欢迎进入中国计算机用户协会信息安全分会网站!
当前位置: 首页 >> 新闻动态 >>
  • 业界资讯
  • 业界资讯
    互联网金融亟待构筑安全之基
  • 时间:2015-05-10
  • 来源:比特网
  • 互联网金融近两年来正以雨后春笋般的态势迅速发展起来。伴随着互联网金融的影响和规模逐渐扩大,众多互联网金融平台被黑客攻击,导致系统瘫痪事件层出不穷;而紧随其后的敲诈事假也日益显现,一系列与利益相关的针对互联网金融的安全威胁事件正处于不断攀升的状态中。

    互联网世界在当下已面临着日益严峻的风险隐患以及安全问题,随着互联网金融的影响和规模逐渐扩大,我们迫切需要解决互联网金融信息安全保障、风险防范以及相应的监管问题。

    而频繁遭遇黑客攻击,这自然首先与互联网金融平台自身所存在的漏洞等因素有关。而据安全公司绿盟科技的研究调查,除了常见的注入、跨站、CSRF、恶意上传等Web漏洞外,许多部分金融平台在业务功能设计上存在着严重的风险,如任意用户密码重置、交易参数恶意篡改等。其中,业务设计缺陷、手机短信验证缺陷、xss跨站脚本、敏感信息泄漏、登陆功能缺陷等成为位居前列的漏洞。

    值得引起重视的是:业务设计缺陷造成的风险在所有漏洞中所占比例是最高的,达到27%的比例。 而业务设计缺陷造成的漏洞一般与系统业务挂钩,在漏洞的利用代码上无明显的攻击特征,难以用通用的Web应用防护设备来进行防护。因此对业务设计缺陷造成的安全风险防范和检测尤为重要。与常见的注入、恶意上传不同,这些业务逻辑的漏洞不会直接影响服务器的安全,但却会直接影响用户的资金、账号的安全,其风险程度有过之而无不及,若被黑客所利用或被曝光,将严重影响业务数据安全和平台公信力。

    业务缺陷漏洞所占比例如此巨大,其所造成的后果也如此严重,这不得不引起互联网金融界的注意。造成这一现状的原因,恐怕还是与互联网金融安全领域还不成熟有着巨大的关系。因为互联网金融行业门槛较低,同时,巨大的高收益这一特点使得互联网金融行业在近几年呈大幅度的增长态势。但与此同时,新建立的各个互联网金融平台在安全防护方面缺少足够的经验,更甚于,许多互联网金融企业对其所面临的安全风险缺乏足够的认识。

    作为近几年新兴的一种金融模式,许多互联网金融的研发团队大多都是新建立的,而在此之前,业界也没有相关开发规范可资借鉴。而对于开发人员的经验和安全意识,也大多处于参差不齐的水平之中,而对于相关人员的安全培训更是当前互联网金融安全所面临的一大短板。

    另外一方面,互联网时代高速的节奏在互联网金融业也不例外。在互联网及移动互联网时代的当下,时间就是机遇、时间便是效益被无限的放大化。许多企业在进入互联网金融领域时并没有给系统的开发预留足够多的时间,快速开发现象在业界已成为普遍现象。而对于安全而言,安全分析又是一项需要耐心而又细致的工作。快速开发可能会导致开发人员为了进度而放弃安全上的考虑。而在进度的压力下,对系统可用性的要求占据了头号地位,与许多传统的IT 系统一样,安全作为并不能产生效益的因素被难以顾及甚至干脆被忽略。 这样的紧急开发无疑又增加了互联网金融的安全风险系数。

    目前看来,互联网金融安全现状仍旧处于令人担忧的状态之下。无论是出于对规避安全风险的考虑,还是对于在遭遇攻击之后能够有效应对防御的考虑,对互联网金融企业而言,从规范系统开发建设、培养开发人员足够的安全风险意识和安全开发能力,建立完整完善的安全开发运营规范制度及安全运营流程,以及相关部门对互联网金融领域应建立起完善的监管体系,这一切对于构筑互联网金融安全防线都是种种之重。

    国家互联网信息办公室副主任彭波曾经表示:“‘安全’是互联网发展的底线。没有安全,互联网金融就如同建立在沙滩上的城堡,看似美轮美奂,一个小小的风浪就可能前功尽弃。”不可否认的是,互联网金融为人们带来了全新的前所未有的美好体验,其对推动金融行业的创新与发展有着重要意义,无论如何,我们都切不能让互联网金融毁于最重要的安全之基。

    原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/134/13376634.shtml

    (责任编辑:aqxh)


    中国计算机用户协会信息安全分会版权所有

    Copyright© 1991-2023 中国计算机用户协会信息安全分会   京ICP备2021040407号

    技术支持:北京小鱼在线

    关注微信公众号