云计算、大数据、人工智能、区块链正影响着社会的各个角落,金融行业也是如此——这些技术正逐渐渗透到金融交易的前中后台,助力金融创新。
新技术的普及,带来了想象空间的同时,其硬币的另一面也露出狰狞的面孔——信息安全事件呈现高速增长的趋势,安全事件要么不发生,一发生就损失惨重。研究显示,平均每次网络安全事故,会给金融行业企业造成近100万美元的损失。
新技术、新形势下,那金融行业面临的安全挑战究竟有哪些?认识了这些挑战后,我们又应该如何破除这些金融安全防护的难题?
3月15日,网易云首席安全架构师沈明星受邀参加了第四届区块链金融与金融科技中国年会,并分享了《金融安全防护之道》的主题演讲。笔者整理了相关内容,分享给大家。
金融企业业务渠道越广、服务越多样化,安全问题就越突出
网易云首席安全架构师沈明星
沈明星拥有10年安全行业经验,在安全领域有丰富的实战经验。他主要从事安全防御体系建设、安全应急响应、云安全、安全服务产品化等工作,目前主致力于实践传统企业在向云进行迁移时利用云安全服务解决企业的安全需求。
这位网易云首席安全架构师在分享的一开始,就指出了互联网+时代金融服务在当下的四大特点。
分别是:
· 特点一,与用户的生活场景深度绑定
· 特点二,信息传播更广泛
· 特点三,金融数据规模海量化
· 特点四,数据处理由本地升入云端
这四大特点,让金融业务的渠道非常广,服务也多样化。然而金融创新的同时,很多安全问题也不断暴露。
比如内容安全层面,敏感信息、虚假信息泛滥;业务安全层面,机器注册、批量撞库、活动作弊、薅羊毛;移动安全层面,逆向破解、二次打包;网络安全层面,黑客攻击、木马后门、DDoS攻击、APT攻击等。
这只是大的层面,落到具体细节,沈明星认为金融企业存在的细节性问题如下:
· 账号密码重置
· 邮箱等存在弱口令,密码爆破
· SQL注入
· 无验证码或者验证码绕过
· 业务系统对公网开放
· 系统存在越权漏洞,可查看使用高权账号功能
· 数据库未授权访问(redis,mongodb)
· 上传文件没有做限制( getshell)
· 第三方软件(wordpress, dizcuz, 第三方支付漏洞)
· 客户端,服务器端 - 木马,蠕虫,Rootkit, 软件漏洞
· Web攻击 - XSS, SQL注入
· DDoS攻击, CC攻击
· 公司内部员工信息泄露 - 邮箱密码, Github账号 …
· 企业内部产品逻辑漏洞 - CSRF攻击,平行权限 …
· 薅羊毛、作弊
· 垃圾虚假信息泛滥
· DNS域名劫持,运营商劫持
· ……
保障金融行业信息安全,已刻不容缓,那面对这些安全挑战,金融企业该如何应对呢?
破解互联网金融安全防护难题
对于如何应对,网上一首打油诗有过形象描述:
监管文件抢头条 移动终端是热点
信息泄露成常态 钓鱼欺诈手段多
内网问题隐藏深 里应外合要警惕
外网防线待加强 应急机制需落地
然而上面的应对非常抽象,在第四届区块链金融与金融科技中国年会上,沈明星分享了网易金融安全一站式解决方案,它从四个方面解决金融安全企业面临的挑战。
· 第一个方面是业务安全,业务安全提供的验证码、注册保护、登录保护和活动反作弊等服务,能够从源头开始,就对金融企业开启保护;
· 第二个方面是网络安全,网易云易盾的DDoS防护、漏洞扫描、Web应用防火墙、SSL证书服务,让你不惧黑客的不断骚扰。
· 第三个方面是移动安全,移动安全的加固功能,能让Android应用程序拥有一个强大的盾牌,可以抵抗外部的逆向分析。
· 第四个方面是内容安全,内容安全提供文本过滤、图片识别、视频检测等服务,该服务基于的是网易20年反垃圾技术经验、运营经验及海量垃圾特征库,能够很好地帮你打造纯净的互联网空间。
网易云易盾为什么能够做好金融安全,我们从架构层面来解读。
针对业务系统中的注册、登录、UGC、投票、秒杀、拉新等环节,网易云易盾都有对应的业务安全系统进行保护,利用智能验证码、识别垃圾注册、人机识别、注册量监控、可信设备、MD5检测、关键词、深度学习、行为分析、高频检测、信誉等级、规则系统等措施,有效解决金融安全企业遇到的撞库盗号、薅羊毛、恶意抢红包等难题。
DDoS防护
DDoS高防
网络层面,DDoS高防上易盾通过对出口全流量进行监控分析,依托网易大数据分析技术,自动化发现攻击并做精细分类、识别及清洗,能够将攻击流量洗出去,合法访问流量引导到客户的服务器上。
漏洞扫描
除此之外,易盾还会通过Web和系统漏洞扫描,加强金融企业在各个板块的安全。
值得一提的是,沈明星的分享引起了不少人的兴趣,分享结束后,有不少金融企业过来咨询银行体系如何反作弊,在发红包、活动拉新上如何防止薅毛党。