互聯網金融的信息安全(一)新環境的安全形勢
- 2019 年 10 月 6 日
- 筆記
信息安全行業在轉變求創新,因為它所服務的對象本身在變化,傳統業務在逐步地使用互聯網工具往前推進,推進過程中發生了很多阻力很多問題,這個時候信息安全就尤為重要,所以我們選擇這個典型的金融行業來講信息安全,金融行業是最快速使用互聯網模式的,像P2P以及其他業務線,是業務比較複雜的體系。
互聯網新環境的安全形勢
- 全球互聯網安全態勢
- 未來互聯網安全需求
- 互聯網金融的安全需求
- 敏感信息防泄漏
- 安全融入業務風控
- 業務連續性(抗D、防黑)
這些完成了之後需要考慮基礎設施,雲架構已經越來越普遍,雲環境以及更深層次的也是我們需要考慮的,放在阿里雲或騰訊雲等等一系列的事情都需要進行考慮。
這個圖裏面我們可以看到它分成兩個層次,一個層次就是我們上面的藍天白雲天氣非常好,另一個層次就像有霧霾的天氣非常惡劣。那麼整個網絡的環境和我們整個現在的生態環境很相似。
網絡裏面也體現出來了光明和黑暗的一部分,DOS攻擊、黑客的入侵等等最直接的攻擊屬於網絡最表面的一層,深層次比如毒品交易拍賣劫持等等都在深層次網絡這一層,有很多種交易的方式來支撐着整個犯罪的產業鏈,在我們國內深層次的網絡也有但規模很小不明顯。
互聯網上有很多情報系統在逐漸的體現出來,尤其是基於全球語義分析的情報系統,將是信息安全的一個熱門的話題。
CSI的劇情絕對不是說憑空想像出來的,是將來可能存在的一些風險。網上有一個報告,現在小朋友家裡小孩戴的那個手錶,它有漏洞之後我可以知道你的位置,可以知道你的和家人的聯繫,可以看到你的運動軌跡,可以切斷你和家人的聯繫,我就可以直接去找你,然後去把你拿走,這就屬於綁架了,這種威脅我們要知道如何識別、消除。市面上或者說整個互聯網金融裏面,互聯網風險裏面存在的一些場景絕不誇張,以後肯定會發生,包括我們現在互聯網金融所面臨到的問題,每天會晚上會有這種職業黑客團伙攻擊。
火眼這家公司被美國政府所控制,不進出口設備,美國政府會給很多補貼,它現在主要做的方向叫APT,我們國內也有很多實驗室在做,但受一些核心技術影響,可能效果不是特別好。
現在整個網絡整個黑客攻擊體系里都是職業職業化的這種手段,每天面臨新的威脅風險,市面上傳統的安全公司所生產的安全設備根本就無法抵禦新的風險,未來這一定是個方向。
- DEEPWEB
- 全球Top10威脅
- DOS攻擊
基於家庭智能路由的等等發起的一些攻擊,直接導致業務不可用。
- 網絡釣魚
收到偽基站發出的垃圾短訊,有一些機構在監測這種釣魚網站,終端收到信息之後,有一些軟件能看到我們的信息識別判斷是真是假。比如說你是工商銀行的用戶,來自於工商銀行的短訊的號碼發來的信息,短訊里有ICBC的域名,他就會給你報出警示。這就是把信息做成一種共享的平台,一旦有這種信息出來,有關部門可以把這個站點直接給黑掉,我們會拿到很多受騙人的名單,最大的意義在於拿到正在受騙人的名單,我們要時時關注最新的數據,通過系統接口的方式直接發到銀行的風控系統,風控系統就可以把賬戶凍結,凍結之後它體現就提不出去挽回損失。
移動設備增加之後帶來了方便,如果手機中病毒或丟失,這個時候我們就應該考慮安全問題。
以上內容參考安全牛課堂《互聯網金融的信息安全》
