压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　在2014中國互聯網安全大會第二天的APT防御技術論壇中，國家信息技術安全研究中心特種技術檢測處隊長曹岳帶來“以金融行業為例，漫談APT防御”的主題分享，其中講到三個部分：金融安全態勢、實例分享及APT的攻防之道。

　　曹岳表示，“真實參與的高強度的攻擊在金融系統中并不常見，從銀行抽查情況來看，安全性整體較好。認證體系基本完善，應用技術世界領先。在我國的電子銀行認證基本上是很復雜的認證體系，包括多因子、雙因子，甚至是三因子，轉帳、帳號、密碼。這種技術的應用在國外是不可想象的。”

　　曹岳講到，“我們在國外亞馬遜進行支付的時候，只需要通過一個帳號。系統防御體系趨于成熟，防御能力較高。我們曾經和一家銀行的安全主管講到網絡防御可能是處于弱勢。他當時就說你知道我們一年投入多少個億在安全防御上嗎？當時我沒有跟他爭論。我認為我們應該從風險控制系統逐漸開展工作。風險控制是金融在線支付講得比較多的話題。第三方支付的風險控制更多一些。目前政策監管在加強，管理層安全意識也在加強。所以銀行從宏觀到微觀都進行了雙重監管。”

　　從高強度滲透測試來看，曹岳認為，“大規模的網絡攻擊依然存在風險，從國家的信息安全角度來看，挑戰依然嚴峻。國產化率較低，自主可控的壓力較大。我認為金融系統更多的是偏應用，而對于核心設備這塊，金融系統是不掌握核心技術的，因此存在一定風險。”

　　另外，曹岳還表示，“系統復雜，防御滯后，安全動態變化，科技風險集中。在2000年以后，金融系統的數據大規模集中。黑色產業鏈趨利化、集團化、跨境化。當我們防御某個攻擊的時候，不法分子的攻擊速度已經遠遠超出了安全防御的框架。相關法律法規、信用體系仍待完善。在金融系統，我們說技術上領先，但這是一種悲哀，因為我們的信息科技發展太快了，我們個人的信息安全意識還有待提升。”

　　面對金融系統大都采用世界上最先進的防御體系，我們也對他們的防疫能力進行了穿透性測試，曹岳表示，“大概有20%的銀行防護能力較低，容易被直接穿透。而對于網站安全等級及趨勢，從十八大以后開始對金融網站進行監測，每個月會出一個報告。根據360在2014年發布的互聯網安全報告，金融網站的平均漏洞比例大概是50%。”

　　實例分享

　　曹岳在現場為我們分享了四個經典案例，“第一個是邏輯缺陷。在轉帳的過程中，輸入一個負數，對方的錢就轉過來了。所以黑客在發現的上百個漏洞里面，認為這個漏洞是最讓他們“開心”的漏洞。第二個是信息泄露。在2001年，CSDN有一個“經典”信息漏洞事件。第三個是銀行信息泄露的情況。這些信息是通過復雜的攻擊手段獲得的。如果一個黑客進行持續的攻擊，他可能比一個銀行掌握的信息還要多。第四個是交易劫持的案例。舉個簡單的例子。我們在過安檢的時候，是一個人對一個身份證，如果后臺驗證不清楚，我們給了一個身份證，但是哪個人過去是不清楚的，這個一個案例是對加密協議的破解。“

　　曹岳認為，“從攻擊的角度來講，金融系統需要照顧自身的安全和用戶信息的安全，存在一定的風險。從防御來看有兩個案例：第一個是DDOS攻擊，今天我們將是通過大數據的方式進行DDOS的溯源。DDOS攻擊的溯源是很困難的，主要是因為我們掌握的防御信息比較少。如果掌握互聯網的數據，任何一個DDOS攻擊都可以溯源。通過這些攻擊行為以及分析攻擊網站背后的心理狀態。第二個是大規模釣魚的分析。這個案例是病毒木馬的釣魚。有人問我一個問題，他的網上銀行開了這么多年，為什么在今年才被釣魚呢？我們分析一下釣魚的成本，它的攻擊方式是不法分子以廣告的形式誘騙用戶上釣魚網站。假設銀行的用戶總量是m，隨手機用戶總量是n為，上當的概率是p，一條短信的價格是a。在2009年，有800萬用戶，釣魚的成本是3萬。到2011年，用戶量是3000萬，釣魚成本就是8300塊錢。攻防不僅是技術的對行，更是利益的對抗。黑客投了幾萬塊錢在某個省進行了試點，發現賺錢了，就開始投了幾十萬。最后一次攻擊是一次性投入幾百萬發短信。防御的方式很簡單，就是加一把鎖進行認證。”

　　APT攻防之道

　　最后，曹岳介紹APT的攻防之道。表示，“技術防控的演進，傳統豎井式的防御體系，幾百套的應用系統都是豎井式的防御體系。在面對高強度攻擊的時候，它是存在很大缺陷的。新一代的防御體系，應該是具有智能的威脅感知能力。孫在2000年前就提出了網絡攻防的方法，就是知己知彼。我認為金融行業的土豪可以買最好的設備，知道自己的系統情況，但在是需要加強知彼能力的。而從業務防控的演進可以看出2006年到2014年的發展體系。當我們提供便捷支付的時候，更多的考慮是去鑰匙，我通過分析這個人的走路形態和眼神是不是可疑的。”

　　曹岳表示，“2014年是互聯網金融的時代，金融支付已經貫穿到存、貸、流通各個層面，安全問題是跨平臺、跨地域的，安全問題更加復雜，誰的電腦上中了一個病毒，這個病毒可能是淘寶的商家誘騙它的買家，最后這個錢是從某個銀行的信用卡里出去的。另一個關聯依賴的數字金融網絡，攻擊一個金融系統就意味著攻擊整個金融系統，沒有一個人可以逃脫這種攻擊。雖然每個金融機構在業務上是競爭的，但我們在金融上面臨著同樣的安全風險。隨著黑色產業鏈的發展，我們有必要聯合起來進行共同防御。需要安全服務商、金融機構和主管部門以及金融參與者的聯合，只有聯合起來才能戰勝攻擊。

　　最后，曹岳總結，”某個支付機構的高管要懸賞100萬，把帳號密碼向全社會公布。最后經過技術人員的評估，他們對系統是很有信心的，但對APT沒信心，如果要攻擊郵件怎么辦呢？也許不一定能扛得住。最后我想對奮斗在APT攻防一線的人員致敬，他們給我們提供了更加方便、更加便捷的金融網絡安全支付環境。”