互聯網金融的資訊安全（二）安全需求

2019 年 10 月 6 日
筆記

未來互聯網安全需求的八大方面

01 基於風險的自適應身份認證

基於風險自適應識別和身份認證將受到歡迎，它允許組織基於多因素決定控制級別。在互聯網上我能夠識別出你就是你的方法有很多種，維度也不一樣，這是第一步；第二步在你識別完它就是它之後，它的信度有多高，設備經常用哪個，這些都是將來客戶分級的一個依據；客戶分級之後，你發現有的人支付支付過程中，我能用5000塊錢，有的人可能只能用1000塊錢等等。在這個過程中，將來可能你信譽好你的設備正常登陸，你的授信可能就會越來越大，對於一個業務來講，它是一個利好消息，因為它會越來越簡化，許可權會越來越大，這個就是風控應該做的內容。

02GRC

在27000一些管理體系裡面曾經提出來過這種概念，大型技術組織都有一個成熟度相當高的ITGRC或EGRC正意識到未來挑戰是匯聚一個有意義的平台，支援實時或者接近實時治理風險與合規的分析和報告。管理平台通過事件風險看問題的本質，找到問題的根源，把所有事件進行關聯。

03大數據分析的拓展

大數據分析是一個新的領域，所有原始的日誌或者是原始交易的行為、業務的操作軌跡操作行為通過大數據分析，產出相應的資訊報告，大數據分析對數據比較敏感，比如說現在做證券期貨，需要把十幾年來歷史同期的交易數據拿出來做對比計算，這是最基本的需求。

04實時響應的處置

組織持續努力縮短電腦攻擊的響應時間，比如現在公司的網站，馬上就要遭受攻擊，系統已經告警，怎麼解決呢？現在的解決時間是多長？將來的解決時間期望是多長？如果你的業務跟互聯網非常相關，每時每刻都在交易，業務中斷1分鐘的損失也是不可估計的。總之響應速度要快，前期要深入業務，了解業務關聯性。

05不斷發展的應用程式開發方法

根據業務需要，我們的需求每天都在變，變了之後馬上就要實現，明天就要上線。在這過程中既要考慮安全又要考慮功能應用性各方面，其實在這個過程中開發的方法，或者說整個從開發到上線的這一套體系是一方面，更重要的是一個懂安全需求的產品經理站出來告訴研發你要這麼做，告訴安全你應該考慮哪一塊的風險，比如說找回密碼，應該怎麼去找回，快速的去決策給產品經理一定的權利，讓產品經理決策整個產品的生命周期。

06增強客戶隱私的安全性

法律和監管機構要求組織加強如何保護客戶隱私資訊的安全保障措施

07移動設備及BOYD的全局安全

流動性不確定性可丟失性等等這些都是將來移動辦公的一個趨勢，比如說現在有很多企業做了虛擬化，在手機端就可以遠程操作一個虛擬的APP直接進行審批等等，那應用將來也可能是通過虛擬化發布過來，也有可能是通過雲發布過來一個SARS應用。

08供應商第三方的安全管理

控制好用戶身份納入正常管理

互聯網IT管理框架

身份識別特別重要，不管是外部用戶還是內部用戶，還是運維體系、研發體系、整個身份識別控制、人力資源的管理、入職留離職變轉崗等等，這些許可權的系列度管控非常重要。
網路威脅管理指整個網路體系生態。

互聯網金融相關操作

平行越權查詢

敏感資訊防泄漏

不管是內部人員還是第三方，訪問系統沒有固定的設施，沒有固定的網路隔離，有輸入輸出資訊的交互，放在一個能被訪問系統的邊緣，必定會產生泄露風險。

特點

組織結構、人員、業務數量
數據類型增長、數據邏輯複雜
無固定訪問設施
無固定網路隔離
關注端到端的可信授權

數據防泄漏

重要崗位
DLP產品
虛擬化
數據流
埋點，很重要
成立應急小組，微信群直通CEO（客服投訴、輿情發布等）

其他作弊

流量劫持（小區、CDN、無線網路）

解決辦法就是通過加密全站的https免除別人的劫持或減少資訊泄露，當然在CDN網路分發的時候，會出現部分用戶更新慢打不開的情況，這些都是現階段CDN技術存在的問題。

資訊泄露——假資訊

只需要姓名、身份證號、與姓名一致持卡人的銀行卡號、手機號這四個資訊即可作弊。前三個資訊很容易獲得，手機號驗證碼的獲取是關鍵，在一些平台註冊時會收到語音驗證碼，目的是防止資訊泄露帶來風險。

互聯網金融平台對外發布數據都是幾百萬千萬的用戶量，但是我們反過通過日活月活以及投資的數據會發現有很多假的用戶，一般金融行業做風控要識別整個生命周期，從註冊到登錄、綁卡、解綁卡等過程，到最後提現充值每一個環節都要進行判斷。

業務風控

註冊

風控規則IP地址合法性（dialing、VPN、服務地址）

基於時間維度習慣分析

機器操作

簡訊驗證碼頻

設備指紋（用戶真實性核查依據、羊毛黨識別）

羊毛黨

將來風控系統和正常業務系統是並列的，每一個交易都要過風控系統，在註冊環節通過多維度來識別是真人還是假人或集團作案、羊毛黨，根據每一步操作或者滑鼠滑過的軌跡來判斷是人，還是在機器操作簡訊驗證碼的獲得頻率設備的指紋，在整個過程中設備指紋都是有跟蹤的，在註冊的時候的設備指紋問題就可以識別羊毛黨，一個設備上登錄多個帳號，根據這個人的欺詐行為，我們能算出他騙了多少錢，然後給他賬戶凍結扣錢等等，這個就是跟自己的風險偏好相關了，信用卡欺詐、車險欺詐、P2P欺詐等；

再比如IP地址代理判斷，基於時間維度的習慣分析，一個小區IP地址通常在白天註冊，突然在晚上批量註冊我們要留意是否存在問題。

識別指紋有很多種技術，比如說最簡單是cookie里調用設備的資訊，比較嚴謹的是查看mac地址硬碟串號、整個電腦的解析度等等這些所有的資訊匯總起來算出的唯一值。目前百分之六七的交易場景都是在APP端進行，PC端很少。

在電商平台購買商品分期付款，評估這個人的徵信等各方面是不是好人，看他的好友圈是否有騙子等等很多種演算法來識別社交反欺詐。

登陸

同一個設備登陸限制（3個）
黑名單用戶預警
登陸時間點，習慣計算
解綁卡、改綁卡
合規風險
綁定卡片的來源
解綁卡與更新身份計算（身份證）

綁卡解盲卡改綁卡，這個裡面就會複雜一點，當然各個機構可以根據他自己的需求去判斷，比如說有一些合規的風險，它解綁卡然後然後再綁其他的卡等等。

找回密碼

常用地點
常用設備

風控規則——提現

限額次數（天、月）
最小金額限制

限制最最小金額是防止黑客的批量嘗試，最大金額是業務上的考慮，同時每天每月要限額限次。

業務連續性

機房
鏈路
架構
應急保障（微信公眾號、錯誤頁面）

互聯網業務和傳統業務不太一樣，比如公眾號每天都在運營，出現故障的時候要快速響應，在之前寫腳本的時候一些場景要涵蓋進去，比如說當資料庫被刪除我們給出一個提示頁面，根據自己的業務去考慮，提前對各類已知的腳本進行演練，越細越好。

抗D方面，比如12306網站負載問題，我們要評估容量，你只有十兆的頻寬，即使買了阿里雲等產品都沒用，因為瓶頸在頻寬這，一定要分析出這個瓶頸，從域名解析的一瞬間開始，就應該判斷出瓶頸在哪裡，然後進行測試演練發現其他問題，比如說DNS解析太慢，買了抗D產品但是來了CC攻擊還是扛不住，這個時候你就要考慮業務系統的防禦體系，更多場景具體需求具體分析。

資訊安全在逐漸融入業務時，所有的終端監控是運營部門在做，前端問題是安全部門在關注，企業在面臨整個行業生態的威脅。

以上內容參考安全牛課堂《互聯網金融的資訊安全》