2018-01-17 15:10
大家下午好,我讲的也是一个比较细分的领域,主要是网络借贷信息安全这块的工作。我今天下午主要讲的是互联网金融信息安全工作的要点,以及一些我们在工作中的案例。
今天主要讲四个内容,首先是信息安全的简介和发展趋势,第二是互联网金融行业我看到的一些工作要点。第三个是2016年、2017年我积累的一些互联网金融相关的信息安全案例,出事的或者被我们检测出来有问题的。最后是我个人对信息安全工作的建议。
首先是信息安全发展的过程以及它当前的态势。举个简单的例子,手机最开始只是满足非常简单的远程通话功能,后来各种各样的功能都加入了,比如最开始是彩铃、短信,各种各样的所谓的智能手机,到后来iPhone出来,到全屏触碰,到后来移动互联网、移动支付都可以在手机上完成。随着功能越来越丰富,各种安全问题也越来越凸显,比如我手机丢了,别人拿我手机支付怎么办,这其实也属于信息安全的范畴。功能越先进越复杂,带来的安全问题可能也越多。对应的我们来说一下,安全威胁也持续发展。从2000年的时候,可能最主要的安全威胁就是病毒,当时可能一个杀毒软件就解决了所有的安全问题。但是在2006年的时候,病毒不光是主要问题了,主要是木马,到2012年,木马已经非常猖獗了,大部分都是木马攻击的形式,出现了各种各样的木马检测工具。这两年安全行业最多提的是高级威胁,就是各种各样的攻击形式,包括商业软件、间谍软件或者各种刷流量的,比如最近比较火的比特币木马程序。目前的特点是多类别、复杂化、跨平台。
刚才是威胁,本身信息安全这个行业的发展是从最开始只关注于通信的保密,到后来要注意数据处理端的安全,再往后是整体的安全保障,包括人员、管理制度以及周边的硬件设备或者物理防护等,这属于保障安全。到最近,我们国家提出网络安全的概念,又往前走了一步。
习总书记主持工作以来,对网络工作明显提升了重视程度,他提出了很多非常有名的论断,最主要的就是没有网络安全就没有国家安全,第一次把网络安全提到了国家的程度。一起推进的是各类法规和标准的设立、更迭,最主要的是就是《网络安全法》。
什么叫信息安全和网络安全,一般非从业者可能不太了解这个区别,以前我们主要说的是信息安全,是国际标准化组织提出的,为了保护信息系统不受破坏更改,里面数据不会泄露,这指的是信息安全。但是后来发现这不光局限于信息系统内部,还包括数据的产生、使用和传输过程中可能存在的各种问题,所以我们提出来网络安全。这是我们国家对于网络安全的定义,首先定义什么是网络,就是指由计算机或者其他终端及相关设备组成的处理信息的系统。网络安全就是防止这个网络被攻击,保障它的完整性、保密性和可用性。这两个定义加在一起就是目前我们国家对于网络安全的准确定义,要比之前信息安全的定义多了一部分。
目前来说最主要的就是《网络安全法》,可能互联网行业还有另外一个要求,《网络安全法》是我们2016年起草通过的,2017年6月1日正式执行。《网络安全法》里跟之前各种各样的要求里有非常明确的区别,在第六章法律责任中明确了关于各项率行为的处罚细则,现在有法律以后首先是明确了法律责任,其次罚则非常清楚,执法机关就有法可依了。
下面说一下2018年的安全形势到底如何,细数一下2018年年初发生的安全事件,最近非常火的,熔化漏洞,CTO的,以及幽灵流动,一个是英特尔平台的,一个是AMD平台的,主要针对的是云计算平台或者虚拟化平台,这个是可以直接拿到物理内存信息的,这是非常大的影响,现行的所有操作系统都受影响,这两个是2018年年初一个大的“礼包”。再往下,Weblogic反序列化,目前有了新的变种和攻击形式。各种挖矿木马横行,大部分人用这个来做比特币挖矿。为什么比特币挖矿现在这么火,因为比特币现在价格比较高。最后还有一部分是政治方面的影响,针对中国常态化的恶意攻击一直在持续,安全行业有一个非常明确的事件,每三天会有一个政府网站被攻击,这是常态化的。通过这些事件,2018年刚过了半个月,现在的网络安全形势非常严峻。
作为互联网金融行业,我们要做好信息安全工作,我们要有哪些要点,首先第一条,老生常谈的等级保护,目前做信息安全无论如何都绕不过这个点,等级保护就是对我们国家的信息系统分等级实施保护,标红了,这个是重点。这么一段话你只要知道分等级就行了,不同的系统根据重要程度分等级保护,监管不同,防护不同,各种测试方法也不同。等级保护工作近几年越来越重要,主要体现在三个方面。首先合规这方面,目前等级保护已经明确写入了《网络安全法》,目前是法律要求里必须做的一项,很多政府单位、企事业单位以及互联网企业都需要进行等级保护工作。其次是评判,我这写的是医疗行业和电力行业,上周我帮着北京市国资委写了他们2018年绩效考评的要求,里面也要求等级保护或者网络安全不合格,企业绩效考评直接不合格。医疗行业,三甲医院,想评三甲医院必须信息安全工作、等级保护工作要通过。第三个是准入,这里写的是网约车和征信,这个是之前的,针对P2P这块或者互联网金融这块有专门的文件,里面写了必须要开展等级保护工作。
等级保护从刚才这三个点来说是越来越重要的,并且肯定绕不开了。怎么做等级保护,主要是这四个步骤,有的单位说五个步骤,主要是四个。定级、备案放在一起,建设整改,等级测评,监督检查。这四个步骤,定级、备案是单位自己完成的,建设整改配合你的云服务商、集成商或者其他的建设单位、开发单位来做,等级测评是找等级保护测评机构来进行,监督检查是公安机关或者网信办或者其他的信息安全、网络安全监督机构来做的,整个过程应该是包括了自己的主管部门、运营使用单位、服务商以及监管部门全程支持、全程参与,依照技术标准和管理规范来做。有的单位如果不太清楚,可以找一个等保测评机构,应该有成套的服务产品来做。
做完等级保护之后,要进一步信息安全工作,还有一个工作要点,开展信息安全风险管理,这个东西也写在了互联网借贷整改通知书里,写的是科技风险管理,主要指的就是信息安全风险管理。信息安全风险管理指的是评估我们的信息安全风险,将它降到可接受的水平,并且维持这种水平的过程,最主要的工作就是信息安全风险评估工作。信息安全风险评估工作的定义是依照企业资产面临的威胁以及安全事件的可能性,来评估对组织可能造成的影响。这是对于风险评估的定义,这是我们国家标准里写的。它的主要要素是三点,资产、威胁和脆弱性。资产就是对组织具有价值的各种信息资源,包括有形资产和无形资产,比如我们买的是云服务器或者RDS,它们属于有形资产,人员、制度、企业形象外来的政策形象都属于无形资产。威胁,是组织容易受到的威胁,比如黑客攻击、恶意访问或者地震自然灾害。脆弱性是内部存在的一些安全工作做得不到位的点,比如系统本身存在一些技术漏洞或者管理不到位。
后面是风险评估和风险处理,第一个图,依据企业脆弱性和威胁、影响,我们会给它赋值,最后得到风险值的大小。要处理这个风险在这三个维度降低,我们主要能降低的是脆弱性的维度,威胁和影响这块能做得措施比较小,主要做的是脆弱性那块,但我们要了解的是绝对安全是不可能的,最安全的就是把你的电脑全部都断电,埋在地下,只要它在运行在接网可能就有安全风险,所以绝对安全是不可能的。此外,并不是要把风险降没,而是要控制在可接受的范围之内就可以了,并且风险评估或者信息安全风险管理工作要循环持续进行,并不是我们做一次就完成了。
刚才提到的两个关键点,等级保护和风险评估有什么关系,主要是四个方面,首先是目的不同,等级保护主要是以合规为目的,符合国家要求,符合标准为目的。而风险评估是以推进风险管理工作为目的,它是风险管理工作的重要一环,他们两个的目的是不一样的。第二,标准不同,等级保护目前有一套比较完善的技术标准,很多项都是固定的,比较全备了。风险评估主要依据两个标准。方式不同,等级保护是依规开展,流程规范,每个机构开展等级保护测评业务所有操作都是一样的,比较规范。风险评估相对来说差一些,依据组织情况,组织主要是两个,一个是被评估单位,一个是实施风险评估的单位,根据这个组织情况有所侧重,重点会多一些,并不像等级保护那么全面。怎么理解等级保护和风险评估,等级保护更像一个标准体系,我们去满足等级保护标准体系的要求,而风险评估是一种为了维护安全的手段。
下面跟大家分享一下我2016年、2017年两年接触到的一些互联网金融行业的漏洞事件和案例。
首先说一下互联网金融行业常见的漏洞分类,分为两类,一类是管理类漏洞,还有技术类漏洞。管理类漏洞主要原因是恶意行为,我们内部人员的恶意行为,为了自身利益或者想把这些信息倒卖出去。管理疏忽是另外一个原因,由于管制体系不完善。第三是安全意识单薄,很多人没有信息安全这个概念,很多单位的密码非常简单,123456、12345678,或者自己名字加123456,这都属于安全意识不到位的表现。比如京东,这是一个新闻,京东试用期的员工倒卖个人信息,这件事情非常有意思,这个事件推动了高法和高检做了一个个人信息的司法解释,500条以上就属于违法,5000条以上就是严重违法,这个人卖了50亿条,这已经非常严重了,这属于京东对于人员管理这块不到位。
第二个例子,这是我们工作中碰到的,上市公司的财务总监被勒索病毒锁电脑了,当时是2017年3月要求支付0.29比特币。把邮件下载下来,邮件名称是财务报表,打开了,结果电脑全部被锁上了,我们到现场也没什么办法,谁做的锁谁有钥匙,我们想直接配钥匙不可能的。第三个,源代码泄露,这是一个技术问题,放在管理里来说,其实这是一个管理问题,企业对于管理不规范,其实源代码应该是最主要的核心信息资产,如果泄露会造成非常严重的影响。但是我昨天做PPT的时候,在github上,搜了一下“P2P贷”,发现很多都被放在网上了,而且很多机构用的是一套代码,一套源码涉及很多企业,点开一个进去看,这是P2P理财项目,所有源码都在上面,这也是管理问题。总而言之我们需要提高企业的安全管理水平,安全很大程度上是人的问题,安全行业有一句话,叫三分技术七分管其实管理是最主要的,尤其现在云计算时代更需要重视企业安全管理能力。举一个例子,Code Spaces,他2014年的时候,在被勒索无果的情况下,通过盗取用户名密码,删除整个公司的备份、服务器资料和各种各样的信息,最终导致这个企业直接倒闭。一句话总结,这个时间暴露出这个企业安全管理能力不足。这一块就体现出我们要防止自己的云账号丢失泄露,此外定期更换密码非常重要。
下面说一下技术类漏洞,主要分为三个,系统层、应用层或者安全配置层,首先金融行业常见的问题,其实是三个问题,我着重说一下验证码问题,验证码是一个非常老的技术,很多机构都在用,但是经常我们在测试过程中发现一些问题就是在验证码上,没有验证码,上世纪做的产品才没有验证码,现在或多或少都应该有验证码,但是很多企业都没有。第二验证码太弱了,只有4位、3位,有的2位。还有验证机制不完善,虽然有验证码也很完善也很长了,但是验证机制不完善,也许可以通过这个漏洞进到你系统。各举一个例子,没有验证码,登录就这么一块,肯定有问题,跑一跑就跑出密码了,这个问题一定要解决。有验证码,就像这种4位的,几分钟就跑完了,现在个人PC,用不了3分钟就全部跑完。建议采用6位以上,并且限制验证码的提交次数。
还有是有验证码,也是6位以上,但是还会有问题,首先是避免使用前端验证,右边这个图,当时我们用前端验证在开发过程中把这个验证码放到脚本里了,可以通过前端更改浏览器绕过,相当于没有验证码。第二个,重要操作每一步都要做验证,比如这是注册那一块,最后一步,确认我们的手机号,但它没有让我们输验证码,我们直接改成一个假的就过了,这也是一个主要问题。此外是一些其他问题,比如越权漏洞,可以拿到别人用户的信息,还有信息泄露,因为开发人员的配置疏忽,泄露一些系统敏感信息的,比如左边这个图的系统配置信息和物理地址,右边是作为用户的,能够拿到所有用户的身份证、电话号码,买的什么产品,都可以抓到,这属于信息泄露的漏洞。第四是各类常规漏洞,我们现在基本上都在云上,有很多云的防护措施,可能常规漏洞不太好见,但是也是有的,比如左边这个图能看到名字叫rds,这一看就是阿里云的东西,我们可以通过一些手段可以拿到阿里云的服务器权限。建议你们采购云安全设备,但是测试要定期开展,此外做好数据备份。
怎么做好安全工作,主要提六个建议,六到位,首先认识到位,明白信息安全工作是企业工作重要一环。其次,制度到位,提高认识以后要建立各种信息安全制度。第三,落实到位,制度不能是空纸。第四,检查到位,我们内部要做检查,还要定期聘请测评机构、网络安全服务商。第五,投入到位,因为网络安全工作或者信息安全工作投入是没有产出的,但是不出事就是最大的产出,所以一定保证信息安全的投入。最后一个是责任到位,从国家法律层面,责任已经写在了《网络安全法》里,明确企业的第一责任人就是网络安全的第一责任人,企业内部要建立各种各样的责任制度,什么系统、什么资源、是归什么人负责,这些都明确出来。相信做好这六到位,我们的信息安全工作就没问题了。
今天跟大家分享的就这些,谢谢大家!