2015年7月4日,由中央财经大学金融信息安全研究所主办的“2015首届互联网金融安全高级研讨会”在北京举行。本次研讨会以“揭秘黑客攻击,共筑安全长城”为主题,聚焦互联网金融安全威胁,深度剖析安全新形势,揭秘还原黑客攻击路径,构建互联网金融安全体系。
本届研讨会得到了中央财经大学、北京中安国发信息技术研究院、杭州安恒信息技术有限公司的大力支持,包括腾讯、网信理财等多家安全和金融领域的创新公司和研发机构全面参与,并与业界专家学者就上述问题展开了深入研讨和交流。
如今的信息技术使得系统之间的连接更为简便,但PC、平板电脑、智能手机等设备的安全结构却过于简单,操作系统更是存在天生的安全缺陷。安全管理体制、网络安全技术都还落后,黑客的攻击则更为专业化,随着攻击点的增加,在攻防战争中,防御者正在逐渐落后。
中央财经大学信息学院院长金融信息安全研究所所长朱建明认为,安全是一个整体,千万不能盲人摸象般的防御。理想的防御是对所有的攻击进行防护,但从组织资源限制等实际情况考虑,需要做“适度”的安全。互联网金融安全不仅是技术问题,更是管理问题。不仅包括一般安全问题,更包括业务安全问题。
据安恒互联网金融行业总监张开介绍,在对互联网金融网站全国抽样100个进行安全检测时发现,其中存在高危漏洞的占53%,6%的网站可以getshell,47%的网站发现SQL注入漏洞,2%的网站发现Struts2命令执行漏洞,25%的网站发现跨站脚本漏洞,4%的网站发现逻辑漏洞,6%的网站发现密码重置漏洞,4%的网站存在弱口令,2%的网站发现目录遍历漏洞,6%的网站发现高危敏感信息泄露漏洞。互联网金融面临的主要威胁包括,恶意黑客攻击行为导致用户信息泄漏、恶意冒充投资人进行恶意提现、大型DDoS攻击和CC攻击、来自黑客的恶意勒索。“对手可能来自世界的任何地方,因为P2P值得攻击。”要想对互联网金融进行有效安全防护需要使得信息安全管控策略与商业目标统一,并成为公司战略。要先保护有价值的数据,建立应急响应策略,寻找多个靠谱的安全合作商,并向主动安全迈进。
腾讯移动安全实验室信息安全专家申子熹表示互联网+的本质是连接一切,而安全是互联网发展的基石,安全将成为互联网连接点的重要一环。互联网金融安全专家林鹏提出,互联网企业金融风险是“互联网行业风险”与“金融业务风险”的集合。网信理财信息安全部负责人孙晶则从实践出发介绍了互联网金融安全的相关经验。
本次会议深入分析了互联网金融的安全威胁,给出了移动支付的安全解决方案,指出了互联网金融安全对抗的要点,对P2P平台信息安全与反套利进行了阐述,最后对常见的黑客攻击手法进行了沙盘演练。
