<b>網際網路金融的安全現狀</b>
從網際網路金融業務的架構來說,基本上會按照從用戶端的接入到網絡層,營運商的鍊路,到應用層,再到資料存儲的層面。所有的業務都是按照這個流程走下來的,整個流程裡會遇到很多問題,比如在雲計算出口的位置會遇到ddos攻擊、cc攻擊,還有web應用攻擊。
<b>網際網路金融的業務風險</b><b></b>
<b> </b>
<b></b>
從網際網路金融的業務風險來說,首先要考慮移動app的安全,然後對app的漏洞、病毒木馬、仿冒行為做檢查。在雲上也要考慮線上的業務,其中涉及到ddos攻擊、黑客入侵,還有業務欺詐、資料洩露等等。
<b>ddos</b>
據網貸天眼不完全統計,2014年國内1000多家網貸平台,80%以上都受到過不同程度的ddos攻擊,多家p2p代表企業也都曾遭受過ddos攻擊。
很多人都存在一個了解誤區:用防火牆和ids/ips能夠緩解ddos攻擊。事實上,防火牆不是用來阻擋ddos的,目前的ddos攻擊大部分基于合法資料包,防火牆難以有效監測;同時,防火牆是高強度的檢查作為代價來進行防護的,ddos攻擊中的海量流量會造成防火牆性能急劇下降。
那麼,ddos防護難點在哪呢?主要有以下幾個方面:
帶寬受限:自維平台受到專線帶寬的限制,一旦攻擊流量超過專線帶寬,出口即被擁塞,任何手段都無解;托管平台受到idc清洗能力限制,一旦超過idc能承受的攻擊流量(一般遠小于20g),會強制将機器下線。
攻擊複雜多變:流量型:udp
flood,http flood;連接配接型:syn flood,cc(最難防護);反射型:dns flood,ntp flood。
ddos攻防專家:ddos攻防需要紮實的協定分析知識;對常見的攻擊行為能快速判斷。
<b>垃圾注冊</b>
業務安全方面,垃圾注冊是非常嚴重的問題,它已經形成了一個黑色的産業鍊,從産業鍊的上遊,有專門的打碼平台和手機驗證碼平台幫助黑客避開正常網站的注冊行為,中遊把這些開發軟體給注冊團隊去用,然後把網站的一些垃圾新增賬號資訊擷取到後,直接在下遊進行售賣,這就形成了一個完整的産業鍊。
<b>撞庫</b>
撞庫就是黑客通過技術手段,擷取到一個資料庫的權限後,把資料庫裡面的賬戶密碼擷取到然後分類,拿着低安全級别的網站上擷取到的賬戶資訊,建立一個社工庫,拿着資訊去嘗試其他網站上的資源。
<b>如何使用網際網路金融的“保險箱”?</b><b></b>
針對這麼多的安全問題,阿裡雲如何解決呢?這主要依托雲盾的三大能力:
對威脅的感覺能力,要處理危險首先要能夠看到危險;
對威脅進行止血,做攻擊的防護;
對威脅進行反擊,在一些特定的時候啟動攻擊的反擊。
以ddos攻擊來講,雲盾會在一秒鐘之内感覺到,在兩秒鐘之内把攻擊阻斷在網絡上,然後把正常使用者的流量回注到使用者的業務伺服器上。
金融的業務系統基本的拓撲結構如圖所示,通過app安全進行app端加強和漏洞識别,把app的安全風險控制在應用裡面,然後在雲端的出口部署ddos高防和waf産品,把網絡攻擊阻斷在網絡出口位置,防止内部負載均衡、路由交換、伺服器和應用受到影響。
進而,通過安騎士對主機側進行加強,對一些漏洞進行第一時間修複,同時,從app到應用系統之間,在整個鍊路的傳輸過程都采用https進行加密,再存儲到資料庫裡。在這個基礎之上部署先知計劃,它是阿裡雲提供的一個第三方的漏洞測試平台。
雲盾的防護體系就像用安全防護産品(ddos、waf、反業務欺詐、主機安全、app安全、反資料洩露)建盾防護攻擊風險的基礎上,再以先知為矛,去試探盾的防護能力,嘗試發現深藏的防護缺陷,修複缺陷,使得雲盾防護體系螺旋向上,不斷的降低安全風險。
以上就是網際網路金融安全的應用場景。
本文根據阿裡雲安全專家經倫(花名)在5月17日舉辦的2016雲栖大會·武漢峰會上的演講整理而成。