9CaKrnJXQbZ china.huanqiu.comarticle真融宝李强 为用户搭建安全的防护体系/e3pmh1nnq/e3pn60p0i随着互联网时代的到来,互联网金融风生水起,然而与此同时,在原有金融安全风险控制的基础上,互联网金融还叠加了通信系统安全的风险。全新的系统风险,对整个互联网金融行业都提出了全新的挑战。专业机构在对全国互联网金融网站进行的100个抽样安全检测发现,其中存在高危漏洞的网站占53%,6%的网站可以getshell,47%的网站发现SQL注入漏洞,2%的网站发现Struts2命令执行漏洞,25%的网站发现跨站脚本漏洞,4%的网站发现逻辑漏洞,6%的网站发现高危敏感信息泄露漏洞。互联网金融面临的现实问题是,恶性黑客攻击行为导致用户信息泄露、恶意冒充投资人进行恶意提现、大型DDOS攻击和CC攻击、以及来自黑客的恶意勒索。真融宝CEO李强认为“互联网金融不安全的原因概括而言表现为:自身缺陷、开放性和黑客攻击。” “从用户方面来看,现有的安全管理体制不能满足网络发展的需要,网络安全远远落后于网络应用,并且在网络建设的同时往往忽视网络安全建设。从黑客方面来看,攻击者技术层次不断提高,黑客趋于专业化,往往掌握了深层次网络技术和协议。由于诸多网站通信协议缺乏有效的安全机制,黑客的可攻击点越来越多。计算机性能大幅提高,为破译密码口令提供了先进技术,使得黑客攻击手段越来越先进。”应对网络攻击要有的放矢“如何发现与对抗黑客的入侵呢?”李强表示“可以通过访客日志分析、安全平台建立和用户行为建模来发现恶意登录行为。” “对手可能来自世界的任何地方,因为他们认为互联网金融平台值得攻击。”李强认为,“要想对互联网金融进行有效安全防护,需要使得信息安全管控策略与商业目标统一,也就是企业要重视并成为企业战略。具体而言,要保护有价值的数据、建立应急响应策略、寻找多个靠谱的安全合作商,并向主动安全迈进。”真融宝CEO李强表示,目前真融宝目前安全防护包括三个方面,即信息安全组织与人员、信息安全技术、信息安全管理。“通过这三张盾牌来抵御和避免来自外部的攻击与内部的风险。”针对入侵者利用互金平台的套利行为,李强认为,最主要的是从业务角度防套利,不能让入侵者“空手套白狼”。他指出,仅靠身份证、银行卡、手机号、邮箱证明身份是不够的,还要综合使用汇款、转账、免冠照片、面部识别、电话、IP验证、设备识别等多种方式;其次,要依靠大数据,识别批量注册、批量提现的可疑行为;此外,应不断总结和完善防范规则。构建互联网金融安全体系安全是一个整体,千万不能盲人摸象般的防御。理想的防御是对所有的攻击进行防护,但从组织资源限制等实际情况考虑,需要做“适度”的安全,即互联网安全措施的级别要与商业价值相一致。互联网金融安全不仅是技术问题,更是管理问题。不仅包括一般的安全问题,更包括业务安全问题。李强认为,大数据安全应该是互联网金融公司安全问题的重中之重。如果公司的核心数据被黑客窃取,半年时间就可以复制一个同样的平台,公司便失去了价值。“安全建设实际上是对抗入侵的过程,只有加强各方面的合作力度,构建互联网金融安全体系,才能使我们稳操胜券。”李强说。信息安全是一场持久战,知己知彼,才能百战百胜。李强表示真融宝安全团队将致力于互联网金融和信息领域安全解决方案,形成与业务紧密结合的安全最佳实践;打造主动防御体系,防患于未然,为用户搭建安全的防护体系。真融宝目前已通过信息安全共性技术国家工程研究中心的全面检测,获得国家公安部监制信息安全等级保护三级安全备案。成为业内为数不多的获得第三级认证的互联网金融综合服务平台之一。1475050700000责编:千帆映象网147505070000011[]
随着互联网时代的到来,互联网金融风生水起,然而与此同时,在原有金融安全风险控制的基础上,互联网金融还叠加了通信系统安全的风险。全新的系统风险,对整个互联网金融行业都提出了全新的挑战。专业机构在对全国互联网金融网站进行的100个抽样安全检测发现,其中存在高危漏洞的网站占53%,6%的网站可以getshell,47%的网站发现SQL注入漏洞,2%的网站发现Struts2命令执行漏洞,25%的网站发现跨站脚本漏洞,4%的网站发现逻辑漏洞,6%的网站发现高危敏感信息泄露漏洞。互联网金融面临的现实问题是,恶性黑客攻击行为导致用户信息泄露、恶意冒充投资人进行恶意提现、大型DDOS攻击和CC攻击、以及来自黑客的恶意勒索。真融宝CEO李强认为“互联网金融不安全的原因概括而言表现为:自身缺陷、开放性和黑客攻击。” “从用户方面来看,现有的安全管理体制不能满足网络发展的需要,网络安全远远落后于网络应用,并且在网络建设的同时往往忽视网络安全建设。从黑客方面来看,攻击者技术层次不断提高,黑客趋于专业化,往往掌握了深层次网络技术和协议。由于诸多网站通信协议缺乏有效的安全机制,黑客的可攻击点越来越多。计算机性能大幅提高,为破译密码口令提供了先进技术,使得黑客攻击手段越来越先进。”应对网络攻击要有的放矢“如何发现与对抗黑客的入侵呢?”李强表示“可以通过访客日志分析、安全平台建立和用户行为建模来发现恶意登录行为。” “对手可能来自世界的任何地方,因为他们认为互联网金融平台值得攻击。”李强认为,“要想对互联网金融进行有效安全防护,需要使得信息安全管控策略与商业目标统一,也就是企业要重视并成为企业战略。具体而言,要保护有价值的数据、建立应急响应策略、寻找多个靠谱的安全合作商,并向主动安全迈进。”真融宝CEO李强表示,目前真融宝目前安全防护包括三个方面,即信息安全组织与人员、信息安全技术、信息安全管理。“通过这三张盾牌来抵御和避免来自外部的攻击与内部的风险。”针对入侵者利用互金平台的套利行为,李强认为,最主要的是从业务角度防套利,不能让入侵者“空手套白狼”。他指出,仅靠身份证、银行卡、手机号、邮箱证明身份是不够的,还要综合使用汇款、转账、免冠照片、面部识别、电话、IP验证、设备识别等多种方式;其次,要依靠大数据,识别批量注册、批量提现的可疑行为;此外,应不断总结和完善防范规则。构建互联网金融安全体系安全是一个整体,千万不能盲人摸象般的防御。理想的防御是对所有的攻击进行防护,但从组织资源限制等实际情况考虑,需要做“适度”的安全,即互联网安全措施的级别要与商业价值相一致。互联网金融安全不仅是技术问题,更是管理问题。不仅包括一般的安全问题,更包括业务安全问题。李强认为,大数据安全应该是互联网金融公司安全问题的重中之重。如果公司的核心数据被黑客窃取,半年时间就可以复制一个同样的平台,公司便失去了价值。“安全建设实际上是对抗入侵的过程,只有加强各方面的合作力度,构建互联网金融安全体系,才能使我们稳操胜券。”李强说。信息安全是一场持久战,知己知彼,才能百战百胜。李强表示真融宝安全团队将致力于互联网金融和信息领域安全解决方案,形成与业务紧密结合的安全最佳实践;打造主动防御体系,防患于未然,为用户搭建安全的防护体系。真融宝目前已通过信息安全共性技术国家工程研究中心的全面检测,获得国家公安部监制信息安全等级保护三级安全备案。成为业内为数不多的获得第三级认证的互联网金融综合服务平台之一。