亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

首先有請(qǐng)岱達(dá)金融金融副總裁兼CTO熊軍，他給大家匯報(bào)的主題是互聯(lián)網(wǎng)金融交易平臺(tái)安全思考。有請(qǐng)。

熊軍：各位來(lái)賓，大家下午好！我是岱達(dá)金融聯(lián)合創(chuàng)始人兼副總裁熊軍。對(duì)互聯(lián)網(wǎng)金融這個(gè)行業(yè)來(lái)說(shuō)，大家已經(jīng)不太陌生了。如果說(shuō)這個(gè)事情在2013年可能大家覺(jué)得互聯(lián)網(wǎng)金融僅僅是一個(gè)P2P，隨著兩年時(shí)間的過(guò)去，隨著移動(dòng)金融以及互聯(lián)網(wǎng)金融、金融創(chuàng)新和”互聯(lián)網(wǎng)+”戰(zhàn)略等一系列措施的發(fā)展，整個(gè)互聯(lián)網(wǎng)金融已經(jīng)從一個(gè)點(diǎn)擴(kuò)展到線和面了，從這個(gè)角度我們看整個(gè)互聯(lián)網(wǎng)金融拓展成多個(gè)形態(tài)向縱深、垂直兩個(gè)方向發(fā)展。

對(duì)于我有幸從銀行領(lǐng)域轉(zhuǎn)到互聯(lián)網(wǎng)金融領(lǐng)域，我自己在銀行從事了將近13年研發(fā)工作，后來(lái)創(chuàng)立這樣一個(gè)金融平臺(tái)，確實(shí)是有很多的體會(huì)和感受，所以今天下午和行業(yè)內(nèi)的安全大佬、大師們做一個(gè)溝通和分享。

在互聯(lián)網(wǎng)金融領(lǐng)域的安全的點(diǎn)特別多，所以它遇到的問(wèn)題也特別多，總的來(lái)說(shuō)，痛點(diǎn)特別多。到底安全領(lǐng)域中，我們需要做哪些事情，其實(shí)安全是一個(gè)立體綜合的大的包。上午百度騰訊的專家都有提到，從云管端三個(gè)層面立體的角度思考安全，我理解安全也是一個(gè)立體的東西。上至政策社會(huì)以及整個(gè)財(cái)經(jīng)和政治的這樣一些大環(huán)境到整個(gè)監(jiān)管層面的中層環(huán)境，以及到行業(yè)內(nèi)細(xì)分環(huán)境來(lái)說(shuō)，面臨的不僅僅是IT安全這樣一個(gè)簡(jiǎn)單的東西。

具體到技術(shù)安全角度可以分享的內(nèi)容特別多，從安全攻防、漏洞掃描等等來(lái)說(shuō)，我想在座的以及今天都有很多的廠商，他們?cè)诟髯缘念I(lǐng)域都有非常多的解決方案，我想和大家分享的不是解決方案，我站在客戶的立場(chǎng)和互聯(lián)網(wǎng)金融平臺(tái)創(chuàng)立人的立場(chǎng)，我想和大家分享的更多是基于業(yè)務(wù)層面的互聯(lián)網(wǎng)金融安全。拋出這個(gè)問(wèn)題，更多的是給大家做一個(gè)拋磚的過(guò)程，希望能夠獲得大家更多的建議，或者是引導(dǎo)大家往一個(gè)更深更廣的角度去思考，互聯(lián)網(wǎng)金融這樣一個(gè)領(lǐng)域可做的安全還是非常多的。

剛才我提到了，整個(gè)互聯(lián)網(wǎng)金融的安全是一個(gè)綜合、立體全面的過(guò)程。端有客戶端、傳輸端、服務(wù)端和云端的一系列的安全。本身安全是一個(gè)比較大的系統(tǒng)性的工程，尤其很多同事都知道，安全問(wèn)題往往不是一個(gè)技術(shù)問(wèn)題那么簡(jiǎn)單，甚至更多層面的人為的問(wèn)題，流程制度的問(wèn)題要遠(yuǎn)遠(yuǎn)大于技術(shù)層面的問(wèn)題。從這個(gè)角度來(lái)說(shuō)，安全問(wèn)題是一個(gè)很綜合立體的包。所以，我更愿意作為我們公司的技術(shù)方面的負(fù)責(zé)人，給愿意從流程、制度以及整個(gè)人為因素防控關(guān)于安全這塊的問(wèn)題，當(dāng)然技術(shù)是不可或缺的一部分。

這是剛才我提到的一個(gè)關(guān)于多層次的安全體系，這其實(shí)是一張平面圖，但更愿意把它理解為立體的綜合的圖。從最上面我們關(guān)注的有數(shù)據(jù)庫(kù)、審計(jì)和快照和整個(gè)數(shù)據(jù)層面的，還有應(yīng)用層面的東西，應(yīng)用層面的東西比較多，涉及到有端的，也有云的，還有代碼的各種安全。從系統(tǒng)角度有主機(jī)入侵、加固和端口的。從云的角度說(shuō)有各種行為的分析、防控和策略部署。從網(wǎng)絡(luò)角度來(lái)說(shuō)更復(fù)雜一些了。

物理安全如果在云端的話，在公有云上面就沒(méi)有這一塊了，如果在IDC的話這塊也是不可或缺的。當(dāng)時(shí)我們?cè)诿裆鰴C(jī)房的時(shí)候連老鼠都會(huì)考慮，因?yàn)槔鲜髸?huì)咬斷很多東西。這里面也有很多專業(yè)人士，我就不闡述細(xì)的東西了。從上倒下，安全是滲透到每一個(gè)層次、每一個(gè)層面的安全業(yè)務(wù)的環(huán)節(jié)，我要強(qiáng)調(diào)的是安全永遠(yuǎn)是立體的過(guò)程，上至國(guó)家政策和下至每一條日志的審核。

今天我要分享的主題，因?yàn)槲矣X(jué)得單純從技術(shù)角度說(shuō)或者是從整個(gè)互聯(lián)網(wǎng)行業(yè)來(lái)說(shuō)，這個(gè)問(wèn)題太大，我更想和大家分享的是關(guān)于互聯(lián)網(wǎng)金融細(xì)分領(lǐng)域，我們?cè)跇I(yè)務(wù)角度切入安全的話題。對(duì)于互聯(lián)網(wǎng)金融領(lǐng)域，簡(jiǎn)單來(lái)說(shuō)分成線上線下的，現(xiàn)在鋪天蓋地的廣告都是互聯(lián)網(wǎng)金融的，其實(shí)他們真正的形態(tài)相差很遠(yuǎn)，有專注于眾籌，有專注于2C、2B、消費(fèi)金融或者供應(yīng)鏈金融等大趨勢(shì)。從這些趨勢(shì)來(lái)說(shuō)，我個(gè)人覺(jué)得只要是線上的平臺(tái)一定是要在業(yè)務(wù)上專注于如下幾個(gè)方面，目前從整個(gè)互聯(lián)網(wǎng)金融來(lái)說(shuō)，在我了解的過(guò)程中，只有不到10家公司在這方面真正做到了或者已經(jīng)做了，其他的至少還處在暫時(shí)不考慮或者嘗試，或者準(zhǔn)備的階段。

第一，很常見的傳輸問(wèn)題。很明顯的SSL協(xié)議有一個(gè)過(guò)程，它可以把信息通過(guò)在傳輸層面解決明文的問(wèn)題，它的底層其實(shí)是基于ISA的。目前我們看到很多網(wǎng)站沒(méi)有做到這一塊，它的密碼甚至都是明文傳輸?shù)模踔猎谡麄€(gè)過(guò)程中，連簡(jiǎn)單的防機(jī)器攻擊的部分都沒(méi)有做，也就是驗(yàn)證碼都沒(méi)有，這一點(diǎn)是首要的一點(diǎn)，至少在敏感信息傳輸?shù)臅r(shí)候，一定要用SSL協(xié)議，也就是HTTP協(xié)議，為什么很多企業(yè)不愿意用呢，因?yàn)镾SL一上去對(duì)整個(gè)傳輸效率有很大的影響，所以我個(gè)人在這方面建議的做法是涉及到敏感信息的時(shí)候起用SSL協(xié)議，不敏感的時(shí)候直接用HTTP協(xié)議。配置的時(shí)候有一個(gè)麻煩，是全局起用還是局部起用，局部起用的時(shí)候我們典型的做法是直接用異步的后臺(tái)來(lái)起用，我們會(huì)把整個(gè)敏感信息通過(guò)后臺(tái)異步的方式提交到客戶端，客戶看起來(lái)全站都沒(méi)有用SSL協(xié)議，在但在局部的時(shí)候是用了SSL協(xié)議的，這是一個(gè)簡(jiǎn)單的執(zhí)行的方式，但做到了在客戶體驗(yàn)和安全上的平衡。

第二，關(guān)于簽名的過(guò)程。我們知道所有的金融交易如果沒(méi)有簽名很明顯就會(huì)存在一個(gè)抵賴的問(wèn)題。如何解決這個(gè)問(wèn)題，在互聯(lián)網(wǎng)金融前，金融行業(yè)有一整套的完整的解決方案，比如說(shuō)關(guān)于飛金誠(chéng)信（音）這樣的供應(yīng)商，或者天宏（音）這樣的供應(yīng)商他們都有一系列的軟硬件的解決方案出來(lái)。從技術(shù)的角度來(lái)說(shuō)就是做了電子簽名，首先中國(guó)有電子簽名法，電子簽名是受到法律保護(hù)的。但目前互聯(lián)網(wǎng)金融的平臺(tái)，其實(shí)我理解下來(lái)，真正做到電子簽名的，就是對(duì)合同電子簽名的好像只有宜人貸和投米網(wǎng)（音）做到了，其他的平臺(tái)的電子簽名基本上都是偽簽名，這種偽簽名什么意思呢？PDF上看似蓋章了，但卻沒(méi)有經(jīng)過(guò)數(shù)字證書的簽名，所以，本身這一點(diǎn)從一般的投資者來(lái)說(shuō)看不到這種本質(zhì)的區(qū)別，我看到的同樣是一份PDF協(xié)議，但有沒(méi)有做電子簽名，很多投資者是感知不到的。在銀行的方案里面，其實(shí)很完整，包括軟證書、硬證書、一代、二代、三代、四代很多數(shù)字簽名的體系，現(xiàn)在有挑戰(zhàn)應(yīng)答的方式了，基本不太可能有偽冒的程度。最早是基于瀏覽器的文件證書，從這個(gè)角度說(shuō)，總結(jié)一下目前的電子簽名在整個(gè)互聯(lián)網(wǎng)金融領(lǐng)域做的非常不好，但這里面有一種國(guó)際上比較認(rèn)可的，比如維薩和萬(wàn)事達(dá)這樣的卡組織有一個(gè)可以替代電子簽名的雙因素認(rèn)證，就是你所擁有和你所知道的兩個(gè)因素。國(guó)內(nèi)比較普遍的是我們經(jīng)常用到的手機(jī)動(dòng)態(tài)密碼，為什么可以和雙因素配合呢？你所擁有的是你的手機(jī)，你所知道的是你的交易密碼。我們把手機(jī)，比如上午很多BAT的人也提到了，手機(jī)其實(shí)是我們整個(gè)身體器官的一部分，你擁有的手機(jī)就是你身體的一部分，能夠表明是你本人發(fā)起的交易，這是國(guó)際上認(rèn)可的一種雙因素的認(rèn)證。在整個(gè)目前的互聯(lián)網(wǎng)金融里雙因素認(rèn)證目前非常普遍，幾乎都會(huì)采用這樣一種方式。比如在核心的交易環(huán)節(jié)，就會(huì)起用動(dòng)態(tài)密碼這樣一個(gè)證明是由本人發(fā)起的一個(gè)動(dòng)作。

在之前的金融領(lǐng)域里，我們看到大部分都是用的軟證書或者硬證書，也就是U-key，還有一種所謂的動(dòng)態(tài)令牌，比如光大銀行使用的這種。但對(duì)互聯(lián)網(wǎng)銀行來(lái)說(shuō)太煩瑣了，所以都會(huì)起用雙因素認(rèn)證，基本上都會(huì)采用手機(jī)動(dòng)態(tài)密碼的方式。

這種方式有好也有不好，麻煩的是還存在一系列的安全隱患，當(dāng)然安全隱患比較低，大概安全的隱患可能是SIM卡的復(fù)制，短信延遲和到達(dá)率對(duì)客戶體驗(yàn)的影響。我們說(shuō)安全和交易的便捷性之間永遠(yuǎn)是一個(gè)需要去平衡的點(diǎn)，如果這個(gè)交易足夠安全，那么對(duì)它的體驗(yàn)是會(huì)帶來(lái)傷害的。所以，交易的便捷性，就拿體驗(yàn)好的網(wǎng)站和極度安全的網(wǎng)站來(lái)說(shuō)永遠(yuǎn)有一個(gè)平衡的關(guān)系，目前整個(gè)互聯(lián)網(wǎng)金融中普遍的做法還是起用了雙因素的認(rèn)證，只有極個(gè)別的，像投米（音）和宜人貸（音）會(huì)完全起用數(shù)字證書的方式來(lái)做數(shù)字簽名。

這是我們?cè)诜赖仲嚕诎踩I(lǐng)域證明這一筆交易是由你發(fā)出的，在這樣的維度講業(yè)務(wù)的安全，對(duì)不同的行業(yè)和不同的領(lǐng)域，不同的環(huán)節(jié)，甚至不同的這種交易平臺(tái)對(duì)這一部分的考慮是不一樣的。有的需要犧牲安全，有的把安全看得特別重。今天是為數(shù)不多的來(lái)自互聯(lián)網(wǎng)金融的領(lǐng)域需要給大家分享的一個(gè)代表，所以，這里我覺(jué)得可以給大家做一個(gè)借鑒。

第二，電子文件的簽名。這可以涉及到一系列交易中的電子文件，比如合同，通常這個(gè)合同只有甲乙雙方簽字了。在整個(gè)互聯(lián)網(wǎng)企業(yè)下，我們說(shuō)電子簽名已經(jīng)不是那么好實(shí)現(xiàn)了，它要么是采用數(shù)字證書的方式，也會(huì)有各種載體，但在互聯(lián)網(wǎng)金融下，它對(duì)客戶的體驗(yàn)還是有傷害的。比如我們?cè)谟勉y行的時(shí)候，更多是需要你去銀行辦一個(gè)類似于U盾UKey，下載一個(gè)公鑰和私鑰裝在瀏覽器，從而發(fā)起一個(gè)電子簽名。我們看到現(xiàn)場(chǎng)也有亞洲誠(chéng)信這樣的供應(yīng)商他們也有完整的解決方案，這是在電子簽名這塊我的一個(gè)思考，給大家分享。

第三，數(shù)據(jù)方面。從數(shù)據(jù)的角度來(lái)說(shuō)，目前大家在互聯(lián)網(wǎng)金融平臺(tái)有一個(gè)直接的擔(dān)心，我投到你這里的錢會(huì)不會(huì)第二天就沒(méi)了，這是一個(gè)簡(jiǎn)單的問(wèn)題，可能所有的投資者都問(wèn)這個(gè)平臺(tái)這個(gè)問(wèn)題，你這個(gè)平臺(tái)是不是安全的。首先第一個(gè)關(guān)心的是你的產(chǎn)品是不是安全的，會(huì)不會(huì)出現(xiàn)逾期，會(huì)不會(huì)出現(xiàn)違約。第二個(gè)是說(shuō)你老板是不是安全的，老板會(huì)不會(huì)跑路，有沒(méi)有這樣的道德問(wèn)題。第三個(gè)層面大家會(huì)問(wèn)到我的帳戶和數(shù)據(jù)是不是安全的，那就是第三個(gè)層面的問(wèn)題，我相信你把錢投給你，下一步你的平臺(tái)是不是安全的，你的數(shù)據(jù)是不是安全的，所以更多從數(shù)據(jù)層面來(lái)講，我想今天在座的也有很多是來(lái)自廠商的，對(duì)這個(gè)本身的數(shù)據(jù)，不管是云端的數(shù)據(jù)還是放在我機(jī)房里服務(wù)器上的數(shù)據(jù)，都會(huì)有很多的解決方案。最簡(jiǎn)單的還是備份，不管是冷備還是熱備，這個(gè)行業(yè)里有很多連這個(gè)簡(jiǎn)單的動(dòng)作都沒(méi)有做的。所以也是提一個(gè)建議，對(duì)整個(gè)行業(yè)至少可以說(shuō)是最低配置，這些事情是一定要去做的。

關(guān)于后臺(tái)日志。我們知道對(duì)于內(nèi)部安全來(lái)說(shuō)，我們唯一做的事情是當(dāng)事故發(fā)生的時(shí)候我們可以審計(jì)。審計(jì)的時(shí)候做得好的有良好的審計(jì)系統(tǒng)，做得不好的至少可以在最低限度對(duì)日志本身有一個(gè)保護(hù)，這個(gè)時(shí)候我們?cè)谂踩罩镜臅r(shí)候，比如日志從備份服務(wù)器挪到其他服務(wù)器的時(shí)候，日志本身會(huì)不會(huì)被篡改的這樣一個(gè)問(wèn)題。這里會(huì)有很多的解決方案保證日志不被篡改，日志是我們整個(gè)審核過(guò)程中很重要的一環(huán)。

今天從我個(gè)人在互聯(lián)網(wǎng)金融領(lǐng)域中一些點(diǎn)滴的思考，當(dāng)然我覺(jué)得這是關(guān)于安全領(lǐng)域的話題特別多，時(shí)間非常有限，給大家做的分享比較簡(jiǎn)單一些，但更多是起到拋磚引玉的作用，互聯(lián)網(wǎng)金融領(lǐng)域總的來(lái)說(shuō)很開放，也是一個(gè)很新的和不斷發(fā)展的領(lǐng)域。簡(jiǎn)單來(lái)說(shuō)向垂直和縱深發(fā)展，我覺(jué)得每個(gè)領(lǐng)域在整個(gè)互聯(lián)網(wǎng)金融細(xì)分中，可能會(huì)需要找到自己適合的一種安全解決方案，并不是說(shuō)越安全的就越好，我覺(jué)得適合自己平臺(tái)的就是最好的。

這是今天給大家做的一個(gè)內(nèi)容分享，非常感謝。