傳統金融應用安全如何取勝？

互聯網金融的興起和快速應用，革命性地改變了傳統金融產品的內容和服務模式。雖然傳統金融機構也因此面臨著壓力，但不得不承認，互聯網金融企業在快速創新能力、客戶體驗為中心的服務理念，乃至產品和服務的快速覆蓋等方面，給傳統銀行的創新和發展注入了新的活力。

“互聯網+”安全需求大不同

“互聯網+”金融的創新在于圍繞多元化的金融服務、線上線下的緊密結合，它對現有技術支撐平臺的開放性、應用的易用性、應用上線的快速、運維的便捷性等方面都有很高的要求。而傳統金融行業固有的應用安全模式也因此面臨著新的挑戰。

首先是安全威脅的范圍擴大了。金融服務鏈條的延伸及技術平臺開放性的要求加大了安全威脅的攻擊面；

其次是傳統安全策略不適用于互聯網金融模式。傳統銀行業大多奉行嚴謹多層次的安全防御體系和機制，對客戶體驗和客戶滿意度為優先的模式形成一定制約；

再次是新業務快速迭代和上線的需求與安全漏洞的發現、修復周期和成本之間的矛盾愈加明顯；

最后是數據泄露風險加大。金融服務與客戶交易行為的深度融合，所產生的“客戶”為中心的關聯用戶“大數據”信息，帶來科技引領業務的積極因素的同時，也加大了客戶資料泄漏造成的更為嚴重后果的風險。

如何消除制約并實現“互聯網＋”對銀行傳統應用安全的訴求，成為信息安全方面的關注焦點。

自動化威脅肆虐“互聯網+”金融

傳統銀行面臨的不僅僅是“互 聯 網 +”金融帶來的安全挑戰，在網絡攻擊手段層出不窮的今天，傳統的安全技術提供的防御效果也大打折扣，安全現狀令人堪憂。 據FreeBuf發布的《2016年上半年金融行業應用安全態勢報告》顯示，高危漏洞占比高達78.48%;從漏洞利用程度上分析，互聯網金融比傳統金融更加“脆弱”——“非常容易利用”的漏洞占比高達57.5%。且未有多大改觀。在近兩年機器人攻擊手段盛行的狀況下，使得漏洞利用被大規模復制，造成前所未有大規模業務損失、數據損失。據權威機構Research and Markets 的報告，90%的網絡攻擊流量來自于自動化程序。

自動化威脅的趨勢也受到國內外安全行業的關注，OWASP組織列出了Top 20的Web應用的自動化威脅，其中盜刷、惡意爬蟲、撞庫、刷單等自動化威脅已經實實在在地發生在我們身邊，金融行業成為攻擊者的首要目標，如圖1所示。

傳統安全防御“心有余，力不足”

面對自動化威脅，現有主流網頁安全技術，應對自動化攻擊均存在不同程度的局限，大致可分為四類：

一是基于規則和簽名的技術存在空窗期。防火墻、IDS／IPS、Web應用防火墻等技術在現階段都沒有能夠擺脫防護空窗期的缺陷，規則和簽名永遠滯后于攻擊的發生。

二是身份安全面臨挑戰。安全水平參差不齊的互聯網及互聯網金融企業的興起，在大量的普通用戶群體用戶帳號、密碼一致的現實情況下，以“拖庫”為代表的大量用戶身份信息泄漏事件頻發，甚至通過“撞庫”方式產生更為嚴重的連鎖反應。出現了抗動態身份認證技術的工具和服務，如：打碼平臺，專門應對各類動態驗證碼防護技術。

三是模擬合法操作的自動化攻擊和對未知攻擊的防護薄弱且低效。目前主要依賴應用軟件本身的改進，并無有效的產品和技術應對。這如同發現應用漏洞一樣，漏洞的修復和應用軟件修改的工作成本和周期都較大，這些改進的工作內容的復制性低，也造成了不能很好適應“互聯網＋”模式的快速性特點。同時，過嚴的安全防護還造成客戶體驗不佳。

四是日志分析和大數據分析技術仍需要時間和驗證。大數據技術運用在安全威脅情報的分析和預測上是潮流和方向，其中海量的事件源采集和數據分析模型是關鍵。然而，自動化攻擊和威脅事件的捕獲手段是目前一個主要的障礙點。

圖1 2015 OWASP Web應用Top 20自動化威脅

取勝之道：“動態安全”防御理念動中取勝

在自動化威脅肆虐和傳統安全防御技術亟待提升的嚴峻形勢下，突破傳統安全防御觀念，扭轉被動滯后的局面，成為傳統金融機構和安全廠商的迫切需求。

針對銀行業面臨的主要安全風險，瑞數可以實現三個層面的安全，例如屏蔽業務安全風險：防止撞庫；防止盜用賬戶、竊取用戶信息、欺詐交易、盜取用戶存款；防止應用層DDoS，還可以避免銀行的商譽受到影響：防止自動化提交垃圾信息或惡意內容、防止自動化投票或評價結果操控、防止中間人攻擊（MITM或 MITB）。此外還可以保障網站安全：防止漏洞掃描與漏洞利用、隱藏網站邏輯缺陷、防止各種已知和未知攻擊行為，做到先人一步，以動制動。

互聯網金融業務的風控體系，需要從政策、監管、信用機制、身份和交易安全等多方面整體規劃、通盤考慮。作為即將成為互聯網金融更強大的參與者和推動力的銀行業，可以結合創新的產品和技術有效彌補傳統安全策略的不足，將應用安全技術納入業務安全模型，推動銀行業“互聯網＋”業務的快速發展。