互聯網金融安全縱向思考
責編:rhliu |2015-07-22 13:46:23隨著移動金融以及互聯網金融、金融創新和“互聯網+”戰略等一系列措施的發展實施,互聯網金融已經從點(P2P)擴展到線、面,形成多形態、多方向發展的格局。7月1日,賽可達實驗室主辦的中國網絡安全大會上,岱達金融副總裁兼CTO熊軍分享互聯網金融安全各種縱向思考。
互聯網金融的安全是一個綜合、立體全面的過程。一個多層次的安全體系不僅包括數據安全,還包括應用安全及物理安全。數據安全包括數據庫、審計和快照,應用安全包括端安全、云安全、代碼安全等等。物理安全包括在IDC的物理安全。
互聯網金融有眾籌,2C、2B、消費金融、供應鏈金融等形式。又分成線上線下兩種方式。線上互聯網金融需要注意以下幾種安全問題。
- 傳輸。目前國內很多網站因為SSL協議會影響傳輸效率,所以在數據傳輸過程中并沒有利用SSL協議解決密碼明文問題,甚至在整個過程中防機器攻擊部分都缺失。筆者建議在涉及敏感信息時局部利用SSL協議來傳輸數據。如何局部利用SSL協議呢?通常把敏感信息通過后臺異步處理的提交到客戶端的方式。
- 簽名過程。如何解決金融交易中沒有簽名會產生的抵賴問題。對于服務供應商來說會有一系列的硬件、軟件解決方案,而從互聯網領域我們可以做電子簽名,但目前國內互聯網金融平臺的電子簽名基本上都是偽簽名——PDF上有公章,但是卻沒有經過數字證書認證的簽名。對于用戶來說,PDF協議有沒有做電子簽名他們是不知道的。
在傳統金融領域,在簽名過程中,我們常采用U-KEY和動態令牌的形式,但在互聯網金融領域通常會采用雙因素認證,國內常見的雙因素認證是在核心交易環節采用手機動態密碼的形式。
- 電子文件的簽名。在一系列涉及到交易的電子文件中需要簽名,但目前的互聯網行業并不好實施電子文件的簽名。一般在互聯網的電子文件簽名采用數字證書的形式,但數字證書存在各種載體,這種載體對用戶體驗存在一定的影響。
- 數據安全。在互聯網金融領域,投資者會從產品、道德、平臺等層次考慮數據安全問題。不管是云端還是機房里的數據,都會有很多的解決方案。最簡單的還是備份,冷備還是熱備。
- 后臺日志。對于內部安全來說,唯一做的事情是當事故發生的時候審計。這里會有很多的解決方案保證日志不被篡改,日志是我們整個審核過程中很重要的一環。
