新华社《金融世界》/Finance World,Xinhua News Agency
中国互联网协会/Internet Society of China
1 互联网金融信息安全风险
截至2013年,我国已经拥有5 亿网民,电子银行、电子支付、P2P、网上理财等已经不再新鲜。然而,人们在享受互联网金融便利的同时,时常遭遇账号被盗、资金被窃、交易受骗、财产受损等安全风险。据统计,2013年我国网上银行交易规模超过1 000 万亿元人民币,我国第三方互联网支付市场交易规模达到53 729.8 亿元人民币。确保互联网金融安全的重要性和紧迫性可想而知。
1.1 互联网金融信息安全风险形成的原因
分析我国的电子支付流程,信息安全风险事件的形成有多方面的原因,通常可以归结为以下几类。
(1)消费者安全意识淡薄
消费者安全意识薄弱是影响电子支付交易安全的一个重要原因。如消费者在电子支付时,没有使用正规的第三方支付平台进行支付; 随意接收陌生文件;在不同网站使用相同用户名与密码;网络密码放在电脑内;使用不安全的电脑进行网络支付;在资金账户仅使用数字这样的低强度密码;登录与支付使用相同的密码;随意将自己的敏感信息告诉他人;不注意妥善保存相关敏感信息,如ATM 机取款后,随意丢弃回单,给犯罪分子可乘之机等。
(2)消费者电子支付操作不当
电子支付技术种类繁多,可分为网上支付、电子支付、移动支付、电话支付、售点终端交易、自动柜员机交易和其他电子支付。如果消费者不熟悉支付方式的特性,在不安全的环境下使用个人信息,交易敏感信息就可能由此泄露。此外,电子支付业务需要使用者具备一定的操作技能,如果客户对操作及流程不熟悉,可能进行误操作,导致操作风险。
(3)木马软件泛滥
在网络上木马软件泛滥,用户如果未对其计算机安装相应的木马查杀软件,就很容易被感染。一旦被感染,用户的机器就会在其毫不知情的情况下记录用户的键盘记录、屏幕截图、鼠标操作等关键信息,再通过网络将数据发送至指定的位置,或者通过截断数据通信的方式,将用户的进出通信数据经由黑客转发。
(4)黑客攻击猖獗
现如今,黑客产业链已形成,从漏洞挖掘到漏洞利用工具的生成,从敏感信息的收集与贩卖到伪卡制卡,在网络上都能找到相应的服务提供商。简单、易用的黑客工具已经随处可见,即使电脑“门外汉”,只要按照某些教程运用黑客工具,也能进行有效的攻击。同时,不少犯罪分子也可广泛利用短信、邮件等方式骗取客户的银行卡信息,盗取客户资金。2005年4月,银行卡短信诈骗案件在厦门发生,随后蔓延到杭州、上海、南京和广州等沿海城市,10月下旬波及到西藏和青海以外的绝大部分省市,使上百万人受害,涉及金额达千万元。
当前,针对黑客攻击仍缺乏有效的应对手段。一方面,目前黑客攻击行为逐步采用匿名技术和分布式技术等手法,给追踪黑客活动的行为主体带来困难,导致黑客在实施破坏活动之余仍带有侥幸心理;另一方面,黑客的网络攻击行为更多地与移动互联网、云计算等新技术联系起来,面对黑客的攻击破坏行为仍缺乏有效的应对手段。
(5)网络钓鱼
最典型的网络钓鱼(phishing)攻击是将消费者引诱到一个通过精心设计与目标组织网站非常相似的钓鱼网站上,并获取消费者在此网站上输入的个人敏感信息(用户名、口令、账号、密码等),通常这个攻击过程不会让受害者警觉。
据国家互联网应急中心(CNCERT)发布的《2013年我国互联网网络安全态势综述》 显示:2013年钓鱼网站数量继续迅速增长,CNCERT 共监测发现针对我国银行等境内网站的钓鱼页面30 199 个,涉及IP地址4 240 个,分别较2012年增长35.4%和64.6%。
钓鱼网站往往采取与正常域名和网站内容相似等手段来欺骗访问者,甚至更恶劣地将目标网站黑掉,篡改成钓鱼页面,欺骗或诱导用户访问,以盗取用户信息(如姓名、手机号、通信地址、手机号、身份证号、银行账号和密码等),进而进行各种非法行为。黑客利用这些信息可以进行多种危害用户合法利益的行为,包括将用户资料兜售牟利、盗取信用卡和银行卡信息恶意透支、通过破解用户邮箱账号窃取个人隐私进行敲诈、转移用户资金等违法犯罪行为。
根据国家计算机网络应急中心估算,仅2009年境内“网络钓鱼”让网民的损失已经达到76 亿元人民币,更多经济之外的损失更是难以统计。
1.2 互联网金融常见的信息安全风险类别
我国互联网金融面临的主要风险分析如下。
(1)客户端安全认证风险
客户端使用用户名和密码方式进行认证,一旦用户计算机感染病毒、木马程序或被黑客攻击,没有进行安全认证,用户所做的操作均会被发送至黑客的服务器后端,严重威胁互联网金融业务账户和密码安全。近年来,商业银行均出现过假冒互联网金融业务,这些互联网金融业务与真的服务网站域名和页面非常相似,用户很难分辨。一旦登录这些钓鱼网站,会通过键盘记录或屏幕录制等方式,把账户和密码信息传输至窃取人指定的服务器中,危及用户资金安全。互联网上还出现了专门的网银病毒,如“网银大盗”病毒是针对某一国有银行互联网金融业务,专门窃取该互联网金融业务用户的账户、密码、验证码等敏感信息,给互联网金融业务带来很大的信息安全风险,对银行客户的财产造成严重的威胁。
(2)信息通信风险
互联网金融业务通过网络在银行、互联金融机构、用户之间进行数据传输,在数据传输过程中要求进行数据加密,如果一旦网络传输系统和环境被攻破,或者加密算法被黑客所攻破,将使得互联网金融业务客户的资金、账号、密码在网络中明文传输,造成客户信息泄露,严重影响互联网金融业务用户信息安全。
(3)系统漏洞风险
互联网金融业务应用系统和数据库不管使用Java进行系统开发还是其他工具开发,在技术上固然存在一些系统漏洞和隐患,这些漏洞往往会被黑客、计算机病毒所利用,带来巨大实际利益。因此,出现黑客产业链,有专门技术人员去发现互联网金融业务系统的漏洞,出售至病毒制造者,对互联网金融业务的系统造成很大的信息安全风险。
(4)数据安全风险
互联网金融业务的数据要求绝对安全和保密。用户基本信息、用户支付信息、资金信息、业务处理信息、数据交换信息等的丢失、泄露和篡改都会使商业银行产生不可估量的损失。在互联网这样一个开放式的环境中,如何确保数据输入和传输的完整性、安全性和可靠性,如何防止对数据的非法篡改,如何实现对数据非法操作的监控与制止是互联网金融业务系统需要重点解决的问题。
(5)系统应急风险
目前,大多数互联网金融机构在系统建设和运行中,特别是尚未纳入监管体系的P2P 等机构系统,没有很好地执行按照业务运行应急计划,应对电力中断、地震、洪水等灾害不到位,一旦发生灾害,将带来巨大损失。如美国“9.11”事件,一些公司由于没有建立灾备系统,没有执行好应急演练计划,系统和数据全部丢失,造成公司彻底破产和消失。
(6)内部控制风险
互联网金融服务内控制度是对业务日常运行处理中进行流程或制度的规范,一旦互联网金融业务内控制度建设或执行不到位,将会造成互联网金融业务在运行或操作中出现问题。如由单个维护人员完成对客户的密码重置或客户账户信息调整等,这些将会造成互联网金融业务信息安全风险。
(7)外包管理风险
互联网金融业务在快速发展过程中,由于机构相关人才不足,在系统开发、运行过程中,很多是通过购买第三方外部服务的方式提供互联网金融业务技术支持。互联网金融业务外包服务管理不到位,将给服务机构带来数据泄密的风险,这种案例在国内曾发生过多起。同时,如果外包服务公司因为经营不善或破产,造成互联网金融业务外包服务突然中断,这些都将会严重地影响到互联网金融业务安全稳定的运行环境。
(8)操作风险
操作风险指来源于机构内部员工或用户的错误操作、恶意操作而导致潜在的损失。机构员工对业务不熟悉,有可能导致互联网金融业务严重的操作风险,从而危及互联网金融业务的总体安全。此外,像在传统商业银行业务中那样,客户的疏忽也是操作风险的另外一个来源,互联网金融业务可能会因为客户欠缺网络安全知识而面临相当高的操作风险。
(9)法律风险
互联网金融业务的法律风险来源于违反相关法律、法规和制度以及在网上交易中没有遵守有关权利义务的规定。目前,电子商务和互联网金融业务在我国正处于加快发展阶段,政府有关法规中对于网上交易权利与义务的规定还不清晰,所以互联网金融业务中存在着相当大的法律风险。
1.3 移动支付的主要风险
概括来说,移动支付风险主要来自移动操作系统层、移动客户端和针对移动金融服务业务的外部威胁。
1.3.1 移动操作系统层安全风险
(1)“裸奔”的风险
手机作为广大用户的通信工具很少被安装杀毒软件,大部分用户的手机还都是“裸奔”状态,不带有任何安全防护体系的操作系统是非常脆弱的。
(2)越狱、Root的风险
在越狱、Root 操作系统上,黑客可以静默安装具有针对性的攻击软件,或者直接卸载手机银行APP 并替换成钓鱼软件。这些操作对于普通的用户而言很难被发现,如果受到攻击,必然会造成严重的后果。
(3)刷机风险
手机用户普遍都有过刷机经历,网上下载的自制ROM 木马携带率很高,如果刷了带木马ROM,无疑是将自己手机银行的账户信息安全暴露出来。
1.3.2 移动终端客户端安全风险
除了操作系统的风险外,手机终端客户端软件也存在着一定的风险。
(1)密码截获风险
用户在手机终端客户端软件中输入密码时,木马程序可以随时监听并获得用户输入的密码信息。
(2)短信验证码风险
有些手机终端客户端软件采用短信动态验证码的机制作为辅助安全手段,但在移动平台上截获短信是轻而易举的事情,黑客可以利用自动化控制工具在用户毫不知情的情况下操作客户端,将短信动态验证码截获并自动带入到非法业务操作中,一笔用户毫无觉察的非法交易就已经操作完成了。
(3)交易劫持风险
用户在使用手机处理金融业务时,木马监听程序在用户数据提交之前可预先篡改交易数据,而用户只能看到篡改前的正常数据,但提交到银行的交易数据,如交易金额、收款账户等信息都已经被替换掉,用户很难及时发现攻击行为。
1.3.3 针对移动支付的外界安全威胁
(1)移动支付同样存在人为的欺诈行为
正因为手机银行快速、便捷,受害人容易在受人蛊惑后在没有充分考虑的情况下就在手机银行上进行交易操作,事后反省过来为时已晚,资金已经划出。
(2)用户对移动支付的安全意识淡薄
用户容易将自己的敏感信息泄露给对方,或开通移动支付业务的时候错将别人的手机号登记上去,就会造成不可挽回的损失。
(3)手机丢失后移动支付业务存在风险
如果用户不妥善保管手机,导致手机丢失或被盗等事件发生,在用户手机金融业务密码设置过于简单的情况下,手机丢失后其账户安全会存在较大的风险。
1.4 互联网金融数据安全
近期几个重要的互联网金融数据安全事件说明该领域存在的突出相关安全隐患。
事件一:2014年2月28日,世界最大规模的比特币交易所运营商Mt.Gox 宣布破产,因交易平台的85万个比特币被盗一空,公司已经向日本东京地方法院申请破产保护注1http://www.8gyu.com/hot/20140302/3162.html。。
事件二:2014年3月20日,国内最大、最具影响力的P2P网络借贷行业门户网站网贷之家发布公告,自2014年3月16日起,网贷之家官网持续多日受到黑客的严重恶意攻击,持续10 min的30 Gbit/s 流量攻击,同时数万IP的CC 攻击,短短几小时内6 亿次的连续攻击注2http://www.admin5.com/article/20140321/540005.shtml。。
事件三:2014年3月22日,全国知名票务服务公司、在美国纳斯达克上市的携程旅行网被曝其支付日志存在漏洞,用户银行卡信息可被黑客任意读取。这一事件引发大量用户更换信用卡,使互联网金融领域支柱之一的互联网支付蒙上了一层阴影注3http://big5.ce.cn/gate/big5/finance.ce.cn/rolling/201403/24/t20140324_2535350.shtml。。
事件四:Netflix 和AOL 已经因为其管理的大量数据和对个人信息的保护而受到金额达数百万美元的起诉(某些已经立案),尽管他们已经对这些数据做了“匿名化”处理并且是为了研究才公布的。
这4 个事件分别从数据质量的安全性、数据容灾安全、数据访问控制安全、敏感数据分析安全等不同角度说明互联网金融数据安全性面临的挑战和风险。可以看到,这一系列数据的安全性对整个互联网金融行业至关重要。
1.4.1 数据质量的安全
互联网金融企业区别于传统金融机构最大的特点在于: 其所有的业务均通过互联网和信息系统完成。信息系统处理的核心是其包含的业务数据。由此,互联网金融机构业务系统所包含数据的可靠性是其需考虑的首要问题。
大数据时代的互联网企业,如电子商务服务商、电子邮件服务商、搜索引擎服务商、门户网站、SNS(social network service)等,为使自己的系统架构具有适应大规模用户访问、使用的性能,通常采用了并行集群计算的框架,其中包括了Google的BigTable 以及以延续BigTable 思路的Apache Hadoop 框架。这种框架的优势在于:可以很好地以相对低廉的成本构建具有高并发访问性能、弹性计算性能的IT 架构,以适应当前随互联网浪潮掀起的大数据浪潮。这种系统架构的特点是在牺牲部分数据准确性及可靠性的前提下提高了海量用户并发访问的性能。由此,该类系统具备利用海量的用户产生内容(user generated content,UGC)及相关数据为所有用户提供良好的访问体验的能力。在相关大数据技术的保障下,新兴的互联网企业能在短期内积聚大量的用户,极大地降低了信息沟通的成本,产生了大量商机。以此为蓝本,大量互联网金融公司架设了自己的大数据IT 架构,借大数据的东风力推自己的虚拟金融服务。
相对互联网金融公司的迅猛发展,传统金融机构(如银行机构、证券行业等)的信息化具有自身的特色。传统金融机构以交易及资金为核心,其主要业务为事务处理(online transaction processing,OLTP)及大量分析性业务。为处理相关业务,传统金融机构使用了关系型数据库并搭配传统的数据仓库方式搭建自己的IT架构以处理相关的核心业务数据。传统事务性处理的最大优点是在处理交易数据时其原子性、严格的事务性的特点可以很好地维护数据质量及可靠性。然而,其最大的问题在于,当该类系统在面临互联网化的浪潮带来的海量用户并发访问的环境下,无法保证应用的稳定性和效率,其维护成本及更新成本很高。为抢占互联网金融时代的先机,部分国内金融机构尝试使用互联网企业的大数据处理技术及架构来重构自己的互联网业务。
无论是新兴的互联网金融业务还是传统金融机构的互联网化,这2 个趋势业务的底层IT 系统架构均建立在当前的大数据技术基础上。借互联网海量用户信息及信息沟通成本低廉的东风,近年国内的互联网金融行业快速扩张、发展。数据质量本身的安全性却被放在了次要位置,现有大数据系统架构的顽疾,如数据准确性、一致性差、数据质量及可靠性不高的特点均不同程度地保留在了互联网金融机构的核心业务数据系统中,埋下了一颗不小的定时炸弹(在BigTable、Hadoop 等系统均未能很好地解决)。由此,当前互联网金融数据迫切需要有能保证数据质量、可靠性的、能保证高并发事务性处理的新大数据IT 系统框架及技术的出现。
1.4.2 数据访问控制安全
数据的访问控制主要是针对越权使用资源的一系列防御措施。数据访问控制安全机制能防止对数据资源进行未授权的访问,从而使计算机系统在合法范围内使用。决定用户能做什幺,也决定代表一定用户利益的程序能做什幺。
由于大量互联网金融机构使用了新兴的大数据相关技术,技术本身的成熟度和倾向性使当前的互联网金融机构的底层IT 系统架构不具备能很好保证数据质量、可靠性、严格事务性的特点。更为严重的是,在这样的系统中,往往为了应对大数据的处理效率,简化了数据访问的权限控制机制。由此,一旦相关互联网金融机构内部出现错误操作或“害群之马”时,往往可能造成灾难性的后果。
传统数据库领域存在有软件及硬件加密的数据库系统,然而在大数据的分布式处理架构下,暂未有合适的工业级别加密数据库,这使得互联网金融行业的数据底层在企业内部存在相当大的操作风险。
当前互联网金融企业所使用的大数据分布式处理架构Hadoop 提供了一个和POSIX 系统类似简单的文件和目录的权限模型,可处理文件粒度的数据访问控制的安全性。基于Hadoop的Hive 也开始逐渐细化对数据元组级别及属性级别的访问控制安全机制。然而,数据访问控制及其处理的性能始终存在一定的矛盾,这也是今后互联网金融机构底层的IT 架构需重点解决的问题。
1.4.3 数据容灾安全
互联网金融机构的主要业务交易借助互联网完成,其主要利益包含在它们的核心数据中,尤其是以经营虚拟货币为主业的相关单位,其核心数据的安全性显得非常重要。
在网络时代,互联网企业需要面临一系列的安全性风险:系统意外故障、黑客入侵、天灾人祸等。数据容灾主要指在遇到突发的各种故障和灾难时,相关企业的数据(尤其是涉及核心利益的数据)可以在一定程度上得到恢复,以免遭受如Mt.Gox 公司那样的毁灭性打击。
当前广为使用的基于Hadoop的大数据技术所搭建的集群不具备完善的容灾功能。当系统中出现Named Node 崩溃时,很难直接恢复。此外,由于大数据时代互联网金融数据量的海量规模,使传统的、基于冗余磁盘阵列方式的容灾技术面临性能和吞吐量的挑战,尤其在面临大规模数据的异地集群备份时,相关问题会显得更严重。
除了技术层面的考虑,在法律上还需针对敏感数据容灾备份针对专门的管理条例和规则。在政策上为互联网金融容灾备份中心搭建便利的平台。
1.4.4 敏感数据分析安全
在大数据环境下,很多组织和机构都在对自己从不同源头收集的海量数据进行分析,并基于这些分析结果做出相应的决策。在互联网金融的特定情境下,这些数据都是一些敏感数据,因此,首先需要保证数据分析人员的安全可靠;其次,应该按照分析人员的级别和分析需求,提供其相应敏感级别的数据,并且必须明确发布这些数据及其分析结果可能产生的后果。从事件四中可以看出,即使已经对发布的数据进行了“匿名化”处理,一些敏感信息依然会被发布出去进而遭到惩罚。
2 互联网金融信息安全的主要解决方案
2014年,Windows XP 停止服务是我国互联网金融行业的一件大事。Windows XP 操作系统于2001年发布,目前依然在各领域广泛使用。除了个人电脑,XP系统还广泛用于ATM、医疗设备、工业控制系统和一些信用卡的刷卡设备。据全球最大ATM 制造商NCR公司的数据,目前超过95%的ATM 机采用的是XP 系统。对金融行业来说,面临着较大的安全风险。
2.1 中国电子基于攻击语境的主动防御体系
传统防护体系采用被动防御方式解决信息安全问题,发展到今天已经难以为继,主动防御势在必行。传统的信息安全防御体系主要基于扫漏洞、打补丁和利用特征库识别恶意行为等,不能满足金融业务等高等级的安全需求,特别是针对渗透攻击缺乏有效的防御手段。建立的安全机制极其脆弱,现有安全防护产品“重功能,轻保障”,安全保障能力欠缺,自身安全机制容易被篡改和旁路。形成的安全管理机制分散低效,一方面,各产品难以联动,不能构成整体防御;另一方面,运维效率较低且缺乏预测能力。
2013年9月12日,马凯副总理在中国电子调研信息安全时特别指出:“要大力发展国产化替代工程,要加强防护性措施,可信计算是解决信息安全问题的一个重要途径”。
国产化替代是国家长期的、持续的基本发展战略,需对替代的全程进行统一安全防护。第一阶段在大量国外产品环境中构建主动免疫的自主防御体系,确保计算环境的“安全可控”;第二阶段在自主产品和非自主产品的混合环境下,建立统一的主动免疫防护体系;第三阶段在完全自主产品环境下,建立主动免疫防护系统,达到“本质安全”的目标,为国家自主可控战略保驾护航。
2.1.1 基于可信计算技术的“白细胞”操作系统免疫平台
信息系统不安全的根源是由于PC 结构的简化,对系统中的进程、程序没有校验,导致可执行程序、进程在非授权情况下任意执行,实施恶意行为,而传统的防火墙、防病毒、IDS 都是以外围封堵、事后升级病毒代码库为主,不能主动防御、积极防御。可信计算通过在硬件上引入可信芯片,从结构上解决了个人计算机体系结构简化带来的脆弱性问题。可信计算基于硬件芯片,从平台加电开始,到应用程序的执行,构建完整的信任链,一级认证一级,一级信任一级,未获认证的程序不能执行,从而使信息系统实现自身免疫,构建安全等级的信息系统。
美国微软公司宣布2014年4月8日完全停止对Windows XP 系统提供补丁和安全更新,给我国的信息系统运维安全及数据安全带来严重威胁。
为此,工业和信息化部副部长杨学山与国内权威院士、专家进行了深入研讨,最终达成共识:国外其他商业操作系统迟早也会停止补丁更新,因此,需要采取操作系统加固措施提供安全保障。现阶段国家政策上不提倡将Windows XP 系统升级到Windows 7/Windows 8 系统,如需考虑升级,建议搭载操作系统安全加固产品提供安全保障,并且在今后的信息系统安全检查中应加入针对性检查。
中国电子推出的“白细胞”操作系统免疫平台以可信计算技术为基础,以GB/T25070-2010《信息安全技术信息系统等级保护安全设计技术要求》 为依据,让操作系统具备了自免疫能力,让计算机有了自己的免疫“白细胞”,如图1所示。“白细胞”操作系统免疫平台实现了主动防御,有效解决了系统被未知漏洞、未知病毒、未知木马攻击而造成的风险,能够解决Windows XP 停止服务所带来的安全问题。
“白细胞” 操作系统免疫平台基于可信计算技术进行设计,设计和实现中用到了多种前沿技术,主要包括内核级系统监控技术、文件可信校验技术、动态度量技术、可信网络连接技术、可信审计技术等关键技术。
