安全從業者談互聯網金融的安全隱患

網站內容來源http://server.it168.com/

安全從業者談互聯網金融的安全隱患

2015-07-29 10:17    原創  作者: 付蓉潔 編輯:
0購買

  【IT168 案例】那些年,我嘗過的互聯網的鮮

  我是一個數據庫安全從業者,儘管每天會聽到、看到、處理該領域相關的安全事件,但基於僥倖心理,從概率角度來推斷,從未想過,從未發生過,這種事情真的會落到自己的頭上。儘管我每天有數通電話是來自各種銀行擔保、投資理財、外匯交易,但這些,都沒有能夠足夠觸動到我那根敏感的神經,直到一個與往常一樣的下午,這件事的發生。。。

  我同時是一個互聯網模式的擁躉,各種與此相關的新鮮事務,最新應用,我都會勇於去嘗試,期間不吝惜提供個人相關信息,這些信息包括,姓名、電話、郵箱,甚至與此關聯的身份證號碼(用過手機銀行的都知道,不提供是無法享受其服務的),誰知道呢?即使我不說,聚集了一些字段后,按照現在大數據身份識別分析技術,恐怕早已經能夠智能解決“我是誰“這個哲學領域的複雜問題,而在現實身份認證中,關於“我是誰”早已迎刃而解。

  手機銀行一出,我被深深吸引。直接手機下載App,我對這種方式,贊不絕口,屢試不爽,工資第一時間查看,理財線上操作,轉賬分分鐘的事情,不用排大隊,不用看四大行姑娘們養尊處優的臉色。緊接着,互聯網金融來了,別忘了,我是個互聯網的擁躉,自然不會錯過嘗鮮的機會,於是宜人貸、盈盈理財等各路APP被我嘗試了個遍。這些信息,都是需要身份證信息的,我統統貢獻出來,相信金融行業各家銀行保險機構的安全性。直到有一天,一連串的來電詢問,我整個人都毛了。

  自作孽,不可活,終於攤上事兒了

  就在近期,7月的一個下午,準確時間16點10分,我收到一封郵件,以我個人名義的註冊的一個外匯金融交易賬號註冊成功,且姓名、電話、郵箱地址完全吻合。本故事毫無虛構,完全真實,有圖有真相。接下來,在每一個時間點,奇妙的事情均在發生,而我的小心臟,也逐步加速跳動。

  接着,第二封郵件來襲,這次是獲取到金融賬戶登陸名密碼信息。  

  緊接着4分鐘后,接到金融外匯公司的客服來電,但前兩次均因不明電話而未接聽。

  2分鐘過後,郵件繼續追剿,金融外匯機構請求我與其聯繫。

  當日下午18點31分,因為對方多次來電,我便接聽了電話。客服詢問我是否為我本人,手機號是本人么,是不是在今天的幾點幾分用什麼郵箱賬號進行過怎樣的操作。這通電話中的一系列問題完成后,嚇了自己一身冷汗。對方的專業,直覺告訴我她不是個騙子,而且經我的核實確認后,發現不是本人操作,直接消除了此賬號,未能有更進一步實際操作。這個詢問過程結束了,我的聯想並未結束,關聯此前在銀行留下的諸多信息,開通過的諸多互聯網賬號,哪一個都綁着我的錢袋子, 怎能不擔憂?  

  整個事件,我的個人信息暴露無遺,在我毫不知情的情況下,被動完成了外匯交易平台註冊全過程,如果沒有人工核實校驗環節,以我名義被註冊的賬號,將開展系列交易動作,很可能還會和我現有的銀行賬戶掛鈎,那麼這個平台下所產生的交易盈虧,均將和我的賬戶做對應。或者我馬虎一些,直接對該賬戶進行存款操作,對方直接可獲漁翁之利。

  站在數據庫安全行業的肩頭眺望

  上文提到了,我是一個數據庫安全從業者,我們每天會面對銀行、保險、基金、互聯網金融各類企業用戶,在金融領域整體信息化建設的過程中,信息安全建設緊隨其後,但是黑客的能力也是在不斷進步的,而且系統越複雜,自身的漏洞也會越多,漏洞越多伴隨着的是黑客的攻擊手段也會越來越多。傳統的安全防護思維已經無法適應現在安全態勢的發展,原有部署的防病毒、網關類基礎安全產品,已經不足以抵禦愈變愈複雜的攻擊行為。這就好比我們把財富放在家裡,就覺得相對安全了,然後你把家裡的防盜門裝好,便認為家裡的東西本身就不需要再做什麼安全措施了。這就好比數據庫都是放到企業內部或者內網當中,在外圍加上防火牆,再加一些控制就變得很安全了。實際上這個是遠遠不足夠的,就拿銀行的內部系統來看,第一個就是內部很多第三方開發人員,他們可以直接訪問數據庫,有一些好一點,弄一個測試庫,但是測試庫又與真實數據庫中的數據相同,實際上在這種情況下數據庫中的數據是可以直接被開發人員拿走的;第二種情況就是運維人員,銀行內部大多也沒有足夠的運維人員,運維也是外包服務,這就造成外部的運維人員可以直接接觸到系統的生產庫,所以這些外部的運維人員是可以直接把數據庫中的數據拿走的。另外還有一些更可笑的,有一年,香港花旗銀行做裝修,裝修過程中由於安全防護沒做好,數據庫服務器丟了。數據庫服務器丟失以後,實際上後端的那些數據存儲是完全有手段還原成明文的。那個時候數據自身的一些防護措施已經不起作用了,花旗銀行的所有客戶資料都泄露了。

  新興的互聯網金融業,多金,多用戶,更是在忙着業務,忙着系統如何快速支撐和運轉,對安全問題的重視程度並不是第一位考慮的因素,但站在個人用戶的角度,風險低、安全才是第一前提,然後才是如何在安全基礎上財務增值。從數據存儲的介質來看,核心數據最終都會落到數據庫里,如果數據庫被顛覆了,一切歸零,對於互聯網金融企業來講,損失不可預估。因此說,安全是一個水桶原理,往往是從最短板的地方流出,那麼現在發生的信息泄露事件90%以上都和數據庫有關,數據庫安全這塊最短的木桶短板,在互聯網金融這個新興領域仍不可忽視。

  數據庫安全這個領域,因為新,因為尚未形成網絡安全同等的市場規模,業內基本的認知還停留在數據庫安全審計與防護,目前市面上被認知較多、用戶接受度較高較多的也是數據庫審計產品,該類事後追蹤審計產品確實在金融行業應用較多,但從安全防護的過程來看,數據庫安全同樣包含事前的數據庫安全體檢、事中的數據庫安全訪問控制防禦、庫內數據的加密和事後的行為監測與審計。而事後的追溯反映,快也要3到6個月,企業才會知道,而散落在外面的數據,在這個時間里,不知道已經被傳閱和販賣了多少次了。因此,事前的防禦和事中的過程控制不可或缺。通常數據庫防火牆和數據路加密產品,可以解決此類問題。

  現在訪問數據的途徑變多了,那麼在系統中留下的後門和竊取數據的途徑也變多了,用戶數據的價值增大了,所以現在數據泄露事件頻發也是一個必然的現象,數據庫安全也在逐漸被企業提高維護意識。企業的安全意識在提高,涉及到個人的隱私信息,更是需要嚴格保密。真正讓用戶在享受互聯網金融便捷服務的同時,感到安心。

,
網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

您可能也會喜歡…