常有限，給大家做的分享比較簡單一些，但更多是起到拋磚引玉的作用，互聯(lián)網(wǎng)金融領(lǐng)域總的來說很開放，也是一個很新的和不斷發(fā)展的領(lǐng)域。簡單來說向垂直和縱深發(fā)展，我覺得每個領(lǐng)域在整個互聯(lián)網(wǎng)金融細(xì)分中，可能會需要找到自己適合的一種安全解決方案，并不是說越安全的就越好，我覺得適合自己平臺的就是最好的。

這是今天給大家做的一個內(nèi)容分享，非常感謝。