互联网金融的兴起和快速应用，革命性地改变了传统金融产品的内容和服务模式。虽然传统金融机构也因此面临着压力，但不得不承认，互联网金融企业在快速创新能力、客户体验为中心的服务理念，乃至产品和服务的快速覆盖等方面，给传统银行的创新和发展注入了新的活力。

“互联网+”安全需求大不同

“互联网+”金融的创新在于围绕多元化的金融服务、线上线下的紧密结合，它对现有技术支撑平台的开放性、应用的易用性、应用上线的快速、运维的便捷性等方面都有很高的要求。而传统金融行业固有的应用安全模式也因此面临着新的挑战。

首先是安全威胁的范围扩大了。金融服务链条的延伸及技术平台开放性的要求加大了安全威胁的攻击面；

其次是传统安全策略不适用于互联网金融模式。传统银行业大多奉行严谨多层次的安全防御体系和机制，对客户体验和客户满意度为优先的模式形成一定制约；

再次是新业务快速迭代和上线的需求与安全漏洞的发现、修复周期和成本之间的矛盾愈加明显；

最后是数据泄露风险加大。金融服务与客户交易行为的深度融合，所产生的“客户”为中心的关联用户“大数据”信息，带来科技引领业务的积极因素的同时，也加大了客户资料泄漏造成的更为严重后果的风险。

如何消除制约并实现“互联网＋”对银行传统应用安全的诉求，成为信息安全方面的关注焦点。

自动化威胁肆虐“互联网+”金融

传统银行面临的不仅仅是“互 联 网 +”金融带来的安全挑战，在网络攻击手段层出不穷的今天，传统的安全技术提供的防御效果也大打折扣，安全现状令人堪忧。 据FreeBuf发布的《2016年上半年金融行业应用安全态势报告》显示，高危漏洞占比高达78.48%;从漏洞利用程度上分析，互联网金融比传统金融更加“脆弱”——“非常容易利用”的漏洞占比高达57.5%。且未有多大改观。在近两年机器人攻击手段盛行的状况下，使得漏洞利用被大规模复制，造成前所未有大规模业务损失、数据损失。据权威机构Research and Markets 的报告，90%的网络攻击流量来自于自动化程序。

自动化威胁的趋势也受到国内外安全行业的关注，OWASP组织列出了Top 20的Web应用的自动化威胁，其中盗刷、恶意爬虫、撞库、刷单等自动化威胁已经实实在在地发生在我们身边，金融行业成为攻击者的首要目标，如图1所示。

传统安全防御“心有余，力不足”

面对自动化威胁，现有主流网页安全技术，应对自动化攻击均存在不同程度的局限，大致可分为四类：

一是基于规则和签名的技术存在空窗期。防火墙、IDS／IPS、Web应用防火墙等技术在现阶段都没有能够摆脱防护空窗期的缺陷，规则和签名永远滞后于攻击的发生。

二是身份安全面临挑战。安全水平参差不齐的互联网及互联网金融企业的兴起，在大量的普通用户群体用户帐号、密码一致的现实情况下，以“拖库”为代表的大量用户身份信息泄漏事件频发，甚至通过“撞库”方式产生更为严重的连锁反应。出现了抗动态身份认证技术的工具和服务，如：打码平台，专门应对各类动态验证码防护技术。

三是模拟合法操作的自动化攻击和对未知攻击的防护薄弱且低效。目前主要依赖应用软件本身的改进，并无有效的产品和技术应对。这如同发现应用漏洞一样，漏洞的修复和应用软件修改的工作成本和周期都较大，这些改进的工作内容的复制性低，也造成了不能很好适应“互联网＋”模式的快速性特点。同时，过严的安全防护还造成客户体验不佳。

四是日志分析和大数据分析技术仍需要时间和验证。大数据技术运用在安全威胁情报的分析和预测上是潮流和方向，其中海量的事件源采集和数据分析模型是关键。然而，自动化攻击和威胁事件的捕获手段是目前一个主要的障碍点。

图1 2015 OWASP Web应用Top 20自动化威胁

取胜之道：“动态安全”防御理念动中取胜

在自动化威胁肆虐和传统安全防御技术亟待提升的严峻形势下，突破传统安全防御观念，扭转被动滞后的局面，成为传统金融机构和安全厂商的迫切需求。

针对银行业面临的主要安全风险，瑞数可以实现三个层面的安全，例如屏蔽业务安全风险：防止撞库；防止盗用账户、窃取用户信息、欺诈交易、盗取用户存款；防止应用层DDoS，还可以避免银行的商誉受到影响：防止自动化提交垃圾信息或恶意内容、防止自动化投票或评价结果操控、防止中间人攻击（MITM或 MITB）。此外还可以保障网站安全：防止漏洞扫描与漏洞利用、隐藏网站逻辑缺陷、防止各种已知和未知攻击行为，做到先人一步，以动制动。

互联网金融业务的风控体系，需要从政策、监管、信用机制、身份和交易安全等多方面整体规划、通盘考虑。作为即将成为互联网金融更强大的参与者和推动力的银行业，可以结合创新的产品和技术有效弥补传统安全策略的不足，将应用安全技术纳入业务安全模型，推动银行业“互联网＋”业务的快速发展。