↑ 点击上方“安全狗”关注我们
根据最近出炉的《互联网金融监测情况报告(2017年5月1日-5月15日)》,在网站网络攻击方面,系统监测到的网络攻击达117.7万次,比上期增加1.6万次。
互联网金融面临的网络安全威胁一点都不小,那么互联网金融在网络安全方面有哪些特殊的需求,需要应用什么新技术,又需要哪些新的安全思维呢?
互联网金融:网络安全需求大不同
互联网金融围绕多元化的金融服务、线上线下的紧密结合,对现有技术支撑平台的开放性、应用的易用性、应用上线的快速、运维的便捷性等方面都有很高的要求,对网络安全有着更多的要求。
首先是安全威胁的范围扩大了。金融服务链条的广泛延伸以及技术平台开放性的要求,加大了安全威胁的攻击面;
其次是传统安全策略不适用于互联网金融模式。传统银行业大多奉行严谨多层次的安全防御体系和机制,对客户体验和客户满意度为优先的模式形成一定的制约;
再次是新业务快速迭代和上线的需求与安全漏洞的发现、修复周期和成本之间的矛盾愈加明显;
最后是数据泄露风险加大。金融服务与客户交易行为的深度融合,所产生的“客户”为中心的关联用户“大数据”信息,带来科技引领业务的积极因素的同时,也加大了客户资料泄漏造成的更为严重后果的风险。
自动化威胁肆虐互联网金融行业
传统银行面临的不仅仅是互联网金融带来的安全挑战,在网络攻击手段层出不穷的今天,传统的安全技术提供的防御效果也大打折扣,安全现状令人堪忧。
《2016年上半年金融行业应用安全态势报告》显示,高危漏洞占比高达78.48%;从漏洞利用程度上分析,互联网金融比传统金融更加“脆弱”:
——“非常容易利用”的漏洞占比高达57.5%
而这种状况在过去三年内几乎毫无改观。
在近两年机器人攻击手段盛行的状况下,使得漏洞利用被大规模复制,造成前所未有大规模业务损失、数据损失。据权威机构Research and Markets 的报告,90%的网络攻击流量来自自动化程序。
传统安全防御“心有余,力不足”
传统的安全防御方式在应对针对互联网金融行业的新型攻击时存在一些“死角”,主要为
一是基于规则和签名的技术存在空窗期。防火墙、IDS/IPS、Web应用防火墙等技术在现阶段都没有摆脱有防护空窗期的缺陷,规则和签名永远滞后于攻击的发生。
二是身份安全面临挑战。安全水平参差不齐的互联网及互联网金融企业的兴起,在大量的普通用户群体用户帐号、密码一致的现实情况下,以“拖库”为代表的大量用户身份信息泄漏事件频发,甚至通过“撞库”方式产生更为严重的连锁反应,很多对抗动态身份认证技术的工具和服务也随之出现,如:打码平台,专门应对各类动态验证码防护技术。
三是模拟合法操作的自动化攻击和对未知攻击的防护薄弱且低效。目前主要依赖应用软件本身的改进,并无有效的产品和技术应对。这如同发现应用漏洞一样,漏洞的修复和应用软件修改的工作成本和周期都较大,这些改进的工作内容的复制性低,也造成了不能很好适应“互联网+”模式的快速性特点。同时,过严的安全防护还造成客户体验不佳。
云安全:破解新型安全问题的钥匙
作为领先的云安全服务与解决方案提供商,安全狗针对互联网金融行业,设计了一整套行业解决方案,服务于银行、证券、保险、基金等金融机构大数据安全分析平台,帮助用户构建完善的互联网金融安全体系,支持主流的公有云、私有云和混合云。
安全狗为互联网金融行业设计的特定的安全防御体系,结合了金融云架构,对网络层、应用层、系统层进行全面安全防护。
大数据驱动,防护更智能:依托安全狗大数据平台,对黑客攻击与异常行为进行分析,构建IP黑名单库,制定智能防御策略。
精准防护,实时阻断:黑客攻击精准防护每个Web应用,实时阻断诸如SQL注入、XSS等多种黑客渗透攻击。
高效拦截,降低漏洞风险:快速拦截对漏洞的利用,同时更新防御规则,有效、快速保护网站安全。
灵活接入,安全可靠:多种接入方式,从而提高互联网金融网站的在线交易安全等级,确保网站的安全稳定运行。
互联网金融行业的安全问题是一个系统问题,不仅仅需要持续投入资源建立有效的防护体系,在观念上也需要有所转变。在互联网金融逐渐规范且《网络安全法》正式实施的今天,互联网金融行业需要全面加强安全意识,安全狗也会持续提供专业的安全服务,确保安全底线不被攻破。
往期精彩文章:
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...