各位领导各位嘉宾上午好,时间有一点紧,我尽量的抓紧时间,我们飞天诚信已经在银行业的服务超过16年,我本人到今年为止在飞天满12年,一些新的思考,希望对大家有所启示,互联网金融我们觉得应该分成两个方面来看,我们都知道从安全的级别,金融行业是属于普一级的,互联网是商密级互联网下的安全问题,就是把这个普一级的安全的技术应用到互联网的渠道行业上,互联网我们认为他强调的是一个吊死(音)的经济,强调是应用和便捷,金融方面的…满足互联网的应用和便捷,我觉得这就是我们想解决的一个课题,我的讲述大概分成这三部分,其中两块,先面半部分就是网络安全的问题,后面提出我们的解决的方案。
这个是10月份就在前面不久美国FBI无局长在美国的访谈节目上说,美国现在两种公司,一种是被中国黑客黑过的公司,另一个是自己被黑客黑过了,但是不知道,说明了现在网络的安全问题已经渗透到方方面面,我们今年习近平主席在今年有一个重要的观点,没有信息安全就没有国家安全,在这里表明了信息安全网络安全,其实已经上升到了国家的安全的地步。下面我想举几个例子,网络安全的现状,首先是ICLOUD的艳照门,他的被攻击很有意思,他不是攻克了服务器,他是回答了找回密码的几个问题,就是获取了,这个现象是社会功能学IPP的攻击,…这个我们觉得很有典型的意义。
另外一个就是前一段就是GMAIL泄密的事件,就是大量的用户名和密码就是被脱库,这个很典型,是黑客直接攻击了他的数据库,通过渗透方式,拿到数据库里面的敏感的信息,这个代表典型的网络上的攻击的方式,就是网络上的直接的渗透。
还有一个就是在7月份我们看到网络上的报道,就是支付宝就是杭州的女士,就是支付宝帐户里面的32万的存款不翼而飞。调查发现及他不是支付宝出现了漏洞,就是一个吸毒的人员在网络上花了2块钱,…被攻击女士支付宝王胡,用户名和密码很不幸,就是进去了,他设定2000元以上就是可以收到通知,…在女士神不知鬼不觉的情况下他的32万的存款被转走了,这是网络上安全的事件的一个典型的现象,就是我们称之为,我们在这个行业上就是撞库,就是拿别的,就是拿用户名和密码进行尝试,很多人密码和帐户很多就是撞库的方式很容易得手,由此我们觉得,也是前一段有一个统计,我们可以看到,通过这三种,比较典型的这种攻击的方式,我们觉得现在网络上已经不像很多年以前,仅仅是以黑客做渗透的攻击,这种代表主要的攻击的方式,而演变多种黑客攻击的方式,有黑客供给的,有很多很多的这种,就是组合起来,现在网络的问题是多方面,多因素,多种现象综合成的网络现状。
由此我们可以看到,为什么现在网络问题如此的泛滥,由社会工程学或者撞库的…所以我们互联网的系统基本上还是以强调应用型为主,我们在身份认证的第一道防线以静态的密码或者弱口令进行防护,你不能以静态的密码进行的话,就是不能满足用户便捷的要求,这这是一个根本的问题。我们也列举了我们认为的原因,就是在互联网应用的环境下,用户对应用型的要求高于安全性,伴随移动互联网的发展,比如手机和IPAD,就是限制了我们在这个安全技术的扩展和延伸,比如现在很多银行用的非常安全的,像U盾,验证密码的设备,但是在沃勒IPAD不太好用,还有在手机上,我们怎么解决问题,我们做了一些思考。首先给大家看一下ICLOUD给用户提供了一个解决的方案,就是应对措施,…第二个因素,比如说像图当中看到的就是短信码还有口令,就是他提出的一个解决的方案,他能达到什么效果?我们可以看到,比如说劳伦斯他的用户的密码猜到了,然后拿到静态的密码,如果有第二步的验证,在相当的程度上可以防护这种攻击有一定的效果。
那么刚才谈到了骨骼(音)针对数据库被脱库也采取了应对的措施,他建议用户用…这个有相当大的验证,像我们看到网上拿到他的用户名邮箱的时候,就是防止一定程度上的数据库被泄漏,这个粮补的验证在我们国内的互联网形式下远远的不够。
这个有我们的相关的规定,美国的PCI也规定了规范,就是远程访问要用双方的认证,还有我们关于身份鉴别方面也是明确的规定了技术的要求,需要两种或者两种以上的技术鉴别用户的鉴别,两部或者双认证的包括国家的政策,引导包括国外的一些应用,两种验证是一定的方式,有一定的有效性,但是问题我们怎么在互联网的形式下为用户提供安全的双验证,这是我们要解决的问题,我们提供了一个云平台,我们云平台叫云信,我们实现的是一种双向的验证,就是用户验证和验证服务,…第二个的验证,原来我们的应用服务器,负责用户名和静态密码的验证,…我们的收据隔离,身份验证的服务器就是保护第二个步骤,同时在我们的验证服务器,我们利用云利用互联网的形式,能够把我们的这个验证的角色分开。这是我们设想的第一步,有了第一步之后,下一步做更深入的探索,刚才谈到,首先我们把双因子双方做到双向的认证。
对互联网的应用我们做更多的探索,比如说我们可以利用移动互联网的趋势实现我们双通道的双向的认证,搭建一个做双认证的服务器,把用户的服务设备,比如手机IPAD或者其他移动数据的设备,在专门做这个认证服务器上等级指纹,等级上来之后,我们可以给他的移动设备颁发证书,我们这个做完了之后,就是在互联网的模式下做双通道的验证。
我们觉得很有意思,用户在原有的基础上,就是输入了用户名和密码,…接下来会告诉通过我们的云平台,我们的云平台根据之前移动设备的注册信息给他的移动设备发一个推动的消息,这个不是短信是交互的,用户看到推动的信息点击确认…。具体的细节不我国不讲了,大概的流程是这样的,那么这种通过互联网的方式实现双通道的双向的认证,他的好就是解决现在互联网最大的一个问题,就是中间人的攻击,就是钓鱼也好,我们叫劫持也好,现在可以看到,在国内游很多的网络安全的事件,也都是属于钓鱼的范畴,这个除了钓鱼还有就是窜改…这个可以防止,交易劫持这个包含了中间人比较复杂的范畴,还包含了一些工程学很难防,单单从互联网一个渠道防钓鱼和劫持很难防,前两天IC(英文)又出事了,就是通过联动的网络…用户是不是,愿意接受,这个问题很严重,这就是一个典型的中间人的攻击,劫持,然后他马上的发出一个申明…能干这个事可能在交换机上能有所权限的人干,他们认为是中国联通干的,我个人不这么想,因为你干这个之后会给用户提…所以说还系出现了在不是双向认证的环节,用户接受了这个…。
这是我们一个新的想法,我们飞天诚信做了很多的努力,有一些新的方案出来,目前这个市场的应用需求包括技术还在不断的发展,我们目前提供出来,就是提供一些不同的方案,我们后面是一个云,专门做双因子的认证,前面我们给银行供了认证的介质,我们现在…如果用云平台做双向的认证的话,我们可以做监控,做数据的分析,比如说我们现在已经做到了,在云平台里面可以看到任何人通过我们的云平台在任何的地点时间做的认证,我们通过图片数据的展示都可以展示出来,下面我们做进一步的挖掘预警都可以。当然了云平台还有很长的路要走,特别作云认证的云平台,在国内以后可能有很多的人做,所以说,以后的工作很多,在这里就是借宝贵的机会,给各位领导提出我们作为厂商的思路,就是解决我们互联网的形式下,就是金融技术得以献身,保护用户在互联网应用下的应用性和便捷性。如果感兴趣的话,我们接下来联系或者探讨,谢谢各位领导。