互聯(lián)網(wǎng)金融的興起和快速應(yīng)用，革命性地改變了傳統(tǒng)金融產(chǎn)品的內(nèi)容和服務(wù)模式。雖然傳統(tǒng)金融機(jī)構(gòu)也因此面臨著壓力，但不得不承認(rèn)，互聯(lián)網(wǎng)金融企業(yè)在快速創(chuàng)新能力、客戶體驗(yàn)為中心的服務(wù)理念，乃至產(chǎn)品和服務(wù)的快速覆蓋等方面，給傳統(tǒng)銀行的創(chuàng)新和發(fā)展注入了新的活力。

“互聯(lián)網(wǎng)+”安全需求大不同

“互聯(lián)網(wǎng)+”金融的創(chuàng)新在于圍繞多元化的金融服務(wù)、線上線下的緊密結(jié)合，它對(duì)現(xiàn)有技術(shù)支撐平臺(tái)的開放性、應(yīng)用的易用性、應(yīng)用上線的快速、運(yùn)維的便捷性等方面都有很高的要求。而傳統(tǒng)金融行業(yè)固有的應(yīng)用安全模式也因此面臨著新的挑戰(zhàn)。

首先是安全威脅的范圍擴(kuò)大了。金融服務(wù)鏈條的延伸及技術(shù)平臺(tái)開放性的要求加大了安全威脅的攻擊面；

其次是傳統(tǒng)安全策略不適用于互聯(lián)網(wǎng)金融模式。傳統(tǒng)銀行業(yè)大多奉行嚴(yán)謹(jǐn)多層次的安全防御體系和機(jī)制，對(duì)客戶體驗(yàn)和客戶滿意度為優(yōu)先的模式形成一定制約；

再次是新業(yè)務(wù)快速迭代和上線的需求與安全漏洞的發(fā)現(xiàn)、修復(fù)周期和成本之間的矛盾愈加明顯；

最后是數(shù)據(jù)泄露風(fēng)險(xiǎn)加大。金融服務(wù)與客戶交易行為的深度融合，所產(chǎn)生的“客戶”為中心的關(guān)聯(lián)用戶“大數(shù)據(jù)”信息，帶來科技引領(lǐng)業(yè)務(wù)的積極因素的同時(shí)，也加大了客戶資料泄漏造成的更為嚴(yán)重后果的風(fēng)險(xiǎn)。

如何消除制約并實(shí)現(xiàn)“互聯(lián)網(wǎng)＋”對(duì)銀行傳統(tǒng)應(yīng)用安全的訴求，成為信息安全方面的關(guān)注焦點(diǎn)。

自動(dòng)化威脅肆虐“互聯(lián)網(wǎng)+”金融

傳統(tǒng)銀行面臨的不僅僅是“互 聯(lián) 網(wǎng) +”金融帶來的安全挑戰(zhàn)，在網(wǎng)絡(luò)攻擊手段層出不窮的今天，傳統(tǒng)的安全技術(shù)提供的防御效果也大打折扣，安全現(xiàn)狀令人堪憂。 據(jù)FreeBuf發(fā)布的《2016年上半年金融行業(yè)應(yīng)用安全態(tài)勢(shì)報(bào)告》顯示，高危漏洞占比高達(dá)78.48%;從漏洞利用程度上分析，互聯(lián)網(wǎng)金融比傳統(tǒng)金融更加“脆弱”——“非常容易利用”的漏洞占比高達(dá)57.5%。且未有多大改觀。在近兩年機(jī)器人攻擊手段盛行的狀況下，使得漏洞利用被大規(guī)模復(fù)制，造成前所未有大規(guī)模業(yè)務(wù)損失、數(shù)據(jù)損失。據(jù)權(quán)威機(jī)構(gòu)Research and Markets 的報(bào)告，90%的網(wǎng)絡(luò)攻擊流量來自于自動(dòng)化程序。

自動(dòng)化威脅的趨勢(shì)也受到國(guó)內(nèi)外安全行業(yè)的關(guān)注，OWASP組織列出了Top 20的Web應(yīng)用的自動(dòng)化威脅，其中盜刷、惡意爬蟲、撞庫(kù)、刷單等自動(dòng)化威脅已經(jīng)實(shí)實(shí)在在地發(fā)生在我們身邊，金融行業(yè)成為攻擊者的首要目標(biāo)，如圖1所示。

傳統(tǒng)安全防御“心有余，力不足”

面對(duì)自動(dòng)化威脅，現(xiàn)有主流網(wǎng)頁(yè)安全技術(shù)，應(yīng)對(duì)自動(dòng)化攻擊均存在不同程度的局限，大致可分為四類：

一是基于規(guī)則和簽名的技術(shù)存在空窗期。防火墻、IDS／IPS、Web應(yīng)用防火墻等技術(shù)在現(xiàn)階段都沒有能夠擺脫防護(hù)空窗期的缺陷，規(guī)則和簽名永遠(yuǎn)滯后于攻擊的發(fā)生。

二是身份安全面臨挑戰(zhàn)。安全水平參差不齊的互聯(lián)網(wǎng)及互聯(lián)網(wǎng)金融企業(yè)的興起，在大量的普通用戶群體用戶帳號(hào)、密碼一致的現(xiàn)實(shí)情況下，以“拖庫(kù)”為代表的大量用戶身份信息泄漏事件頻發(fā)，甚至通過“撞庫(kù)”方式產(chǎn)生更為嚴(yán)重的連鎖反應(yīng)。出現(xiàn)了抗動(dòng)態(tài)身份認(rèn)證技術(shù)的工具和服務(wù)，如：打碼平臺(tái)，專門應(yīng)對(duì)各類動(dòng)態(tài)驗(yàn)證碼防護(hù)技術(shù)。

三是模擬合法操作的自動(dòng)化攻擊和對(duì)未知攻擊的防護(hù)薄弱且低效。目前主要依賴應(yīng)用軟件本身的改進(jìn)，并無(wú)有效的產(chǎn)品和技術(shù)應(yīng)對(duì)。這如同發(fā)現(xiàn)應(yīng)用漏洞一樣，漏洞的修復(fù)和應(yīng)用軟件修改的工作成本和周期都較大，這些改進(jìn)的工作內(nèi)容的復(fù)制性低，也造成了不能很好適應(yīng)“互聯(lián)網(wǎng)＋”模式的快速性特點(diǎn)。同時(shí)，過嚴(yán)的安全防護(hù)還造成客戶體驗(yàn)不佳。

四是日志分析和大數(shù)據(jù)分析技術(shù)仍需要時(shí)間和驗(yàn)證。大數(shù)據(jù)技術(shù)運(yùn)用在安全威脅情報(bào)的分析和預(yù)測(cè)上是潮流和方向，其中海量的事件源采集和數(shù)據(jù)分析模型是關(guān)鍵。然而，自動(dòng)化攻擊和威脅事件的捕獲手段是目前一個(gè)主要的障礙點(diǎn)。

圖1 2015 OWASP Web應(yīng)用Top 20自動(dòng)化威脅

取勝之道：“動(dòng)態(tài)安全”防御理念動(dòng)中取勝

在自動(dòng)化威脅肆虐和傳統(tǒng)安全防御技術(shù)亟待提升的嚴(yán)峻形勢(shì)下，突破傳統(tǒng)安全防御觀念，扭轉(zhuǎn)被動(dòng)滯后的局面，成為傳統(tǒng)金融機(jī)構(gòu)和安全廠商的迫切需求。

針對(duì)銀行業(yè)面臨的主要安全風(fēng)險(xiǎn)，瑞數(shù)可以實(shí)現(xiàn)三個(gè)層面的安全，例如屏蔽業(yè)務(wù)安全風(fēng)險(xiǎn)：防止撞庫(kù)；防止盜用賬戶、竊取用戶信息、欺詐交易、盜取用戶存款；防止應(yīng)用層DDoS，還可以避免銀行的商譽(yù)受到影響：防止自動(dòng)化提交垃圾信息或惡意內(nèi)容、防止自動(dòng)化投票或評(píng)價(jià)結(jié)果操控、防止中間人攻擊（MITM或 MITB）。此外還可以保障網(wǎng)站安全：防止漏洞掃描與漏洞利用、隱藏網(wǎng)站邏輯缺陷、防止各種已知和未知攻擊行為，做到先人一步，以動(dòng)制動(dòng)。

互聯(lián)網(wǎng)金融業(yè)務(wù)的風(fēng)控體系，需要從政策、監(jiān)管、信用機(jī)制、身份和交易安全等多方面整體規(guī)劃、通盤考慮。作為即將成為互聯(lián)網(wǎng)金融更強(qiáng)大的參與者和推動(dòng)力的銀行業(yè)，可以結(jié)合創(chuàng)新的產(chǎn)品和技術(shù)有效彌補(bǔ)傳統(tǒng)安全策略的不足，將應(yīng)用安全技術(shù)納入業(yè)務(wù)安全模型，推動(dòng)銀行業(yè)“互聯(lián)網(wǎng)＋”業(yè)務(wù)的快速發(fā)展。