近几年,作为金融的一种创新,互联网金融逐渐兴起。随着P2P和互联网金融整个行业的蓬勃发展,关系国计民生的互联网金融安全问题成为大家关注的重点。在2015年11月28日由51CTO主办的 WOT2015"互联网+"时代大数据技术峰会 上,51CTO记者采访了WOT峰会特约讲师京东金融高级安全专家刘明浩,针对互联网面临的安全威胁,互联网安全防护技术,京东的金融安全防御平台进行了深入了解。
WOT峰会特约讲师京东金融高级安全专家刘明浩
【讲师简介】刘明浩拥有8年安全从业经验,目前主要负责京东金融安全体系建设、安全产品架构设计及安全合规等相关工作。曾在安永、德勤担任资深安全顾问,为多家大型金融机构提供信息科技风险管理咨询、安全体系建设、数据防泄漏、信息安全风险评估及安全合规等服务。
刘明浩表示:“目前,在互联网金融行业主要存在的风险是来自于两个层面,第一个层面是来自于业务安全的风险,比如说在重要的业务场景,比如说修改网卡和修改绑定手机号码,这样的场景安全风险控制是不是到位?控制是不是有效?是不是防御了止损和盗号?我们在技术方面的防御,比如说Web攻击,远程代码执行类似于技术防范是不是到位。其中,业务层面的安全问题需要更加关注。”
面对以上威胁该如何加强互联网金融的安全防护,防护的重点又在哪儿呢?对此,刘明浩认为,首先要从根本上解决安全问题是很困难的,所以需要整体的安全管理流程。比如:在技术安全方面,无论是互联网金融公司还是IT公司面临的技术问题,需要SDLC的方法来解决这些问题。在前期需求阶段,公司需要对系统安全做调研,得到安全需求,然后对安全需求进行安全架构设计。在编码阶段,对程序人员进行培训,落地安全编码的规范和守则,让程序员开发出来的代码是安全的,之后进行IT测试,在上线前要有完整的安全测试,可采用UAT测试和系统功能测试。上线后,公司需对整体的安全情况进行持续的监控和跟进,保障系统整体安全。这整个流程需要业务方、产品、程序代码编写人员、测试全员参与才能保障系统的稳定和安全。
作为一家国内知名的电商,京东有自己的一个针对互联网金融安全的防御平台——京东金融宙斯Zeus安全防御平台。刘明浩表示:“之所以起这个名字,是因为宙斯是众神之神。我们希望众神之神守护我们的系统,让我们的系统更加安全。希望输出京东金融的风险防范能力和态势感知的能力,以及威胁情报分析能力,解决京东整体安全问题。”
那么,京东金融宙斯Zeus安全防御平台是如何防御和检测撞户、盗号、盗卡等异常业务行为的呢?他解释到,这个平台的系统会对异常用户的操作提出数据风险的分析模型,根据这个分析模型对一些异常的行为做出判断,做监控预警和判断。在平台中,监控主要分为三个阀值:风险容忍区,风险预警区以及风险干预区。通过不同的阀值,系统会对相应的事件做出不同的处置策略,从而达到对类似于撞户、盗卡风险事件的响应和处理。
针对这些异常的业务行为进行实时的分析和存储,需要依赖于一套大数据的平台和数据。比如:在这个系统里,主要有四个部分:一是流量的收集、抓取功能,这些功能就像全业务一样,进入全业务流量。之后把这些业务流量导入到消息队列缓存,通过分析集群会到消息队列缓存访问日志,并根据风险风控模型分析和判断用户的异常行为,同时进行实时的查询,从而达到实时的分析和存储。
最后,谈到互联网金融安全防护的现状,刘明浩认为:“互联网金融行业的整体安全情况是不容乐观的,包括业务逻辑的漏洞,还有一些Web漏洞也层出不穷,这也是由于我们这个行业对市场敏感度非常高,我们对产品的时效性要求也非常高,我们的产品可能非常急着推出,迭代的频率非常高,导致一些安全的问题没有办法得到保障和满足。因此,我们更应该从业务逻辑层面的安全风险。比如:针对越权访问、使用权限等问题,我们都应该去考虑。还有,我们要去考虑整个全生命周期安全开发和产品流程的问题。”
以上是51CTO.com记者为您从一线带来的精彩报道。更多精彩内容尽在51CTO.com独家报道,敬请期待!
【责任编辑:蓝雨泪 TEL:(010)68476606】