金融安全总结
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇金融安全总结范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
金融安全总结范文第1篇
童瀛遇到的最新的网络犯罪方法是利用微信红包赌博,最新的应用是阿里的花呗,通过大量盗取支付宝用户账户,帮助该账户提升信用,再利用信用恶意套取现金。
网络犯罪呈现隐密性强、复杂性强、国际化趋势等特点。然而,网络犯罪的危害性远比一般的犯罪危害程度更大、更广泛。以盗窃为例,一般盗窃案涉案的金额主要是现金,最多达到几十万、几百万元的水平。而童瀛近期遇到的2个江苏网络诈骗案的涉案金额则达到1200万和1300万元。
DDoS攻击(分布式拒绝服务攻击)是比较常见的网络犯罪攻击方式。据统计,大约有50%的在线游戏公司和700A的商业公司遭受过DDoS攻击;政府部门的情况更为严重,80%都曾遭受过DDoS攻击。
童瀛指出,DDoS攻击一般分为3个阶段。第一阶段是僵尸网络,第二阶段是反射攻击,第三阶段是智能、物联网设备。1998年,DDoS攻击主要来源于技术炫耀者;2003年,进入黑吃黑阶段;2008年,DDoS攻击组织开始统一市场,向上发展,公安部还曾组织专项打击行动;2010年以来,DDoS攻击呈现全面蔓延的态势。
童瀛总结DDoS攻击的目的主要是行业竞争、敲诈性勒索和恶意报复。2014年11月,南通市多家网吧遭受DDoS攻击,就是敲诈性勒索。今年3月,苏州蜗牛公司遭遇的DDoS攻击,则是恶意报复。
童瀛表示,作为黑客有高额金钱回报、网络犯罪成本低的特性,很容易导致网络犯罪。然而,网络犯罪所需要受到的法律制裁后果也很严重。据了解,目前,我国法律所界定的网络犯罪主要有3种,包括非法侵入计算机系统罪、破坏计算机信息系统罪、利用计算机网络实施的犯罪(例如网络传销等)。
一般情况下,只要利用网络违法所得的金额在5000元、瘫痪1万名网络用户1个小时以上的时间、非法控制了20台以上的电脑,公安部门就可以立案。 而按照我国刑法286条第1款的规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。
因此,童瀛建议,网安人员在网络安全的道路上不要走偏,不要陷入犯罪的漩涡;中小企业要健全应急响应机制,尽可能多留存日志,如果遭受攻击,最好的应对方法是报警;涉网单位要尽量提高自身的安全;普通网民尽量不要上非法网站,并从官方网站下载相应软件。如何保证P2P金融安全
自从余额宝推出之后,各个“宝宝”都开始涌现,金融行业在互联网上得到了迅速的发展,开启了互联网金融时代。其中,P2P金融作为把投资者、借贷者拉在一起的平台和渠道,由于其15%左右的平均投资回报率受众多投资者追捧。 然而,作为创新的互联网+模式,P2P金融也面临着双重的常见风险,既有来自互联网的风险,也有来自金融业的风险。“白帽子大会”上,万达电商安全主任工程师林鹏深度解析了如何保证P2P金融安全。
NSTRT团队收集了在2014年互联网金融行业中的134份安全漏洞报告,其中来自业务设计缺陷的漏洞占主要比例,达到27%。而P2P的业务流程,一般包括注册、绑卡、充值、购买理财、回收资金等步骤。 在注册环节,羊毛党撸羊毛(活跃在各P2P平台上,专门参加注册送积分、返现等优惠活动,以此赚取小额奖励)是一个普遍存在的现象。有时候,羊毛党还会和银行、平台内外勾结,圈起大量注册用户绑卡后卷钱跑路。这种现象并不少见。
“目前已经形成了羊毛党团体,内部分工明确。其中,家庭妇女和学生居多,基本都是兼职。很多人不知道P2P是什么,只是为赚钱照着做。”林鹏说。 林鹏指出,应对羊毛党的方法是要遏制他们的收入途径。在投资方面,从业务角度防套利,不能让人空手套白狼;利用羊毛党防止被平台反撸的心态,减少羊毛党收益,提高收益门槛;还有人工识别(客服挂电话)、机器识别、大数据应用等。
在绑卡的环节,容易出现用户套现行为。虽然一般都有实名验证身份证号、姓名和银行预留姓名的环节,但小的P2P平台通常是借用公安部接口校验身份证信息,想要骗过这些小平台并不难,因此并没有起到真正实名验证的作用。 林鹏表示,虚对绑卡环节的用户套现,P2P平台要有4要素验证,包括身份证、银行预留手机、姓名和银行卡号,另外还要有小额打款验证。这些内容应该是所有涉及到互联网金融的公司需要去做的。
根据调查,参与P2P业务的以男性为主,年龄在20~40岁之间,晚上18点是用户投资高峰时段,以微信和新浪微博传播方式为主,尤其是微信的比例达到99.4%,股票和基金是这些人最关注的投资品种。林鹏指出,对于P2P平台来说,符合这些条件的基本上可以认定为合法用户,不符合的怀疑为非法用户。
是否是非法用户也可以通过用户行为判断。一般正常的用户行为包括一整套业务流程,从注册登录到充值、投资、回款和提现。而异常的用户行为从注册登录后就一直停滞在编辑资料的环节。
当然,目前P2P平台还无法进行人机识别,判断是不是,这些都是困扰P2P金融安全的问题,有待在将来解决。从0到1打造企业信息安全 在大会上,去哪儿安全总监郭添森分享了如何从0到1地打造企业信息安全的经验。据悉,做为同类型网站的去哪儿,其安全在国内能够排到前几名,安全部门在去哪儿内部也很有话语权。 郭添森将去哪儿的安全工作分成了三个阶段。第一阶段是安全融入基础IT,第二阶段是融入企业业务,第三阶段是融入企业文化。 在第一阶段,公司刚刚起步,因此安全主要的工作方向是组建团队,熟悉环境、灭火、设立技术制度流程和技术标准,最终解决网络层面的问题。 在第二阶段,随着业务数量逐步升级,安全的工作则放在了完善制度流程和SOX404 PCI DSS标准等方面。其中,最重要的事情是建立自动化系统,确保安全规划落地执行。主要解决操作系统、数据库、系统应用、web应用层面的问题。 在第三阶段,到了公司成立的第四年,安全工作的重点变化,更多地投入在数据安全、业务安全上。“尤其是数据安全,是行业内的公司都会面临的问题,也是普通消费者会遇到的问题。”郭添森说。 郭添森还指出,面对业务和安全如何平衡的问题,安全的使命是消除风险还是控制风险,较好的方式可能是用恰当的手段和投入控制风险。基础架构运维和安全的关系最紧密,必须与基础架构部门合作共赢,与业务部门找到切入的合适时机和方式,过早优化和过度优化都不合适。有的时候冲突的解决要依靠妥协和升级。
