杭州安恒信息总裁范渊:从信息安全角度看互联网金融行业的风险和风控

2014-12-19 09:40 · 投资界  李红双   
   
支付和交易,都是直接跟钱打交道的,那它的特点就是从支付和交易的角度的一些风险以及监管,因为对这一块的担心所带来的监管的特点,这是作为“金融”这个关键词所带来的风险。

  2014年12月19日,由91众筹、众筹在线、温州贷主办的“2014年互联网金融行业年会暨CEO论坛”在杭州之江饭店隆重举行。杭州安恒信息总裁范渊在会上表示:“针对这个互联网金融的投资,一个典型的信息系统架构,不管是一个小数据中心、小的系统,还是前端的互联网、后端的方式,从其一站式的防护来讲,外防黑客,内防内贼。防止数据的泄露,是整个防控合规的角度,这是相关的整体的解决方案。在整个过程中,把合规自然地完成。

杭州安恒信息总裁范渊:从信息安全角度看互联网金融行业的风险和风控

(图为杭州安恒信息总裁范渊)

  以下是现场主题演讲实录:

  范渊:各位互联网金融行业的专家和朋友,上午好!很高兴因为冷总的邀请跟大家分享一下,在信息安全的这个角度去看互联网金融行业的一些风险、风控的合规的情况。

  前面我先讲,美国的前国土安全部长讲的一段话,世界上有两类系统,一类是已经被黑客攻击,一类是还不知道自己已经被黑客攻击了,这个话虽然有点半开玩笑,这也说明了在信息安全领域,在互联网上系统的安全的现状。那我们从国庆60周年开始,我们每一年协同公安部的通报公司,对全国互联网的网站应用的安全检查,其实这一块的结果是反映了这样一个安装,基本上每10个抽查的里面有5个严重的安全问题,可以随时地被攻击,被放后门,数据被窃取,这里面这么多年来,像跨站等,这些都是相关的,在互联网这个领域内,包括风险的漏洞最大的一个地方。

  我今天从两个方面讲,既然是互联网金融,我们先讲互联网行业的一些特点和风险,再讲金融行业的一些风险和特点。互联网金融的创新它所带来的一些特点和风险。

  那WEB几乎是现在互联网金融对外提供部分的最主要的接口。那从去年到今年,大家也知道,包括很多的使用的组件,还有今年的心脏出血等,这些都是在互联网金融的支付领域非常多的,这一块的漏洞的严重性也非常之大。

  这一次的乌镇的互联网大会大家可以看到,即便是这样三天的时间,互联网大会的官方网站先后是经历了27万多次的严重攻击,这是我们的防护设备实时的一个统计。每一次供给如果得逞,几乎它的风险都非常之大,索性的是这次安保从事前、事中、事后的角度是非常圆满地完成。

  互联网安全还有一个是可用性和用户体验,它在追逐可用性、用户体验,用户黏性这一块是它追求的一个很重要的目标。那与之带来的是与安全相关的部分。

  第三,对于互联网的企业而言,现在它的数据的价值是它的最大的价值,这一点其实在座的应该说都会理解得很深。最终它的数据,不管是客户的数据、支付的数据,所有相关的这些数据是其最核心资产。我也知道,现在有很多互联网金融的企业,尤其是初创的,它很想得到已经在互联网金融发展比较好的企业的一些客户数据,因为这些客户数据对它而言都是一个精准客户或准精准客户。

  那从金融的行业特点而言,支付和交易,直接跟钱打交道的,那它的特点是从支付和交易的角度的一些风险,以及刚才前面也讲到的监管,因为对这一块的担心所带来的监管的特点,这是在金融,作为“金融”这个关键词所带来的风险。那我们从这么多的对金融行业的服务而言,其实金融行业的信息安全,它的支付和交易有很多的问题,包括像之前大家知道的,携程的调试日志打印出来有很多的考核,在安全的实现方面,它的风险,越权查询,一个普通的客户可以去查询其他客户的相关数据,短信验证码的泄露。这里面其实有很多的例子,如登录密码在日志里面,包括在网页里面,像民生银行的安卓客户端可以查询、修改其他人的帐号,这个信息已经是被公开的,在网上也可以查到。这是在黑客通过移动支付端,它可以去任意地查询相应的其他人的卡号,甚至在支付的时候可以篡改支付数额,使得他可以去欺骗支付。

  另外,金融有一个共同的特点是数据的价值,这在前面讲的互联网行业里面,这两点是共通的。所以信息泄露,无论是在美国还是在中国,这个特点非常地鲜明,因为像刚才讲的,在美国,其实在2005年的时候,当时金融数据的窃失引发了一轮风波,当时有几万张的信用卡。包括今年也一样,也出现了这样的情况。这个轮回在不断地前进。互联网金融领域其实已经出现了很多安全的案例,这里面我就不一一讲的,像网贷之家、人人贷、好贷网,大家在这个行业内都有听说。

  那在P2P金融的案例里面,有很多包括像木马程序,获得P2P的帐号,通过申请帐号,篡改数据,冒充投资人进行恶意提现。

  另外还有一个风险,当我们在引入第三方开发人员的时候,内部的风控也是很重要的一个方面。内部人员以他合适的权限去得到整个数据,这个数据在外面都是可以被买卖和被直接交易的,这当然不仅仅发生在互联网金融行业,很多行业其实在医疗、电信领域都有这个问题,当然这个问题的本质还是数据的价值。

  前面我讲的是互联网的一些特点和风险,金融的一些特点和风险,那互联网金融的结合本身是一个创新,那在这个创新过程当中,其实它一个特点,现在监管的一些特点,以及它现在还有一些不确定性。那至少从合规的角度,从信息安全合规的角度,现在越来越明确,网上包括有一些立法,包括现有的一些法律法规,其实安恒一直在参与公安部的很多法令法规,如等级保护整个的检查,像这一块在整个监管机构方面,它其实等于整个网络信息安全都有一些明确的要求。在传统的金融行业走得比较前面一些。在我看来,互联网金融这一块是一个必然。在几天前得到的信息,刑法修正案其中有一个是包括,如果网络服务提供者不履行法律行政法规规定的信息网络安全管理义务,经监管部门采取改正措施而拒绝执行的,可由下列情形处三年以下有期徒刑、拘役或管制,并处相应的罚金。这个法律一旦经过人大通过,是我们整个信息化历史和信息安全历史上的一个里程碑。其实美国在很多年前,它已经在这些相应的法律法规,但对中国而言,它短期内看起来似乎是有一些严格,但其实是会推动这个产业更有序和更健康地发展的,因为在互联网金融的创业过程当中,一开始只是注重用户的发展,但很多时候会对这种风控和合规会有所忽略,但很多时候到成长到一点的时候摔倒的时候就会比较痛。

  前一段时间在互联网金融的群里有人在说,公安要我去进行网站备案,不知道为什么,因为工信部以后备案过了,是不是害怕我跑路。其实这是一个误解,其实在反过来说明,其实在这方面的合规和监管,对这一块的基本掌控是一个必要性。那这里我讲到法律法规,在国内最重要的法律法规是目前的信息安全的等级保护,对于等级保护经过了很多年的发展,现在终于有了一个比较实际的落地,网监会会配备等级保护工具箱来检查政府、金融、互联网企业,以达到一个基准的合规性。

  安恒也在直接地参与这一块的研发和标准的制定,最近已经以红头文件的方式发文了,这里因为时间关系我就不一一,但等级保护里大家可以简单地理解为,有一点点像美国当时的CC(音译)里的要求,这一块来说也是迈开了第一步。那对于信息安全保护法,人大已经通过,但很多细则,隐私保护法在制定当中。

  那互联网金融很多在我们讲的创业和创新的过程当中,其实我们都要求速度是比较快的,这是它的另一个特点,希望能够做到比较快和极致,但往往在这个过程当中我们讲快速的开发的过程当中会埋下很多的漏洞和风险,那这种漏洞和风险在开始我们往往不会注意到,因为开始服务的人员相对是比较少的,直到有一定的规模以后才会意识到庞大的系统,整个的设计,尤其是相关的安全和控制,这些垄漏洞的一些防范和检查存在着很多问题,但这时候已经停不下来,因为在线的系统往往对停下来是很忌讳的,因为这里面我们也是最早地提出来对全生命周期的安全风控,在开发阶段、测试阶段和上线运行前、运行中的整个全生命周期的安全的检查和保障。

  另外,作为一个系统,以黑客的思维来考虑,从攻击者的角度来考虑系统的风险和漏洞在何处。这里面其实从我们过去做的很多深度的渗透测试,给金融行业、互联网行业等高端行业,从这里可以看到信息安全所涉及的层面是比较多的,这里我就不一一念了,但总的来说,它是面临的风险是具备这样一个风险的。

  那针对这个互联网金融的投资,一个典型的信息系统架构,不管是一个小数据中心,小的系统,还是前端的互联网,还是后端的方式,从其一站式的防护来讲,外防黑客,内防内贼。防止数据的泄露,是整个防控合规的角度,这是相关的整体的解决方案。在整个过程中,把合规自然地完成。

  其中有一个案例分享是某一个支付公司的整体安全服务,它在整个的外部的应用防火墙防护,远程的检测、篡改等方面,当时安全评估的结果是可以用任意的钱来购买,如一分钱购买彩票,交易金额可以任意地购买,这对于这类企业的风险是非常高的,还有相关的合规和运维体系。

  那除了前面讲的典型的互联网金融的风险与特点之外,当互联网金融做大以后,制造会迈向大数据的领域,为什么?就像前面讲到的,要进行真正的整个周期的分析、挖掘,这些都是往下不可或缺的一部分,包括内部数据不断地积累,这里我们自己也在基于大数据在和云的技术用安全的角度来实现,那这一块来说,对于整个的漏洞分析、可能用、篡改、关键词等整个的方面上,我们内部叫风暴中心,现在已经监控全国100万个网上的信用,包括金融互联网都在整个的监控和监测之下。右下角是已经被黑客攻击的一些。

  最后跟大家汇报一下,我们昨天刚刚获得了国家信息安全漏洞库的技术支撑奖,这是体现信息安全实力的最前沿的,我们是华东地区唯一一个获得此奖项的企业。从我们目前安全服务企业中是整个国家的最高级。

  最后,祝大会圆满成功,谢谢大家!

【本文为投资界原创,网页转载须在文首注明来源投资界(微信公众号ID:PEdaily2012)及作者名字。微信转载须在文章评论区联系授权。如不遵守,投资界将向其追究法律责任。】