为应对金融信息技术安全风险,10月31日,4008云顶网站联合协会会员机构举办了金融信息技术安全论坛,协会副秘书长张羽、易宝支付CTO陈斌、大成律师事务所合伙人肖飒、华为云安全服务产品部应用安全总架构师邓炜、梆梆金服CTO刘舒骐以及50多家机构高层管理人员、技术人员参与了论坛讨论。
协会副秘书长张羽表示,行业的健康稳健发展,离不开金融信息安全基础建设。在技术合规上,各机构要严格要求,为未来技术安全建设奠定基础;同时,要结合政策规定与公司业务发展,不断更新技术,坚持做到合法又合规。
易宝支付CTO陈斌基于其业务实践经验,分享了如何利用AI和大数据技术装备技防基础设施,守护金融安全。他认为,金融面临着合规、欺诈、信用、技术、操作、市场、资金等风险,仅仅在支付过程中,就存在很多安全隐患。用户端面临着交易欺诈、被钓鱼、被劫持、信息丢失等风险,商户端及服务端如第三方支付平台,也存在很多安全漏洞,分分秒秒被不法分子盯上。据不完全统计,互联网用户中,每10人中就有4人因为支付过程中信息泄露导致经济损失。而基于AI和大数据的金融技术,可以有效缓解金融风险问题,利用AI技术可以快速发现安全问题。互联网世界为人工智能模型提供了大量数据,基于交易的数量、特征、时间点、频次等各种数据做综合判断,不断训练模型,调优拦截率和误杀率两个指标,为大家提供更好的金融服务。
大成律师事务所合伙人肖飒站在专业的角度,向大家讲解了爬虫获取企业网站信息的法律风险。现下,如何鉴别爬虫获取数据的行为是否合法是大家比较关注的问题,肖飒认为,判断该项行为的合法性,robots协议不可或缺。robots协议是一种存放于网站根目录下的ASCII编码的文本文件,可以理解为互联网搜索引擎与网页或网站持有者之间达成的“行业规范” 。在该协议中,网站会明确告知网络搜索引擎的漫游器哪些内容不应被获取。如果外部技术人员在明知有该协议的情况下,仍违背网站主体的意志爬取数据,那么其行为主观恶性明显,有可能违反《刑法》第二百八十五条关于侵犯公民个人信息罪及相关规定。
华为云安全服务产品部应用安全总架构师邓炜从安全防护的角度,为企业提出了可行的产品升级方案,用以防范信息泄露等风险。Web安全是影响整体安全的“短板”,当前75%的信息安全攻击是针对Web应用的,比如A游戏官网游戏入口被篡改成B游戏导致企业的声誉受损,或者有些企业官网遭遇黑客的非法内容攻击导致被封,甚至因泄漏用户数据导致大量账号被盗,这些成为了互联网行业的常见问题。华为云结合云技术、AI技术以及大数据等多项前沿技术,开发出一套 Web应用防火墙(WAF),在内部嵌入动态防爬虫算法,可以有效防止数据泄露,精准识别、防御CC(Challenge Collapsar)攻击以及有效阻止网页被篡改。预计到2020年,云WAF将替代硬件WAF成为主流。
梆梆金服CTO刘舒骐向大家详细解读了关于信息安全的一系列文件(如下图),并给出了自己关于互联网金融行业合规标准下的信息安全建设意见。刘舒骐建议各机构参考《信息安全技术个人信息安全规范》以及《移动金融客户端应用软件安全管理规范》,提前进行自我检查,应重点关注个人信息安全,按照要求完成相应的技术调整工作。尤其是关于个人敏感信息、个人金融信息的内容,可以按照如下关键项进行:对照规范文件,进行自家app业务功能梳理;app安全技术符合性评估;个人信息的识别;发起多项调研,包括第三方交互情况、安全开发制度现状及管理制度现状。