<b>概要:</b>CFT50進階學術顧問、全國人大财經委委員、中國網際網路金融協會區塊鍊工作組組長、中國銀行原行長李禮輝發表主旨演講時指出,金融不再隻是二維的平面世界,而是可以折疊的三維空間。金融制度創新應完善大資料應用的制度環境,建立統一共享的大信用系統,制定常态戶數字金融審慎監管制度,最終實作穿透式監管。
他指出:應正确區分ICO與區塊鍊,加快區塊鍊金融技術化工作。ICO涉嫌非法集資,理應禁止;區塊鍊采用共識算法,加密算法和智能合約等全新的底層核心技術,可以用于建構信任連結器。已經開始在系統領域并在參與方場景中表現出突出的技術優勢,應加快區塊鍊金融技術标準化工作,研發區塊鍊金融技術國家标準,建立區塊鍊金融技術稽核和驗證體系。”李禮輝表示。(來源:金融科技研究)
<b></b>
<b>點評:</b>比特币飛漲的價格加速了區塊鍊技術的快速成熟和應用,但在比特币行業區塊鍊并沒有為币友帶來絕對安全,撞庫、盜币、洗錢都在威脅着經營者的生命安全,因為丢币導緻的交易所倒閉時有發生。完善安全措施和風控手段已經是各個平台都在考慮的問題了。
概要:在過去的一年裡,Gartner指出在安全與風險管理領域的關鍵發現:
1、随着數字化轉型的持續升溫,錯綜複雜的生态系統是數字業務不可缺的部分,而與其相關的安全風險将倍受關注。
2、回顧過往一年,全球領先的企業由于遭受惡意的網絡攻擊造成的損失達到3億美元。
3、越來越多的安全技術轉向了雲計算,不管是訂閱模式還是按需付費模式,企業将會有更多種方式來評估安全技術,縮短複雜的RFP流程
4、網絡安全資格審查在市場整合并購環節中非常重要,但需要對行業、資産價值、監管環境以及交易金額等方面進行綜合評判。(來源:網際網路安全内參)
概要:英特爾CEO Brian Krzanich在美國時間星期一舉行的2018年國際消費電子展(CES)中發表主題演講,回應近期的“漏洞門”事件。他表示Intel将在本周内釋出更新,預計将覆寫過去5年内推出的90%以上的産品,而針對其它産品的更新将在今年一月底前釋出。他表示,這些安全更新對性能的影響在很大程度上取決于具體的工作負載。
同時,Krzanich談到,“到目前為止,我們還沒有發現任何利用這些潛在隐患問題來擷取使用者資料的情況。我們正夜以繼日地努力解決這些問題,以確定使用者資料的安全。確定最佳做法就是當作業系統提供商和系統制造商釋出任何更新,您就立即采納這些更新。” (來源:Engadget)
概要:如今,大量的網站、網站、手機app都在使用短信驗證碼作為驗證使用者身份的安全技術措施。尤其在年底,企業的促銷、抽獎、互動活動會迎來一個高峰期,用到短信驗證碼的場景非常頻繁。但近期,阿裡雲·雲盾WAF團隊監測到,不少使用者業務的短信驗證碼功能被攻擊,短信接口被惡意利用,導緻業務無法正常通路。同時,被刷的短信成本也直接造成一定量的資金損失。
點評:了解了風險之後,企業也不必過度擔心,以下“指南”,可幫助了解如何防範短信驗證碼背後的安全風險。
1.手機号碼邏輯檢測
在手機号碼視窗增加号碼有效性檢測,防止惡意攻擊者使用無效或非法的号碼,進而在第一視窗屏蔽非手機号的亂碼等無效數字。
2.随機校驗
在注冊頁添加個隐藏的<input>,設定儲存在session中的随機驗證碼,發短信前驗證一下,保證發驗證碼短信請求是在業務頁面點選。
3.增加友好的圖形驗證碼
即當使用者進行“擷取動态短信” 操作前,彈出圖檔驗證碼,要求使用者輸入驗證碼後,伺服器端再發送動态短信到使用者手機上,該方法可有效緩解短信轟炸問題。
由于目前驗證碼在攻防對抗中逐漸被成功自動化識别破解,我們在選用安全的圖形驗證碼也需要滿足一定的防護要求。
4.同号碼短信發送頻率限制
采用限制重複發送動态短信的間隔時長, 即當單個使用者請求發送一次動态短信之後,伺服器端限制隻有在一定時長之後(此處一般為60-120秒),才能進行第二次動态短信請求。該功能可進一步保障使用者體驗,并避免包含手工攻擊惡 意發送垃圾驗證短信。
5.不同号碼請求數量限制
根據業務特點,針對不同手機号碼、不同通路源IP通路請求進行頻率限制,防止高并發非法請求消耗更多的短信包和伺服器性能,提高業務穩定性。
6.場景流程限定
将手機短信驗證和使用者名密碼設定分成兩個步驟,使用者在填寫和校驗有效的使用者名密碼後,下一步才進行手機短信驗證,并且需要在擷取第一步成功的回執之後才可進行校驗。
7.啟用https協定
為網站配置證書,啟用https加密協定,防止傳輸明文資料被分析。
8.單IP請求限定
使用了圖檔驗證碼後,能防止攻擊者有效進行“動态短信”功能的自動化調用。但若攻擊者忽略圖檔驗證碼驗證錯誤的情況,大量執行請求會給伺服器帶來額外負擔,影響業務使用。建議在伺服器端限制單個 IP 在機關時間内的請求次數,一旦使用者請求次數(包括失敗請求次數)超出設定的門檻值,則暫停對該 IP 一段時間的請求。
若情節特别嚴重,可以将 IP 加入黑名單,禁止該 IP 的通路請求。該措施能限制一個 IP 位址的大量請求,避免攻擊者通過同一個 IP 對大量使用者進行攻擊,增加了攻擊難度,保障了業務的正常開展。
訂閱 NEWS FROM THE LAB
<a href="https://yq.aliyun.com/publication/10?spm=5176.8284508.mypublist.1.nIG7kn" target="_blank">一鍵訂閱刊物</a>
<a href="https://yq.aliyun.com/teams/119?spm=5176.100244.0.0.SRRqRC" target="_blank">雲栖社群專欄擷取最新資訊</a>
<a href="https://weibo.com/p/1008081c9287a684f5322d71f11c3a9dc406e6?k=%E5%85%A8%E7%90%83%E5%AE%89%E5%85%A8%E8%B5%84%E8%AE%AF%E7%B2%BE%E9%80%89&from=501&_from_=huati_topic" target="_blank">微網誌專欄擷取最新資訊</a>
<a href="https://www.yidianzixun.com/channel/m236274" target="_blank">一點号擷取最新資訊</a>
掃碼參與全球安全資訊精選
讀者調研回報