随着移动金融以及互联网金融、金融创新和“互联网+”战略等一系列措施的发展实施,互联网金融已经从点(P2P)扩展到线、面,形成多形态、多方向发展的格局。7月1日,赛可达实验室主办的中国网络安全大会上,岱达金融副总裁兼CTO熊军分享互联网金融安全各种纵向思考。
互联网金融的安全是一个综合、立体全面的过程。一个多层次的安全体系不仅包括数据安全,还包括应用安全及物理安全。数据安全包括数据库、审计和快照,应用安全包括端安全、云安全、代码安全等等。物理安全包括在IDC的物理安全。
互联网金融有众筹,2C、2B、消费金融、供应链金融等形式。又分成线上线下两种方式。线上互联网金融需要注意以下几种安全问题。
- 传输。目前国内很多网站因为SSL协议会影响传输效率,所以在数据传输过程中并没有利用SSL协议解决密码明文问题,甚至在整个过程中防机器攻击部分都缺失。笔者建议在涉及敏感信息时局部利用SSL协议来传输数据。如何局部利用SSL协议呢?通常把敏感信息通过后台异步处理的提交到客户端的方式。
- 签名过程。如何解决金融交易中没有签名会产生的抵赖问题。对于服务供应商来说会有一系列的硬件、软件解决方案,而从互联网领域我们可以做电子签名,但目前国内互联网金融平台的电子签名基本上都是伪签名——PDF上有公章,但是却没有经过数字证书认证的签名。对于用户来说,PDF协议有没有做电子签名他们是不知道的。
在传统金融领域,在签名过程中,我们常采用U-KEY和动态令牌的形式,但在互联网金融领域通常会采用双因素认证,国内常见的双因素认证是在核心交易环节采用手机动态密码的形式。
- 电子文件的签名。在一系列涉及到交易的电子文件中需要签名,但目前的互联网行业并不好实施电子文件的签名。一般在互联网的电子文件签名采用数字证书的形式,但数字证书存在各种载体,这种载体对用户体验存在一定的影响。
- 数据安全。在互联网金融领域,投资者会从产品、道德、平台等层次考虑数据安全问题。不管是云端还是机房里的数据,都会有很多的解决方案。最简单的还是备份,冷备还是热备。
- 后台日志。对于内部安全来说,唯一做的事情是当事故发生的时候审计。这里会有很多的解决方案保证日志不被篡改,日志是我们整个审核过程中很重要的一环。