征信行业
第一门户

上海交通大学信息安全工程学院李建华教授:大数据时代互联网金融安全保障的挑战及对策

lijianghua

本文是京东金融消费金融事业部总经理许凌在征信领军者论坛2015上的讲话原文,经组委会授权征信宝刊登出来的,转载请注明。

 

今天这个话题是征信的题目。因为征信也是上海市管理协会的一项重要的工作。征信这一块某种程度来讲也是一种国家战略,也是一个区域战略。所以有各个层面上的参与的企业,对这个话题非常的感兴趣。在征信的角度来讲,它的数据的科学性,包括企业的资质和能力,我觉得都有很高的要求,包括它的系统。因为现在的P2P系统,严格意义来讲,它是非常重要的,涉及到资金帐户、客户,也涉及到各个层面的安全问题。

其实我坐后一排,我仔细听了刚才一位业者同仁的问话。其实这个问话代表了我们在互联网时代,我们如果做P2P的话,一定要往虚拟环境下面,人和人之间的授权。谁来授权?谁来认证?这个是面临的问题。也许我的话,有些业界同仁听了不开心,我们现在70%的P2P系统平台都没有达到我们国家的计算机网络信用待机保护,这个平台非常重要的。大家可以对照担保的第三方的标准来看,我们的一些安全保障,这是开一个头吧。

首先还是谈一个话题,今天我们在场讲到互联网,讲到互联网金融和互联网征信,其实我们看这样的一个环境,它是一个多维的视线,网络空间。我们各行各业很多是在这种网络空间生态下面,人机交互打交道,这是一个意思。网络空间新的生态,应该是网络化的。在这个层面上来讲,无论是我们的业务生态,我们的生活生态,包括了你创新的生态,都是在网络已有的,已经成为历史。

讲到安全的话题,在网络的空间生态上面,它是什么东西?我们讲网络空间安全,它是陆地、海洋、天空、外太空,我们称之为人类生产的第五空间,它是有网络电子场,人在系统当中的一种交互。

今天看互联网空间,它是多种网的融合,既有电信,也有互联网,也有广播电视网,这三种网络,其实现在也是各种网络的融合。今天以移动互联网为主题的生态,像电视、智能硬件,可穿戴设备,都在发展,也许在不久的将来,可能PC会被淘汰。从内容程度来讲,社交网络、云计算、P2P这样的电子网络服务,讲到安全问题,它其实涉及到政治、经济、文化,这种宽泛的行业。

因此,从这个背后的角度来讲,我们光讲安全的时候,不仅仅是黑客的概念,这个演变的历史,我们是生态,2000年之后,我们称之为互联网的时代,它是以内容为主,还是二维的。在今天的互联网,它就是一个多维的生态系统的概念。这是一些讲法。

从安全的概念来讲底,我们讲传统的安全就是保密,我把我的数据保护起来。还有一个安全,其实是叫精确打击,物理压制,压制你的信息和信号。特别是90年代以后,随着网络技术的发展,非常重要的就是链路对抗。我们看到一个链路,可能遇到网络的瘫痪。到2000年之后互联网技术发展,我们看到其实从整个网络生态来看,我们区域上海的来看,我们今天在开会的地方看,也就是说把整个的安全威胁的生态,看成是一个节点,今天我们来看,其实我们所有的安全问题,其实是一个生态安全,这一点我觉得阿里提的对的,他现在做的,不光是系统的安全,还有跟它相关的,反欺诈只是其中的一种,假货多,还有对他整个平台攻击的,还有他自身的保护,他其实是全方位立体的。现在称之为泛在(音)威胁的时代。

从信息的角度来讲,我们最早知道是黑客,我们从互联网技术发展的角度来看,可能我们也经历了病毒攻击,到今天为止整个攻击的生态非常的复杂,既有个体的物理攻击,这是2000年之后,红色代码,蓝色代码。今天更多的是新的安全问题,生态。我们面上听到的携程的协议安全问题,我们也碰到了很多的银行,很多的机构,包括很多电信的诈骗,其实是很多种。更多的安全问题来自于人。

我们今天面临的个体物理的攻击到强烈的破译工具,包括非法的计算,包括大规模的攻击,它这里面有一些恶意软件,到今天我们互联网的生态来讲,是跨领域的组织。这样的一个P2P也好,网络的也好,多层次的网络应用也好,它的攻击显得异常的复杂,现在业界的生态,我们以10年政网运动为代表,不是普通的,是非常专业的国家层的征信体系。

我们再看一下赛博空间安全,大家都非常关心的,我们看到了今天的征信,包括行业协会其实也在曝光,发现了一些违法操作。其实将来更多的是向法制的生态环境扩张,绿色的,以法制为核心的,不是光靠人和人来做的,技术会起到很重要的作用。

因此,在赛博空间来讲,信息的传输,我们称之为UDP的协议,现在很多的问题,在这个层面上来讲,数据的传输不可靠的,这是一层

第二层,在赛博的概念下面,包物联网上来以后,这方面带来的问题更多。

这次大家比较关注的习近平代表国内的大咖去美国,代表中国政府打前瞻,这个话题很好讲,打击网络安全,打击恐怖主义,全球人做的。可能美国人更关心的不是这个问题,他可能是更加关心是不是你国内有组织的、有机制的,对美的重要的基础设施,重要的网络,重要的信息系统,重要的经济情报的获取,其实很多层面是这样的概念。因此,我们要从一个大国都是一个强国,这样的一个过程当中,其实解决安全问题不是非常简单的。包括我们从技术上来看,安全问题它的中心会转移的,看这个点来看安全问题的时候,它的高层是网络平台,其实就是生态安全,你有P2P平台,有网络征信平台,现在我数据收集是非常传统的,我收集的真实性,你的真实,既有你自身的数据安全问题,还有你跟相关的部门也好,相关的企业也好,你提供了征信,你自身的可信度。很多的问题,这是事实。的的确确你的有效数据源从哪儿来的?同样也面临这样的一个考验。

我们看到网络攻击安全外延的时候,我们讲这个空间它以互联互通的基础设施网络为平台,以无线有线来控制实体性,在这个层面上来讲,从宏观的概念来讲,含有多层的思考,不简单的是一个所谓的物理的安全,当然物理空间安全重要吗?重要的。物理要保证硬件的系统不被干扰,不被破坏,不被摧毁,这是一个事实。信息与人,空间安全,很多的企业也很关心我的信息,如何确保它的安全性,如何确保它的完整性,还有真实性,这是几个层面。但是从网络安全来讲,自从08年胡锦涛让前任的总书记网络对话的时候,我们在网络空间传播的信息内容,对于国家的政治、民众、道德、心理方面的影响。我们要求确保不因线上的一些信息传播导致线下出现经济安全的损失,民族宗教思想、暴力事件,大家看网络安全,它已经有非常丰富的内涵。

另外一个,无论是在哪个层面来讲,泛在化的空间安全永远存在,这些都是问题,各个层面上都会遇到。更不用说内部的安全问题的暴露了。这是一个层面上的讲。

第二个,从安全威胁的态势来判断。从技术信息网络来讲,去年在乌镇开了全球第一次互联网大会,今年把乌镇当作永久的会址纪念,今年大家关注一下是什么话题?

关于产业链,地下黑客产业链的问题,你把它看作一个个体,在一个产业上,它其实有财富的,什么财财富,包括非常有效的攻击手段,因为这个从地下产业链来说,包括木马,传统的信用机制,在网络化的时代可能造成很大的挑战,我们现在处在无处不信息的,其实也要一个法律保护,提供数据的时候,一旦有商业行为的时候,欧美国家是非常注重个人的隐私的,有法律保障的。我们看大数据的时候也有这样一个问题,今天我们用人肉搜索的时候,有没有觉得人格也是一种侮辱,这是非常不易的生态。我也是发表了一些个人的观点。

从大家的角度来讲生态,政府网站它依然是属于网络攻击,大家比较关注的点。国家级有组织攻击,被境外的控制了。包括这个量还是不少的,包括APP的木马,我们讲在整个攻击技术里面,现在是非常主流的一种。另外就是“肉机”,其实这个机器可以卖钱的。

今天看移动互联网的生态,它的生态污染,安卓平台来说它是一场暴发的事件,应用商店、论坛,包括用户的速度都在加快,也就是说在这种形态面前,经济安全是主要的,信心安全面临着跨平台的安全,在这个平台上钓鱼攻击,我们下面坐的很多同行也很关心的,钓鱼网站。这种钓鱼网站,攻击成增长的趋势。

由于互联网交易平台和手机支付客户端存在着漏洞,已经威胁到客户的安全,可能会对关联行业产生连锁反应,我们个人的客户,我们个人帐户的生态,已经处在非常不安全了。通过电信级的诈骗,让你输入你尾号的后4位,它已经是通过帐户获得了你个人基本的信息,其实就是要你的验证码,就能够劫持你的网络支付信息,最后达到资金的盗取。因此,我们讲在网络空间安全可信的网络生态环境,确保网络安全重要性,保障产业运行稳定。

深层次看安全问题的时候,政府的举措看得到,13年中国成立国家安全委员会。2014年02月27日,中国网络安全和信息化领导小组成立。没有网络安全就没有国家安全,没有信息化就没有现代化。我们做安全的还有更深层次的安全问题,可能我们看到的是业界,比如说我们做金融,金融业界的安全问题。但是安全问题一定包含着政治、经济、文化等,一定是一个大而全的安全概念。

这个机构有必要关注一下它现在做的工作,包括对国家的,从国家层对信息安全的规划、法规、政策等等,包括政治信息化的全方位管理和协调,包括组织关联信息机构的开发、公关,以及人才培养。今年说业界不太关心,但是作为重要的推动的网络空间安全,在很多环节上面有大的动作。在今年公布的网络安全是一门重要的学科。

这个上面有一些观点,其实我认为现在所有的数据都不是大数据,我们可以去看所有的公司,有多少量级的数据,我们从BA的角度和大数据的角度来讲,因为通常商业收集的数据是TB级的,我们研究有多少超过PB级的

从数据来看,从商业角度来讲非常的好解释,结构化的信息,非实时信息。对于大结构来讲多半是非结构化的信息。

BA主要为企业交易的数据,主要是社会日常运作和各种服务中实时产生的数字数据。由于时间关系不多讲了。我们今天是一个BA的时代,不是大数据的时代。大数据时代起码要到3—5年的时间。

大数据技术发展趋势,还有科学计算问题,不是简单的我们业界用一种热炒的方式去做的,我认为现在没有大数据。大家可以去看。

从我们金融行业来讲它的大而全的设计,它只是业务为主导的这样一个特征,需要安全管理组织的,强化金融版的。从我们想建这样一个大系统的角度来讲,它一定是含有自有数据和合作的数据。

基于大数据金融的征信服务,严格意义来讲,它是有很多的资产行为,包括行内和行外的等等一些数据。

这是一个智能管理的系统,不多讲了。

从金融安全的建设来看,既有安全运维的角度,还有研发的,各个阶段的一些安全的思考。

从金融来说,希望能够保障后台的安全,利用征信的服务机构,采集信息安全,包括签名,包括电子司法,网络认证等等共同的保障。它的基础特点不讲了,从后台数据、信息服务机构、安全软件各个层面。

构建这样的一个体系,其中一种方式数字认证来构建可信的体系。

另外一个就是信息泄露的问题,一个被网络的信息保护等等权限,第二批的解决方案,控制管理风险,没有100%防止数据泄露的方案。从发现、监控、审批、保护,各个层面来说是完整的思考。还有新产品加工,包括风险评估。

我们所有的金融,如果是金融平台,我认为一定要达到全面的安全检测和服务。

最后讲一点,这个安全的认知,从金融的角度只是看到冰山一角,还有很多的有攻击力的,隐藏在水下面的,针对性攻击,高级持续性威胁,阿里的支付宝出现问题的时候,大家有一个笑话,阿里的安全防护还不如南翔的推土机。所以说很多东西,生态都是存在的。

大概就是讲这些,谢谢大家!

 

赞(0) 打赏
网站部分资源来自网上,如有侵权请告知删除,我们期待与你长期合作:征信宝 » 上海交通大学信息安全工程学院李建华教授:大数据时代互联网金融安全保障的挑战及对策
分享到: 更多 (0)
已有 0 条评论 新浪微博

征信宝推荐

大红包万达万e贷