互联网金融的信息安全（二）安全需求

未来互联网安全需求的八大方面

01 基于风险的自适应身份认证

基于风险自适应识别和身份认证将受到欢迎，它允许组织基于多因素决定控制级别。在互联网上我能够识别出你就是你的方法有很多种，维度也不一样，这是第一步； 第二步在你识别完它就是它之后，它的信度有多高，设备经常用哪个，这些都是将来客户分级的一个依据； 客户分级之后，你发现有的人支付支付过程中，我能用5000块钱，有的人可能只能用1000块钱等等。 在这个过程中，将来可能你信誉好你的设备正常登陆，你的授信可能就会越来越大，对于一个业务来讲，它是一个利好消息，因为它会越来越简化，权限会越来越大，这个就是风控应该做的内容。

02GRC

在27000一些管理体系里面曾经提出来过这种概念，大型技术组织都有一个成熟度相当高的ITGRC或EGRC正意识到未来挑战是汇聚一个有意义的平台，支持实时或者接近实时治理风险与合规的分析和报告。 管理平台通过事件风险看问题的本质，找到问题的根源，把所有事件进行关联。

03大数据分析的拓展

大数据分析是一个新的领域，所有原始的日志或者是原始交易的行为、业务的操作轨迹操作行为通过大数据分析，产出相应的信息报告，大数据分析对数据比较敏感，比如说现在做证券期货，需要把十几年来历史同期的交易数据拿出来做对比计算，这是最基本的需求。

04实时响应的处置

组织持续努力缩短计算机攻击的响应时间，比如现在公司的网站，马上就要遭受攻击，系统已经告警，怎么解决呢？现在的解决时间是多长？将来的解决时间期望是多长？如果你的业务跟互联网非常相关，每时每刻都在交易，业务中断1分钟的损失也是不可估计的。总之响应速度要快，前期要深入业务，了解业务关联性。

05不断发展的应用程序开发方法

根据业务需要，我们的需求每天都在变，变了之后马上就要实现，明天就要上线。在这过程中既要考虑安全又要考虑功能应用性各方面，其实在这个过程中开发的方法，或者说整个从开发到上线的这一套体系是一方面，更重要的是一个懂安全需求的产品经理站出来告诉研发你要这么做，告诉安全你应该考虑哪一块的风险，比如说找回密码，应该怎么去找回，快速的去决策给产品经理一定的权利，让产品经理决策整个产品的生命周期。

06增强客户隐私的安全性

法律和监管机构要求组织加强如何保护客户隐私信息的安全保障措施

07移动设备及BOYD的全局安全

流动性不确定性可丢失性等等这些都是将来移动办公的一个趋势，比如说现在有很多企业做了虚拟化，在手机端就可以远程操作一个虚拟的APP直接进行审批等等，那应用将来也可能是通过虚拟化发布过来，也有可能是通过云发布过来一个SARS应用。

08供应商第三方的安全管理

控制好用户身份纳入正常管理

互联网IT管理框架

• 身份识别特别重要，不管是外部用户还是内部用户，还是运维体系、研发体系、整个身份识别控制、人力资源的管理、入职留离职变转岗等等，这些权限的系列度管控非常重要。
• 网络威胁管理指整个网络体系生态。

互联网金融相关操作

• 平行越权查询

• 敏感信息防泄漏

不管是内部人员还是第三方，访问系统没有固定的设施，没有固定的网络隔离，有输入输出信息的交互，放在一个能被访问系统的边缘，必定会产生泄露风险。

特点

• 组织结构、人员、业务数量
• 数据类型增长、数据逻辑复杂
• 无固定访问设施
• 无固定网络隔离
• 关注端到端的可信授权

数据防泄漏

• 重要岗位
• DLP产品
• 虚拟化
• 数据流
• 埋点，很重要
• 成立应急小组，微信群直通CEO（客服投诉、舆情发布等）

其他作弊

• 流量劫持（小区、CDN、无线网络）

解决办法就是通过加密全站的https免除别人的劫持或减少信息泄露，当然在CDN网络分发的时候，会出现部分用户更新慢打不开的情况，这些都是现阶段CDN技术存在的问题。

信息泄露——假信息

只需要姓名、身份证号、与姓名一致持卡人的银行卡号、手机号这四个信息即可作弊。前三个信息很容易获得，手机号验证码的获取是关键，在一些平台注册时会收到语音验证码，目的是防止信息泄露带来风险。

互联网金融平台对外发布数据都是几百万千万的用户量，但是我们反过通过日活月活以及投资的数据会发现有很多假的用户，一般金融行业做风控要识别整个生命周期，从注册到登录、绑卡、解绑卡等过程，到最后提现充值每一个环节都要进行判断。

业务风控

• 注册

风控规则IP地址合法性（dialing、V**、服务地址）

基于时间维度习惯分析

机器操作

短信验证码频

设备指纹（用户真实性核查依据、羊毛党识别）

羊毛党

将来风控系统和正常业务系统是并列的，每一个交易都要过风控系统，在注册环节通过多维度来识别是真人还是假人或集团作案、羊毛党，根据每一步操作或者鼠标滑过的轨迹来判断是人，还是在机器操作短信验证码的获得频率设备的指纹，在整个过程中设备指纹都是有跟踪的，在注册的时候的设备指纹问题就可以识别羊毛党，一个设备上登录多个账号，根据这个人的欺诈行为，我们能算出他骗了多少钱，然后给他账户冻结扣钱等等，这个就是跟自己的风险偏好相关了，信用卡欺诈、车险欺诈、P2P欺诈等；

再比如IP地址代理判断，基于时间维度的习惯分析，一个小区IP地址通常在白天注册，突然在晚上批量注册我们要留意是否存在问题。

识别指纹有很多种技术，比如说最简单是cookie里调用设备的信息，比较严谨的是查看mac地址硬盘串号、整个电脑的分辨率等等这些所有的信息汇总起来算出的唯一值。目前百分之六七的交易场景都是在APP端进行，PC端很少。

在电商平台购买商品分期付款，评估这个人的征信等各方面是不是好人，看他的好友圈是否有骗子等等很多种算法来识别社交反欺诈。

登陆

• 同一个设备登陆限制（3个）
• 黑名单用户预警
• 登陆时间点，习惯计算
• 解绑卡、改绑卡
• 合规风险
• 绑定卡片的来源
• 解绑卡与更新身份计算（身份证）

绑卡解盲卡改绑卡，这个里面就会复杂一点，当然各个机构可以根据他自己的需求去判断，比如说有一些合规的风险，它解绑卡然后然后再绑其他的卡等等。

找回密码

• 常用地点
• 常用设备

风控规则——提现

• 限额次数（天、月）
• 最小金额限制

限制最最小金额是防止黑客的批量尝试，最大金额是业务上的考虑，同时每天每月要限额限次。

业务连续性

• 机房
• 链路
• 架构
• 应急保障（微信公众号、错误页面）

互联网业务和传统业务不太一样，比如公众号每天都在运营，出现故障的时候要快速响应，在之前写脚本的时候一些场景要涵盖进去，比如说当数据库被删除我们给出一个提示页面，根据自己的业务去考虑，提前对各类已知的脚本进行演练，越细越好。

抗D方面，比如12306网站负载问题，我们要评估容量，你只有十兆的带宽，即使买了阿里云等产品都没用，因为瓶颈在带宽这，一定要分析出这个瓶颈，从域名解析的一瞬间开始，就应该判断出瓶颈在哪里，然后进行测试演练发现其他问题，比如说DNS解析太慢，买了抗D产品但是来了CC攻击还是扛不住，这个时候你就要考虑业务系统的防御体系，更多场景具体需求具体分析。

信息安全在逐渐融入业务时，所有的终端监控是运营部门在做，前端问题是安全部门在关注，企业在面临整个行业生态的威胁。

以上内容参考安全牛课堂《互联网金融的信息安全》