互联网金融信息安全分析
2014-12-21新华社金融世界FinanceWorldXinhuaNewsAgency
新华社《金融世界》/Finance World,Xinhua News Agency
中国互联网协会/Internet Society of China
1 互联网金融信息安全风险
截至2013年,我国已经拥有5 亿网民,电子银行、电子支付、P2P、网上理财等已经不再新鲜。然而,人们在享受互联网金融便利的同时,时常遭遇账号被盗、资金被窃、交易受骗、财产受损等安全风险。据统计,2013年我国网上银行交易规模超过1 000 万亿元人民币,我国第三方互联网支付市场交易规模达到53 729.8 亿元人民币。确保互联网金融安全的重要性和紧迫性可想而知。
1.1 互联网金融信息安全风险形成的原因
分析我国的电子支付流程,信息安全风险事件的形成有多方面的原因,通常可以归结为以下几类。
(1)消费者安全意识淡薄
消费者安全意识薄弱是影响电子支付交易安全的一个重要原因。如消费者在电子支付时,没有使用正规的第三方支付平台进行支付; 随意接收陌生文件;在不同网站使用相同用户名与密码;网络密码放在电脑内;使用不安全的电脑进行网络支付;在资金账户仅使用数字这样的低强度密码;登录与支付使用相同的密码;随意将自己的敏感信息告诉他人;不注意妥善保存相关敏感信息,如ATM 机取款后,随意丢弃回单,给犯罪分子可乘之机等。
(2)消费者电子支付操作不当
电子支付技术种类繁多,可分为网上支付、电子支付、移动支付、电话支付、售点终端交易、自动柜员机交易和其他电子支付。如果消费者不熟悉支付方式的特性,在不安全的环境下使用个人信息,交易敏感信息就可能由此泄露。此外,电子支付业务需要使用者具备一定的操作技能,如果客户对操作及流程不熟悉,可能进行误操作,导致操作风险。
(3)木马软件泛滥
在网络上木马软件泛滥,用户如果未对其计算机安装相应的木马查杀软件,就很容易被感染。一旦被感染,用户的机器就会在其毫不知情的情况下记录用户的键盘记录、屏幕截图、鼠标操作等关键信息,再通过网络将数据发送至指定的位置,或者通过截断数据通信的方式,将用户的进出通信数据经由黑客转发。
(4)黑客攻击猖獗
现如今,黑客产业链已形成,从漏洞挖掘到漏洞利用工具的生成,从敏感信息的收集与贩卖到伪卡制卡,在网络上都能找到相应的服务提供商。简单、易用的黑客工具已经随处可见,即使电脑“门外汉”,只要按照某些教程运用黑客工具,也能进行有效的攻击。同时,不少犯罪分子也可广泛利用短信、邮件等方式骗取客户的银行卡信息,盗取客户资金。2005年4月,银行卡短信诈骗案件在厦门发生,随后蔓延到杭州、上海、南京和广州等沿海城市,10月下旬波及到西藏和青海以外的绝大部分省市,使上百万人受害,涉及金额达千万元。
当前,针对黑客攻击仍缺乏有效的应对手段。一方面,目前黑客攻击行为逐步采用匿名技术和分布式技术等手法,给追踪黑客活动的行为主体带来困难,导致黑客在实施破坏活动之余仍带有侥幸心理;另一方面,黑客的网络攻击行为更多地与移动互联网、云计算等新技术联系起来,面对黑客的攻击破坏行为仍缺乏有效的应对手段。
(5)网络钓鱼
最典型的网络钓鱼(phishing)攻击是将消费者引诱到一个通过精心设计与目标组织网站非常相似的钓鱼网站上,并获取消费者在此网站上输入的个人敏感信息(用户名、口令、账号、密码等),通常这个攻击过程不会让受害者警觉。
据国家互联网应急中心(CNCERT)发布的《2013年我国互联网网络安全态势综述》 显示:2013年钓鱼网站数量继续迅速增长,CNCERT 共监测发现针对我国银行等境内网站的钓鱼页面30 199 个,涉及IP地址4 240 个,分别较2012年增长35.4%和64.6%。
钓鱼网站往往采取与正常域名和网站内容相似等手段来欺骗访问者,甚至更恶劣地将目标网站黑掉,篡改成钓鱼页面,欺骗或诱导用户访问,以盗取用户信息(如姓名、手机号、通信地址、手机号、身份证号、银行账号和密码等),进而进行各种非法行为。黑客利用这些信息可以进行多种危害用户合法利益的行为,包括将用户资料兜售牟利、盗取信用卡和银行卡信息恶意透支、通过破解用户邮箱账号窃取个人隐私进行敲诈、转移用户资金等违法犯罪行为。
根据国家计算机网络应急中心估算,仅2009年境内“网络钓鱼”让网民的损失已经达到76 亿元人民币,更多经济之外的损失更是难以统计。
1.2 互联网金融常见的信息安全风险类别
我国互联网金融面临的主要风险分析如下。
(1)客户端安全认证风险
客户端使用用户名和密码方式进行认证,一旦用户计算机感染病毒、木马程序或被黑客攻击,没有进行安全认证,用户所做的操作均会被发送至黑客的服务器后端,严重威胁互联网金融业务账户和密码安全。近年来,商业银行均出现过假冒互联网金融业务,这些互联网金融业务与真的服务网站域名和页面非常相似,用户很难分辨。一旦登录这些钓鱼网站,会通过键盘记录或屏幕录制等方式,把账户和密码信息传输至窃取人指定的服务器中,危及用户资金安全。互联网上还出现了专门的网银病毒,如“网银大盗”病毒是针对某一国有银行互联网金融业务,专门窃取该互联网金融业务用户的账户、密码、验证码等敏感信息,给互联网金融业务带来很大的信息安全风险,对银行客户的财产造成严重的威胁。
(2)信息通信风险
互联网金融业务通过网络在银行、互联金融机构、用户之间进行数据传输,在数据传输过程中要求进行数据加密,如果一旦网络传输系统和环境被攻破,或者加密算法被黑客所攻破,将使得互联网金融业务客户的资金、账号、密码在网络中明文传输,造成客户信息泄露,严重影响互联网金融业务用户信息安全。
(3)系统漏洞风险
互联网金融业务应用系统和数据库不管使用Java进行系统开发还是其他工具开发,在技术上固然存在一些系统漏洞和隐患,这些漏洞往往会被黑客、计算机病毒所利用,带来巨大实际利益。因此,出现黑客产业链,有专门技术人员去发现互联网金融业务系统的漏洞,出售至病毒制造者,对互联网金融业务的系统造成很大的信息安全风险。
(4)数据安全风险
互联网金融业务的数据要求绝对安全和保密。用户基本信息、用户支付信息、资金信息、业务处理信息、数据交换信息等的丢失、泄露和篡改都会使商业银行产生不可估量的损失。在互联网这样一个开放式的环境中,如何确保数据输入和传输的完整性、安全性和可靠性,如何防止对数据的非法篡改,如何实现对数据非法操作的监控与制止是互联网金融业务系统需要重点解决的问题。
(5)系统应急风险
目前,大多数互联网金融机构在系统建设和运行中,特别是尚未纳入监管体系的P2P 等机构系统,没有很好地执行按照业务运行应急计划,应对电力中断、地震、洪水等灾害不到位,一旦发生灾害,将带来巨大损失。如美国“9.11”事件,一些公司由于没有建立灾备系统,没有执行好应急演练计划,系统和数据全部丢失,造成公司彻底破产和消失。
(6)内部控制风险
互联网金融服务内控制度是对业务日常运行处理中进行流程或制度的规范,一旦互联网金融业务内控制度建设或执行不到位,将会造成互联网金融业务在运行或操作中出现问题。如由单个维护人员完成对客户的密码重置或客户账户信息调整等,这些将会造成互联网金融业务信息安全风险。
(7)外包管理风险
互联网金融业务在快速发展过程中,由于机构相关人才不足,在系统开发、运行过程中,很多是通过购买第三方外部服务的方式提供互联网金融业务技术支持。互联网金融业务外包服务管理不到位,将给服务机构带来数据泄密的风险,这种案例在国内曾发生过多起。同时,如果外包服务公司因为经营不善或破产,造成互联网金融业务外包服务突然中断,这些都将会严重地影响到互联网金融业务安全稳定的运行环境。
(8)操作风险
操作风险指来源于机构内部员工或用户的错误操作、恶意操作而导致潜在的损失。机构员工对业务不熟悉,有可能导致互联网金融业务严重的操作风险,从而危及互联网金融业务的总体安全。此外,像在传统商业银行业务中那样,客户的疏忽也是操作风险的另外一个来源,互联网金融业务可能会因为客户欠缺网络安全知识而面临相当高的操作风险。
(9)法律风险
互联网金融业务的法律风险来源于违反相关法律、法规和制度以及在网上交易中没有遵守有关权利义务的规定。目前,电子商务和互联网金融业务在我国正处于加快发展阶段,政府有关法规中对于网上交易权利与义务的规定还不清晰,所以互联网金融业务中存在着相当大的法律风险。
1.3 移动支付的主要风险
概括来说,移动支付风险主要来自移动操作系统层、移动客户端和针对移动金融服务业务的外部威胁。
1.3.1 移动操作系统层安全风险
(1)“裸奔”的风险
手机作为广大用户的通信工具很少被安装杀毒软件,大部分用户的手机还都是“裸奔”状态,不带有任何安全防护体系的操作系统是非常脆弱的。
(2)越狱、Root的风险
在越狱、Root 操作系统上,黑客可以静默安装具有针对性的攻击软件,或者直接卸载手机银行APP 并替换成钓鱼软件。这些操作对于普通的用户而言很难被发现,如果受到攻击,必然会造成严重的后果。
(3)刷机风险
手机用户普遍都有过刷机经历,网上下载的自制ROM 木马携带率很高,如果刷了带木马ROM,无疑是将自己手机银行的账户信息安全暴露出来。
1.3.2 移动终端客户端安全风险
除了操作系统的风险外,手机终端客户端软件也存在着一定的风险。
(1)密码截获风险
用户在手机终端客户端软件中输入密码时,木马程序可以随时监听并获得用户输入的密码信息。
(2)短信验证码风险
有些手机终端客户端软件采用短信动态验证码的机制作为辅助安全手段,但在移动平台上截获短信是轻而易举的事情,黑客可以利用自动化控制工具在用户毫不知情的情况下操作客户端,将短信动态验证码截获并自动带入到非法业务操作中,一笔用户毫无觉察的非法交易就已经操作完成了。
(3)交易劫持风险
用户在使用手机处理金融业务时,木马监听程序在用户数据提交之前可预先篡改交易数据,而用户只能看到篡改前的正常数据,但提交到银行的交易数据,如交易金额、收款账户等信息都已经被替换掉,用户很难及时发现攻击行为。
1.3.3 针对移动支付的外界安全威胁
(1)移动支付同样存在人为的欺诈行为
正因为手机银行快速、便捷,受害人容易在受人蛊惑后在没有充分考虑的情况下就在手机银行上进行交易操作,事后反省过来为时已晚,资金已经划出。
(2)用户对移动支付的安全意识淡薄
用户容易将自己的敏感信息泄露给对方,或开通移动支付业务的时候错将别人的手机号登记上去,就会造成不可挽回的损失。
(3)手机丢失后移动支付业务存在风险
如果用户不妥善保管手机,导致手机丢失或被盗等事件发生,在用户手机金融业务密码设置过于简单的情况下,手机丢失后其账户安全会存在较大的风险。
1.4 互联网金融数据安全
近期几个重要的互联网金融数据安全事件说明该领域存在的突出相关安全隐患。
事件一:2014年2月28日,世界最大规模的比特币交易所运营商Mt.Gox 宣布破产,因交易平台的85万个比特币被盗一空,公司已经向日本东京地方法院申请破产保护注1http://www.8gyu.com/hot/20140302/3162.html。。
事件二:2014年3月20日,国内最大、最具影响力的P2P网络借贷行业门户网站网贷之家发布公告,自2014年3月16日起,网贷之家官网持续多日受到黑客的严重恶意攻击,持续10 min的30 Gbit/s 流量攻击,同时数万IP的CC 攻击,短短几小时内6 亿次的连续攻击注2http://www.admin5.com/article/20140321/540005.shtml。。
事件三:2014年3月22日,全国知名票务服务公司、在美国纳斯达克上市的携程旅行网被曝其支付日志存在漏洞,用户银行卡信息可被黑客任意读取。这一事件引发大量用户更换信用卡,使互联网金融领域支柱之一的互联网支付蒙上了一层阴影注3http://big5.ce.cn/gate/big5/finance.ce.cn/rolling/201403/24/t20140324_2535350.shtml。。
事件四:Netflix 和AOL 已经因为其管理的大量数据和对个人信息的保护而受到金额达数百万美元的起诉(某些已经立案),尽管他们已经对这些数据做了“匿名化”处理并且是为了研究才公布的。
这4 个事件分别从数据质量的安全性、数据容灾安全、数据访问控制安全、敏感数据分析安全等不同角度说明互联网金融数据安全性面临的挑战和风险。可以看到,这一系列数据的安全性对整个互联网金融行业至关重要。
1.4.1 数据质量的安全
互联网金融企业区别于传统金融机构最大的特点在于: 其所有的业务均通过互联网和信息系统完成。信息系统处理的核心是其包含的业务数据。由此,互联网金融机构业务系统所包含数据的可靠性是其需考虑的首要问题。
大数据时代的互联网企业,如电子商务服务商、电子邮件服务商、搜索引擎服务商、门户网站、SNS(social network service)等,为使自己的系统架构具有适应大规模用户访问、使用的性能,通常采用了并行集群计算的框架,其中包括了Google的BigTable 以及以延续BigTable 思路的Apache Hadoop 框架。这种框架的优势在于:可以很好地以相对低廉的成本构建具有高并发访问性能、弹性计算性能的IT 架构,以适应当前随互联网浪潮掀起的大数据浪潮。这种系统架构的特点是在牺牲部分数据准确性及可靠性的前提下提高了海量用户并发访问的性能。由此,该类系统具备利用海量的用户产生内容(user generated content,UGC)及相关数据为所有用户提供良好的访问体验的能力。在相关大数据技术的保障下,新兴的互联网企业能在短期内积聚大量的用户,极大地降低了信息沟通的成本,产生了大量商机。以此为蓝本,大量互联网金融公司架设了自己的大数据IT 架构,借大数据的东风力推自己的虚拟金融服务。
相对互联网金融公司的迅猛发展,传统金融机构(如银行机构、证券行业等)的信息化具有自身的特色。传统金融机构以交易及资金为核心,其主要业务为事务处理(online transaction processing,OLTP)及大量分析性业务。为处理相关业务,传统金融机构使用了关系型数据库并搭配传统的数据仓库方式搭建自己的IT架构以处理相关的核心业务数据。传统事务性处理的最大优点是在处理交易数据时其原子性、严格的事务性的特点可以很好地维护数据质量及可靠性。然而,其最大的问题在于,当该类系统在面临互联网化的浪潮带来的海量用户并发访问的环境下,无法保证应用的稳定性和效率,其维护成本及更新成本很高。为抢占互联网金融时代的先机,部分国内金融机构尝试使用互联网企业的大数据处理技术及架构来重构自己的互联网业务。
无论是新兴的互联网金融业务还是传统金融机构的互联网化,这2 个趋势业务的底层IT 系统架构均建立在当前的大数据技术基础上。借互联网海量用户信息及信息沟通成本低廉的东风,近年国内的互联网金融行业快速扩张、发展。数据质量本身的安全性却被放在了次要位置,现有大数据系统架构的顽疾,如数据准确性、一致性差、数据质量及可靠性不高的特点均不同程度地保留在了互联网金融机构的核心业务数据系统中,埋下了一颗不小的定时炸弹(在BigTable、Hadoop 等系统均未能很好地解决)。由此,当前互联网金融数据迫切需要有能保证数据质量、可靠性的、能保证高并发事务性处理的新大数据IT 系统框架及技术的出现。
1.4.2 数据访问控制安全
数据的访问控制主要是针对越权使用资源的一系列防御措施。数据访问控制安全机制能防止对数据资源进行未授权的访问,从而使计算机系统在合法范围内使用。决定用户能做什么,也决定代表一定用户利益的程序能做什么。
由于大量互联网金融机构使用了新兴的大数据相关技术,技术本身的成熟度和倾向性使当前的互联网金融机构的底层IT 系统架构不具备能很好保证数据质量、可靠性、严格事务性的特点。更为严重的是,在这样的系统中,往往为了应对大数据的处理效率,简化了数据访问的权限控制机制。由此,一旦相关互联网金融机构内部出现错误操作或“害群之马”时,往往可能造成灾难性的后果。
传统数据库领域存在有软件及硬件加密的数据库系统,然而在大数据的分布式处理架构下,暂未有合适的工业级别加密数据库,这使得互联网金融行业的数据底层在企业内部存在相当大的操作风险。
当前互联网金融企业所使用的大数据分布式处理架构Hadoop 提供了一个和POSIX 系统类似简单的文件和目录的权限模型,可处理文件粒度的数据访问控制的安全性。基于Hadoop的Hive 也开始逐渐细化对数据元组级别及属性级别的访问控制安全机制。然而,数据访问控制及其处理的性能始终存在一定的矛盾,这也是今后互联网金融机构底层的IT 架构需重点解决的问题。
1.4.3 数据容灾安全
互联网金融机构的主要业务交易借助互联网完成,其主要利益包含在它们的核心数据中,尤其是以经营虚拟货币为主业的相关单位,其核心数据的安全性显得非常重要。
在网络时代,互联网企业需要面临一系列的安全性风险:系统意外故障、黑客入侵、天灾人祸等。数据容灾主要指在遇到突发的各种故障和灾难时,相关企业的数据(尤其是涉及核心利益的数据)可以在一定程度上得到恢复,以免遭受如Mt.Gox 公司那样的毁灭性打击。
当前广为使用的基于Hadoop的大数据技术所搭建的集群不具备完善的容灾功能。当系统中出现Named Node 崩溃时,很难直接恢复。此外,由于大数据时代互联网金融数据量的海量规模,使传统的、基于冗余磁盘阵列方式的容灾技术面临性能和吞吐量的挑战,尤其在面临大规模数据的异地集群备份时,相关问题会显得更严重。
除了技术层面的考虑,在法律上还需针对敏感数据容灾备份针对专门的管理条例和规则。在政策上为互联网金融容灾备份中心搭建便利的平台。
1.4.4 敏感数据分析安全
在大数据环境下,很多组织和机构都在对自己从不同源头收集的海量数据进行分析,并基于这些分析结果做出相应的决策。在互联网金融的特定情境下,这些数据都是一些敏感数据,因此,首先需要保证数据分析人员的安全可靠;其次,应该按照分析人员的级别和分析需求,提供其相应敏感级别的数据,并且必须明确发布这些数据及其分析结果可能产生的后果。从事件四中可以看出,即使已经对发布的数据进行了“匿名化”处理,一些敏感信息依然会被发布出去进而遭到惩罚。
2 互联网金融信息安全的主要解决方案
2014年,Windows XP 停止服务是我国互联网金融行业的一件大事。Windows XP 操作系统于2001年发布,目前依然在各领域广泛使用。除了个人电脑,XP系统还广泛用于ATM、医疗设备、工业控制系统和一些信用卡的刷卡设备。据全球最大ATM 制造商NCR公司的数据,目前超过95%的ATM 机采用的是XP 系统。对金融行业来说,面临着较大的安全风险。
2.1 中国电子基于攻击语境的主动防御体系
传统防护体系采用被动防御方式解决信息安全问题,发展到今天已经难以为继,主动防御势在必行。传统的信息安全防御体系主要基于扫漏洞、打补丁和利用特征库识别恶意行为等,不能满足金融业务等高等级的安全需求,特别是针对渗透攻击缺乏有效的防御手段。建立的安全机制极其脆弱,现有安全防护产品“重功能,轻保障”,安全保障能力欠缺,自身安全机制容易被篡改和旁路。形成的安全管理机制分散低效,一方面,各产品难以联动,不能构成整体防御;另一方面,运维效率较低且缺乏预测能力。
2013年9月12日,马凯副总理在中国电子调研信息安全时特别指出:“要大力发展国产化替代工程,要加强防护性措施,可信计算是解决信息安全问题的一个重要途径”。
国产化替代是国家长期的、持续的基本发展战略,需对替代的全程进行统一安全防护。第一阶段在大量国外产品环境中构建主动免疫的自主防御体系,确保计算环境的“安全可控”;第二阶段在自主产品和非自主产品的混合环境下,建立统一的主动免疫防护体系;第三阶段在完全自主产品环境下,建立主动免疫防护系统,达到“本质安全”的目标,为国家自主可控战略保驾护航。
2.1.1 基于可信计算技术的“白细胞”操作系统免疫平台
信息系统不安全的根源是由于PC 结构的简化,对系统中的进程、程序没有校验,导致可执行程序、进程在非授权情况下任意执行,实施恶意行为,而传统的防火墙、防病毒、IDS 都是以外围封堵、事后升级病毒代码库为主,不能主动防御、积极防御。可信计算通过在硬件上引入可信芯片,从结构上解决了个人计算机体系结构简化带来的脆弱性问题。可信计算基于硬件芯片,从平台加电开始,到应用程序的执行,构建完整的信任链,一级认证一级,一级信任一级,未获认证的程序不能执行,从而使信息系统实现自身免疫,构建安全等级的信息系统。
美国微软公司宣布2014年4月8日完全停止对Windows XP 系统提供补丁和安全更新,给我国的信息系统运维安全及数据安全带来严重威胁。
为此,工业和信息化部副部长杨学山与国内权威院士、专家进行了深入研讨,最终达成共识:国外其他商业操作系统迟早也会停止补丁更新,因此,需要采取操作系统加固措施提供安全保障。现阶段国家政策上不提倡将Windows XP 系统升级到Windows 7/Windows 8 系统,如需考虑升级,建议搭载操作系统安全加固产品提供安全保障,并且在今后的信息系统安全检查中应加入针对性检查。
中国电子推出的“白细胞”操作系统免疫平台以可信计算技术为基础,以GB/T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 为依据,让操作系统具备了自免疫能力,让计算机有了自己的免疫“白细胞”,如图1所示。“白细胞”操作系统免疫平台实现了主动防御,有效解决了系统被未知漏洞、未知病毒、未知木马攻击而造成的风险,能够解决Windows XP 停止服务所带来的安全问题。
“白细胞” 操作系统免疫平台基于可信计算技术进行设计,设计和实现中用到了多种前沿技术,主要包括内核级系统监控技术、文件可信校验技术、动态度量技术、可信网络连接技术、可信审计技术等关键技术。
2.1.2 可信网络安全解决方案
我国互联网金融重要信息系统正面临着多角度、多维度、复杂环境下的信息安全挑战。2013年6月9日,美国中央情报局前雇员爱德华·斯诺登曝出了 “棱镜门”事件,材料显示,自2009年以来美国国安局就持续入侵和监视中国内地和香港的电脑网络。据德国《明镜》周刊引述泄漏的美国国家安全局文件指出,美国在全球约80 个地点设有特殊情报搜集部(special collection service,SCS)从事电话监听和网络通信监控,香港、北京、上海、成都、台北等亚洲城市榜上有名,美国在东亚2 个盟友韩国与日本则不在名单上。根据《明镜》 此前报道,SCS 专门监控所在地区政府部门的通信。斯诺登事件表明,在政府、军队、央企、金融、运营商等重要行业中,对重要人员数据信息无时无刻地进行监控窃取成为新的安全威胁。如何有效地应对影响着国家安全和经济发展的信息安全威胁,成为了当前亟待解决的问题。
中国电子可信网络安全解决方案就是要建设一个三明治结构的封闭网络,即可信任网络,如图2所示。把网络设备转发的数据分组标记为可信任数据分组,通过数据分组白名单校验的方式发现网络设备自己产生的流量,并做分析和审计,发现后门线索。可信任网络是指网络内数据分组都为可信任数据分组,实现网络内端到端的可信任传递的网络。可信任数据分组是指在数据分组组头加入标识信息,防伪造、抗抵赖,具备完整性的数据分组。
图1 “白细胞”操作系统免疫平台架构
网络设备是连接终端和外部网络的桥梁,可信任网络的起点在终端和网络设备之间,在这个位置放置可信标识网关,把数据分组标识为可信任数据分组。可信任网络的终点在网络设备和外部网络之间,在这个位置放置可信边界网关,校验和还原可信任数据分组。可信标识网关和可信边界网关组成可信任网络的边界,防护中间的网络设备隐藏后门。
可信网络方案包括3 个关键点。
(1)可信任数据分组白名单
隐藏后门的目的是把网络中要监控的流量通过复制或篡改的方式传送出去,隐藏后门防范的第一步工作应该是如何把边界网络设备自己产生的流量与其转发的流量区分开,能识别网络边界设备自己产生的流量。本方案不通过检查网络边界设备自己产生流量的特征识别,通过建立可信任的网络,建立可信任数据分组白名单的方式发现异常流量。这样的好处是可以识别出所有可疑数据流量。
(2)安全的数据分组级别标识
根据上面的分析,现在的网络协议原理上是不能把这2 类流量区分的,因为网络设备具备伪造数据分组任何一个字段的能力,存在着网络边界设备伪造可信任数据分组的风险。本方案通过安全的数据分组标识技术,在数据分组中加入网络边界设备不能轻易伪造的标识信息,达到区分网络边界设备自己产生流量的目的。
(3)网络边界设备可疑流量的审计取证
网络边界设备后门难以发现的原因之一是网络设备自身有维护接口和网络信令传输接口,这些接口平时正常工作,但也可能用来传输后门数据;原因之二是以前因为不能捕获网络设备自身发出的数据,造成缺乏研究样本和可追溯证据,在察觉到异常时也不能做进一步的追查工作。本方案在识别网络设备自身发出数据的基础上,建立起全网范围的网络边界设备可疑流量采集存储体系,以便事后分析正常维护流量和异常后门流量。
中国电子可信网络解决方案以可信计算理论为基础,利用专有数据分组标识技术,在重要信息系统网络边界建立可信任数据分组的白名单机制,管控非可信数据分组,阻断网络设备未知后门和漏洞向外泄露信息的途径。
2.1.3 金融系统信息安全服务平台
传统的信息安全防护体系已经难以提供可靠的安全防护,特别是针对APT 攻击、零日型攻击或者是来自企业内部的网络攻击,当前的互联网金融系统信息安全保障体系无法提供足够的保护能力。
中国电子针对金融系统和互联网金融系统高安全保障需求特性,基于攻击语境的主动防御思想推出了金融信息安全服务平台,如图3所示。该平台以安全服务为核心,以平台为支撑,以信息安全威胁的“可发现、可替代、可防范”能力为保障,以信息安全的评估咨询,信息风险的感知、识别、预警、防护为主线,在面对“可能发生,正在发生或者是已经发生”的有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件时,提供软硬件相结合的信息安全保障、支撑与应急能力。金融信息安全服务平台具备风险分析、信息报告、监测监控、预测预警、综合研判、辅助决策、综合协调与总结评估等功能。
图2 可信网络方案架构
金融信息安全服务平台通过聚合相关企业在技术、服务和设施方面的已有优势资源,开展深度合作,形成聚合效应,以平台方式提供外统一服务和信息安全系保障服务。
金融信息安全服务平台主要包括咨询评估服务子平台、安全监控服务子平台、在线安全防护子系统、自动化运维管理平台子系统等。
(1)咨询服务平台
信息安全服务平台是针对金融企业信息安全规划、建设、运作、管理的完善解决方案,能够协助企业更加全面地认识信息技术,评估企业的信息安全隐患及薄弱环节,进一步完善企业信息安全保障系统架构,为企业构建高度安全的运行环境,共同规划、设计、实施、运作、管理,从而保护企业信息系统的安全。咨询服务平台包括安全咨询、等级测评、风险评估、安全审计、运维管理、安全培训等几个重点方向。用户更需要的是有针对性的、个性化的、模块化的、可供用户任意选择的、周全的安全服务体系,能够提供安全咨询服务、等级测评服务、风险评估服务、安全审计服务、运维管理服务、安全培训服务、事件咨询和体系咨询。
(2)安全服务平台
安全服务平台以IT 资产为管理基础,以安全事件为管理核心,实现了对IT 环境统一、高效的网络安全监控和风险管理。其着眼点是使企业和组织能够应用最新的技术,对网络上关键却又孤立存在的各种安全信息进行统一收集、管理、分析、处理,从信息安全的全局层次上真正获得实时的事故处理和安全威胁响应能力,提高企业和组织预防威胁、识别威胁、处置威胁的防卫能力。
安全服务平台专门管理、监控来自整个企业IT 环境中各种系统产生的安全信息。借助安全监控管理平台的支持,企业组织不再需要在端到端的安全信息管理方面浪费巨大的人力、物力,并能够在保持现有安全体系结构稳定的前提下,充分发挥出体系的整体效能。
安全服务平台可以为客户提供一个立体化的综合安全管理支撑体系,它的核心技术主要体现在:统一事件和报警收集、安全事件的综合处理和关联分析、深入的审计追踪和取证、详尽的安全趋势和现状分析、渗透测试、安全加固、代码审计、安全培训等。
(3)在线安全防护平台
在线安全防护平台主要包括网络防护、数据保护、应用系统保护、网络安全管理、数据库安全、Web 系统安全、移动网络防护、网络态势分析、APT 防护等模块。
(4)深度运维平台
随着信息时代的持续发展,IT 运维已经成为IT 服务内涵中重要的组成部分。面对越来越复杂的业务,面对越来越多样化的用户需求,不断扩展的IT 应用需要越来越合理的模式以保障IT 服务能灵活便捷、安全稳定。从初期的几台服务器发展到庞大的数据中心,单靠人工已经无法满足在技术、业务、管理等方面的要求,因此,标准化、自动化、架构优化、过程优化等降低IT 服务成本的因素越来越被人们所重视。其中,自动化最开始代替人工操作为出发点的诉求被广泛研究和应用。自动化运维管理平台的建设包括建立自动化运维管理平台、建立故障事件自动触发流程,提高故障处理效率、建立规范的事件跟踪流程,强化运维执行力度、设立IT 运维关键事件流程,引入优先处理原则等。
图3 金融系统信息安全服务平台架构
2.1.4 云计算安全解决方案
互联网金融信息技术支持依赖与云计算设施和大数据技术,其信息安全防护关系到整个互联网金融业务核心竞争力和可持续发展。云计算作为一种全新的使用和交付模式,由于采用虚拟化技术将计算资源、存储资源和网络资源进行集中管理运维,造成数据资源管理权与所有权分离、网络安全边界虚化、技术上和管理上都面临新的安全风险。
中国电子依托产业化优势,研发了“云安全套件”系列防护产品,推出了比较完整的云计算安全解决方案。构建了符合等级保护合规性要求的、可信的云计算环境,保障云计算系统和平台的安全性,为云数据中心提供全方位的安全防护。解决方案涵盖系统安全、网络安全、数据安全、管理安全以及合规安全等多个方面,覆盖了云计算的各类安全风险,完全满足上述安全需求,形成对云计算环境的综合防护能力。
“云安全套件” 是构成解决方案的核心组成部分,它是面向云计算环境,以可信计算技术为基础,遵照GB/T25070-2010 《信息安全技术——信息系统等级保护安全设计技术要求》中“一个管理中心支撑下的三重防御”的设计理念,自主研发云安全防护系列产品,主要用于解决虚拟化技术应用后所带来的安全问题,是对现有安全技术和传统网络安全防护的有力补充。
“云安全套件”产品体系由一个统一的云安全管理平台及多个防护产品构成,包括云安全管理平台、虚拟网络防护、虚拟节点防护、可信存储产品、流量监控产品、数据隐私防护、云安全审计及云移动终端管理等产品。“云安全套件”产品体系能够根据实际需要进行组合,并能完全覆盖上述4 个方面的安全需求。
“云安全套件”产品体系如图4所示。
图4 云安全套件产品体系
通过“云安全套件”产品系列多种组合方式,中国电子云安全解决方案能够满足于互联网金融云数据中心的安全防护需求,并通过持续的安全服务为客户创造价值。
中国电子云安全解决方案的总体架构是在云安全总体策略下,提出的一种体系化云计算安全保障架构,如图5所示。该架构参考了“一个中心三重防护”的信息系统等级保护的设计思想,从虚拟化基础运行环境、虚拟化区域边界安全隔离、虚拟化网络防护和虚拟化存储安全防护等多个方面构建一个全方位、完善的云计算环境虚拟化可信可控防护体系。
图5 云安全解决方案总体架构
2.2 360安全解决方案
2.2.1 360“XP 盾甲”的纵深防御体系保护方案
360“XP 盾甲”是专门针对微软停止XP 系统维护后提供计算机维护的一款系统安全维护软件,部署该产品可以支持用户继续正常安全使用Windows XP 系统。该方案采用纵深防御体系防护思路进行设计,包括内核级操作系统加固、内核级热补丁修复、应用级危险应用隔离和应用级“非白即黑”白名单策略,如图6所示。
图6 360“XP 盾甲”整体防御思路
(1)第一级(内核级):操作系统安全机制加固
360 方案与微软通过打补丁的方式以杜绝安全漏洞的做法相比,则采用更加彻底的加固方式在底层杜绝各类漏洞导致的安全威胁。系统加固属于治本,而打补丁属于治标; 系统加固可以从攻击原理上杜绝漏洞的危害,而打补丁则属于头疼医头,脚疼医脚;系统加固的方式可以实现一次加固,终身有效,而打补丁的方式则属于终身服药。微软也在新的Windows平台上采用加固方案,以从根本上解决Windows安全问题。
(2)第二级(内核级):系统漏洞热补丁修复
加固方案是在已知攻击手段的原理基础上给出的解决方案,但不能排除存在极个别的漏洞利用过程采用了全新的逻辑与攻击思路,在这种情况下,理论上加固方案就无法保证百分百有效,而采用热补丁的方法可以在加固功能升级之前做到临时快速防护。
(3)第三级(应用级):危险应用隔离
该方案采用沙箱技术实施危险应用安全隔离。沙箱是一个虚拟系统程序,允许终端环境在沙盘环境中运行浏览器或其他程序,因此,运行所产生的变化可以随后删除,沙箱是可以按照安全策略限制程序行为的执行环境。该方案的IE 沙箱允许访问网络,限制本地资源访问,Office 沙箱允许访问本地,限制网络访问。
(4)第四级(应用级):“非白即黑”白名单
在对安全等级特别高的涉密组织中,未经漏洞修复的XP 系统时刻都处于被漏洞利用攻击的危险中,对于Windows 系统来说,对大多数的安全漏洞都会通过文件的方式进行攻击利用,因此,严格控制文件的打开执行对XP 系统的安全来说至关重要。目前在美国,通过非白即黑的安全策略实现对未知威胁防护是一种行之有效的主流方式。该方案采用的主要技术有:通过MD5 识别文件;建立高纯度文件白名单库;采用非白即黑的严格管控策略禁止陌生文件在XP 系统上的打开与执行等。
2.2.2 360 天眼——下一代网络预警平台
360 天眼威胁感知系统(TSS)是奇虎360 面向政府、军队、金融、电信、能源以及其他国家大型支柱性产业企业推出的针对APT 攻击与下一代未知威胁的核心检测设备,该设备通过对APT的核心攻击过程(未知病毒、未知恶意代码、特种木马、未知漏洞(0day)利用)的精确检测,实现对APT 攻击的发现。
同时,TSS 亦可通过与360 天擎终端安全管理系统(ESS)、360 天机移动终端安全管理系统联动,构建对APT 攻击从发现到阻断的分级、纵深防御体系。
2.2.3 360 支付保镖
360 支付保镖能够在用户使用网银、网购和手机支付客户端时,自动验证当前客户端的安全性,保护网银、网购和手机支付客户端不受病毒木马侵害,保障用户财产安全。360 支付保镖会扫描手机中已经安装的软件,包括系统中预置的软件,扫描已安装软件时,将根据软件的包名(package name,Android平台用来标识一款软件的字段)、UID(symbian平台中用来标识一款软件的字段)、版本号(version)和证书(cert)以及特征码与病毒库进行比对,判断软件的安全性,以便完成查杀。当用户启动网银、网购、手机支付客户端时,360 支付保镖会在后台启动,校验当前程序是否为正版,校验过程会调用当前启动的网银、网购或手机支付客户端的包名、版本号和签名证书,与本地病毒库进行比对,以确认安全性,该操作不涉及联网上传行为。
2.3 腾讯联合“扎篱笆计划”
“扎篱笆计划” 是在微软宣布停止对XP 提供服务后,腾讯电脑管家团队与金山、搜狗、知道创宇、乌云以及KEEN Team 等国内知名安全漏洞平台联合,针对过渡期继续使用XP 系统的用户推出“联合防御计划”。
微软退出XP 系统升级维护,中国是全球受影响最大的地区之一。XP 系统用户在全球市场占有率约为25%,而在中国市场这一比例更高。XP 系统退出后将在中国带来2~3年甚至更长的过渡期,在此过程中,XP 系统用户的安全保护将极为重要。
“扎篱笆计划”的第一步,腾讯电脑管家安全团队配合微软官方响应“系统升级计划”,并针对国内用户提供便利的系统升级渠道及安全服务,帮助有系统升级需求的用户顺利完成系统升级。
“扎篱笆计划”的第二步,腾讯电脑管家联合金山、搜狗、知道创宇、乌云以及Keen Team 等国内知名安全与漏洞平台,针对过渡期继续使用XP 系统的用户推出“联合防御计划”,其中包括XP 系统漏洞响应规范及主动防御机制。“扎篱笆”其中一项最为重要的工作,就是坚决抵制任何安全企业利用XP 漏洞恶意恐吓用户的不良行为,参与“扎篱笆计划”的全体成员要将此作为最基本的企业责任与企业责任准则来共同实施与制约。
3 互联网金融信息安全风险管理与建议
3.1 中国互联网金融信息安全的基本判断
(1)互联网金融安全风险隐患突出,正逐步规范,总体风险可控
我国互联网金融支付行业通过短短10 余年从零增长到万亿级规模,如果没有一定的风险控制能力和风险防控措施,要实现年均100%的速度发展是难以想象的。《2012年中国网络支付安全状况报告》显示:我国网络支付整体安全使用状况良好,9.3%的网上支付用户认为网上支付非常安全,69.4%的网上支付用户认为网上支付比较安全,还有16%的网上支付用户认为网上支付安全水平一般,仅5.3%的网上支付用户感觉网上支付不太安全或者非常不安全。
总体来说,我国网上支付等核心互联网金融尽管面临这样那样的安全风险,但是总体风险处于可控水平,互联网金融网上支付行业处于健康发展轨迹。
一是我国信息安全产业发展正逐步成熟,提供的互联网金融安全产品和解决方案能够抵御大部分信息安全风险。
二是我国互联网金融主管部门较好地把握了发展与监管的平衡关系。发布了网上银行、电子支付、移动支付等信息安全法律法规和标准规范,建立了支付协会、互联网金融协会等组织机构,能够通过监管执行强制的安全要求,提高了互联网金融信息安全防御能力。同时,互联网金融主管部门通过与公安部、地方政府合作,严厉打击互联网金融安全违法事件,形成了高压态势,对网络安全违法分子形成了震慑氛围。同时,互联网金融主管部门积极支持互联网金融创新,帮助互联网金融企业安全管理和发展,较好平衡了监管与发展的矛盾关系。
三是业务部门重视信息安全投入与管理,用户安全意识逐渐提高。互联网金融行业飞速发展,互联网金融服务部门已经形成了比较成熟的商业模式,管理团队逐步成熟,信息安全意识通过市场和政府的教育基本形成。同时,用户已经培育了良好的信息安全习惯,安全意识逐步提高。
(2)互联网金融通过落实信息安全制度,采用联防联控途径,信息安全风险可控
互联网金融信息安全风险只有通过产业链上中下游合作,联防联控,才能为行业健康发展保驾护航。网络支付行业产业链包括设备系统提供商、支付业务机构、金融业务机构、网络服务提供商等,信息安全风险可能会发生在网络支付的每个环节,信息安全服务机构只有与网络支付行业产业链各个机构合作,分析支付业务的平台安全、数据安全、网络安全和终端安全,才能掌控整个安全态势。
从我国实际情况来看,目前我国网络支付产业链合作的薄弱环节主要体现在以下几方面。
①网络支付机构的信息安全技术和内部风险管控还有待提高,尚未形成清晰的效率追求和安全需求之间的边界。
②除了监管层,网络支付产业链主体机构对于产业链安全问题多数缺乏全局意识。
③支付风险发生时,还缺乏各方认可的风险共担规则,难以摊薄个体风险,进而影响整体安全。
④消费者信息安全防范意识较为薄弱,对网络支付安全责任义务、权益保护认识的教育有待加强。
⑤基础支付层在支付安全与效率的 “二元化”诉求,增加了绝大多数网络支付机构协调、推动基础支付层联合开展安全合作的难度。
⑥产业链各方在安全合作方面的比较优势还有待进一步发掘,建立在各层面之间优势互补或比较优势基础上的分工局面尚未形成。如监管层和用户层最广泛的安全需求基本一致,但彼此之间的对接还犹如隔靴挠痒。
3.2 中国互联网金融风险控制建议
(1)推动信息安全产业链安全合作,联合防控
风险联合防范的主要思路: 在建设和完善产业链联合防空相关标准规范基础上,一方面,可通过全网联合防控、安全联盟、共建黑名单、风险信息共享、大数据安全分析挖掘、行业安全预警等方式对于风险进行联合防范化解;另一方面,也需要各主体加强人员培训交流,经验共享及消费教育,在不断遇到问题、分析问题、解决问题的过程中,提高自身风险防范应对能力以及产业链上其他机构之间的沟通协作能力。
(2)推进国产化替代工程,实现自主可控
结合我国互联网金融信息安全特点,基于产业链联防联控思路,可以考虑通过系统性控制、加固与防护、战略上自主可控的3 个产业化路径来有序推进。
系统性控制路径基于全面风险管控的策略,按照信息安全产业化保障思路,汇集行业信息安全能力和国家信息安全资源,全面提高互联网金融信息安全态势掌控能力。
系统安全加固与防护是指针对现有的互联网金融信息系统和信息安全保障系统的缺陷与不足之处进行加固与保护,加固与防护的对象可以是网络基础设施、网络安全系统及设备、应用系统、运维系统、终端设备等。
战略上自主可控主要分为2 个层面的工作: 一是安全产品的自主可控替代; 二是技术支持与服务的自主可控替代。
(3)完善国家互联网金融信息安全保障基础设施,逐步形成基于攻击语境的互联网金融行业主动防御体系
新形势下我国互联网金融系统面对新技术、新业务,面临新威胁、新挑战,传统的信息安全防护策略难以继续维护建立安全、有效的金融信息安全防御体系。我国互联网金融系统应基于国家和信息安全行业的安全能力,采用产业化思路,逐步构建基于攻击语境的主动防御体系才是互联网金融系统信息安全保障的关键。互联网金融系统信息安全产业化保障是一项关系互联网金融系统信息安全全局的系统性任务。具体思路是完善互联网金融信息安全保障基础设施: 互联网金融系统信息安全服务平台、互联网金融系统仿真信息安全分析、信息安全态势联防联控感知与监测预警、信息安全大数据分析、深度运维系统工程、国产化设备与系统替代、信息安全服务替代、基于可信计算的加固防护等。