如何应对千亿元互联网金融漏洞

首届中国互联网安全领袖峰会（CSS）于2015年11月3日-11月4日在国家会议中心正式召开，与会嘉宾包括*部门领导，知名传统企业、互联网企业、安全企业的CEO和CTO，顶尖安全技术专家、黑客，权威科研院所与机构的负责人，规模逾3000人。

安全狗作为国内知名的互联网安全厂商以及大会支持单位出席了本次峰会，4日上午CEO陈奋在大会互联网金融分会场发表了题为《基于云端构建互联网金融安全体系》的主题演讲。

在演讲过程中，陈奋针对当前互联网金融所遭遇到的安全问题进行了深度的归纳总结，从统计数据、实际案例等方面分析了当前互联网金融安全形势，并就造成这些问题的根源娓娓道来，最终提出基于云端构建的互联网金融安全体系，帮助互联网金融企业更好的解决安全问题。同时用大数据构建平台，帮用户解决防御看不到的风险，并通过云安全模式帮企业用户快速构建解决安全问题的能力。

互联网金融安全现状及分析

据不完全统计，截至2015年中旬，已有近250家P2P平台由于黑客攻击造成用户信息被窃取、资金被洗劫、业务系统瘫痪等问题。目前很多P2P平台仅由借贷系统搭建而成，没有在安全作相应投入，整体安全技术水平跟业务风险性不匹配，缺乏专业、核心防御黑客攻击的技术，最终给黑客以可乘之机。

而根据漏洞盒子的报告显示，在当前互联网金融安全的威胁中，SQL注入、XSS等常规漏洞经久不衰。乌云也曾曝出国内多家互联网金融企业，如易贷网、真融宝都曾遭到此类威胁，并且多属高危漏洞。另外，业务漏洞同样占据了较高的比例，密码找回、越权等问题十分常见。

当然，除了以上问题还有包括恶意短信、恶意刷单（薅羊毛）、恶意批量注册账号、链路劫持的安全威胁。这些问题最终导致互联网金融成了网络安全问题下的“待宰羔羊”。

面对如此严重的现状，我们不得不思考以下几个问题：

1、如果第三方借贷系统如果出现高危漏洞，将影响一大片互联网金融平台。（这个问题已经出现过多次）

2、还有多少 0Day 漏洞掌握在黑客手上？

3、为什么这些互联网金融平台无法快速构建自身的安全体系？是资金问题、人员问题或者是意识问题？

基于云端构建互联网金融安全体系

对于很多企业来说，自建机房以及安全体系或者利用云服务来搭建一直是一个让人纠结的问题。陈奋则表示，其实对于中小互联网金融企业来说自建体系无疑是个任重道远的问题，而且其存在比较明显的缺点——无法短时间内应对突发危机。相对而言，利用云端去构建安全体系则要快得多。

并且在云上，互联网金融企业不但能够获得由云计算服务商提供的基础安全服务，还能够获得诸如安全狗这样的第三方安全厂商更为高级全面的云安全服务。

安全狗作为国内知名云安全服务解决方案提供商，与国内包括阿里云、AWS、腾讯云、UCloud、青云等各大云计算厂商都进行了对接，能够为企业用户一键式快速构建基于不同云计算平台的安全体系。

该安全体系提供了由安全狗进行全面加固的安全镜像， 其安全狗服云平台还与各大云计算厂商实现了API对接，这使得用户能够通过安全狗服云平台进行快速构建。再加上安全狗耕耘多年的安全产品以及全面升级的安全服务，最终形成了云+端+服务的安全平台，为用户提供了包括风险配置识别、安全防护、安全云监控在内的六大能力，切实解决了来自互联网安全问题的威胁。

而从其演讲中展示的传统安全方案与云安全方案的对比来看，也不难看出安全狗所提出的云端互联网金融安全体系的优势所在。

在演讲的最后，陈奋还介绍了安全狗用大数据构建平台，帮用户解决防御所不能看得到的风险，并通过云安全模式帮助企业用户快速构建解决安全问题的能力。攻击溯源、精确分析，这将使得安全狗的企业用户能够获得更为全面的安全防护。