近幾年，作為金融的一種創(chuàng)新，互聯(lián)網(wǎng)金融逐漸興起。隨著P2P和互聯(lián)網(wǎng)金融整個(gè)行業(yè)的蓬勃發(fā)展，關(guān)系國(guó)計(jì)民生的互聯(lián)網(wǎng)金融安全問(wèn)題成為大家關(guān)注的重點(diǎn)。在2015年11月28日由51CTO主辦的WOT2015"互聯(lián)網(wǎng)+"時(shí)代大數(shù)據(jù)技術(shù)峰會(huì)上，51CTO記者采訪(fǎng)了WOT峰會(huì)特約講師京東金融高級(jí)安全專(zhuān)家劉明浩，針對(duì)互聯(lián)網(wǎng)面臨的安全威脅，互聯(lián)網(wǎng)安全防護(hù)技術(shù)，京東的金融安全防御平臺(tái)進(jìn)行了深入了解。

WOT峰會(huì)特約講師京東金融高級(jí)安全專(zhuān)家劉明浩

【講師簡(jiǎn)介】劉明浩擁有8年安全從業(yè)經(jīng)驗(yàn)，目前主要負(fù)責(zé)京東金融安全體系建設(shè)、安全產(chǎn)品架構(gòu)設(shè)計(jì)及安全合規(guī)等相關(guān)工作。曾在安永、德勤擔(dān)任資深安全顧問(wèn)，為多家大型金融機(jī)構(gòu)提供信息科技風(fēng)險(xiǎn)管理咨詢(xún)、安全體系建設(shè)、數(shù)據(jù)防泄漏、信息安全風(fēng)險(xiǎn)評(píng)估及安全合規(guī)等服務(wù)。

劉明浩表示：“目前，在互聯(lián)網(wǎng)金融行業(yè)主要存在的風(fēng)險(xiǎn)是來(lái)自于兩個(gè)層面，第一個(gè)層面是來(lái)自于業(yè)務(wù)安全的風(fēng)險(xiǎn)，比如說(shuō)在重要的業(yè)務(wù)場(chǎng)景，比如說(shuō)修改綁卡和修改綁定手機(jī)號(hào)碼，這樣的場(chǎng)景安全風(fēng)險(xiǎn)控制是不是到位?控制是不是有效?是不是防御了止損和盜號(hào)?我們?cè)诩夹g(shù)方面的防御，比如說(shuō)Web攻擊，遠(yuǎn)程代碼執(zhí)行類(lèi)似于技術(shù)防范是不是到位。其中，業(yè)務(wù)層面的安全問(wèn)題需要更加關(guān)注。”

面對(duì)以上威脅該如何加強(qiáng)互聯(lián)網(wǎng)金融的安全防護(hù)，防護(hù)的重點(diǎn)又在哪兒呢?對(duì)此，劉明浩認(rèn)為，首先要從根本上解決安全問(wèn)題是很困難的，所以需要整體的安全管理流程。比如：在技術(shù)安全方面，無(wú)論是互聯(lián)網(wǎng)金融公司還是IT公司面臨的技術(shù)問(wèn)題，需要SDLC的方法來(lái)解決這些問(wèn)題。在前期需求階段，公司需要對(duì)系統(tǒng)安全做調(diào)研，得到安全需求，然后對(duì)安全需求進(jìn)行安全架構(gòu)設(shè)計(jì)。在編碼階段，對(duì)程序人員進(jìn)行培訓(xùn)，落地安全編碼的規(guī)范和守則，讓程序員開(kāi)發(fā)出來(lái)的代碼是安全的，之后進(jìn)行安全測(cè)試，在上線(xiàn)前要有完整的安全測(cè)試，可采用UAT測(cè)試和系統(tǒng)功能測(cè)試。上線(xiàn)后，公司需對(duì)整體的安全情況進(jìn)行持續(xù)的監(jiān)控和跟進(jìn)，保障系統(tǒng)整體安全。這整個(gè)流程需要業(yè)務(wù)方、產(chǎn)品、程序代碼編寫(xiě)人員、測(cè)試全員參與才能保障系統(tǒng)的穩(wěn)定和安全。

作為一家國(guó)內(nèi)知名的電商，京東有自己的一個(gè)針對(duì)互聯(lián)網(wǎng)金融安全的防御平臺(tái)——京東金融宙斯Zeus安全防御平臺(tái)。劉明浩表示：“之所以起這個(gè)名字，是因?yàn)橹嫠故潜娚裰瘛Ｎ覀兿Ｍ娚裰袷刈o(hù)我們的系統(tǒng)，讓我們的系統(tǒng)更加安全。希望輸出京東金融的風(fēng)險(xiǎn)防范能力和態(tài)勢(shì)感知的能力，以及威脅情報(bào)分析能力，解決京東整體安全問(wèn)題。”

那么，京東金融宙斯Zeus安全防御平臺(tái)是如何防御和檢測(cè)撞戶(hù)、盜號(hào)、盜卡等異常業(yè)務(wù)行為的呢?他解釋到，這個(gè)平臺(tái)的系統(tǒng)會(huì)對(duì)異常用戶(hù)的操作提出數(shù)據(jù)風(fēng)險(xiǎn)的分析模型，根據(jù)這個(gè)分析模型對(duì)一些異常的行為做出判斷，做監(jiān)控預(yù)警和判斷。在平臺(tái)中，監(jiān)控主要分為三個(gè)閥值：風(fēng)險(xiǎn)容忍區(qū)，風(fēng)險(xiǎn)預(yù)警區(qū)以及風(fēng)險(xiǎn)干預(yù)區(qū)。通過(guò)不同的閥值，系統(tǒng)會(huì)對(duì)相應(yīng)的事件做出不同的處置策略，從而達(dá)到對(duì)類(lèi)似于撞戶(hù)、盜卡風(fēng)險(xiǎn)事件的響應(yīng)和處理。

針對(duì)這些異常的業(yè)務(wù)行為進(jìn)行實(shí)時(shí)的分析和存儲(chǔ)，需要依賴(lài)于一套大數(shù)據(jù)的平臺(tái)和數(shù)據(jù)。比如：在這個(gè)系統(tǒng)里，主要有四個(gè)部分：一是流量的收集、抓取功能，這些功能就像全業(yè)務(wù)一樣，進(jìn)入全業(yè)務(wù)流量。之后把這些業(yè)務(wù)流量導(dǎo)入到消息隊(duì)列緩存，通過(guò)分析集群會(huì)到消息隊(duì)列緩存訪(fǎng)問(wèn)日志，并根據(jù)風(fēng)險(xiǎn)風(fēng)控模型分析和判斷用戶(hù)的異常行為，同時(shí)進(jìn)行實(shí)時(shí)的查詢(xún)，從而達(dá)到實(shí)時(shí)的分析和存儲(chǔ)。

最后，談到互聯(lián)網(wǎng)金融安全防護(hù)的現(xiàn)狀，劉明浩認(rèn)為：“互聯(lián)網(wǎng)金融安全形勢(shì)是不容樂(lè)觀的，包括業(yè)務(wù)邏輯的漏洞，還有一些Web漏洞也層出不窮，這也是由于我們這個(gè)行業(yè)對(duì)市場(chǎng)敏感度非常高，我們對(duì)產(chǎn)品的時(shí)效性要求也非常高，我們的產(chǎn)品可能非常急著推出，迭代的頻率非常高，導(dǎo)致一些安全的問(wèn)題沒(méi)有辦法得到保障和滿(mǎn)足。因此，我們更應(yīng)該從業(yè)務(wù)邏輯層面的安全風(fēng)險(xiǎn)。比如：針對(duì)越權(quán)訪(fǎng)問(wèn)、使用權(quán)限等問(wèn)題，我們都應(yīng)該去考慮。還有，我們要去考慮整個(gè)全生命周期安全開(kāi)發(fā)和產(chǎn)品流程的問(wèn)題。”

以上是51CTO.com記者為您從一線(xiàn)帶來(lái)的精彩報(bào)道。更多精彩內(nèi)容盡在51CTO.com獨(dú)家報(bào)道，敬請(qǐng)期待!

 戳下方圖片，更有料！

（WOT2015大數(shù)據(jù)技術(shù)峰會(huì)總結(jié)專(zhuān)題）