安恒信息范渊:互联网亚博平台注册信息安全很重要

-回复 -浏览
楼主 2019-06-13 19:00:34
举报 只看此人 收藏本贴 楼主

 2014年互联网亚博平台注册行业年会暨CEO论坛于2014年12月19日,在杭州致之江饭店举办,杭州安恒信息总裁范渊做出了精彩的发言。以下是现场实录。
  


杭州安恒信息总裁范渊



  各位互联网亚博平台注册行业的专家和朋友,上午好!很高兴因为冷总的邀请跟大家分享一下,在信息安全的这个角度去看互联网亚博平台注册行业的一些风险、风控的合规的情况。

  前面我先讲,美国的前国土安全部长讲的一段话,世界上有两类系统,一类是已经被黑客攻击,一类是还不知道自己已经被黑客攻击了,这个话虽然有点半开玩笑,这也说明了在信息安全领域,在互联网上系统的安全的现状。那我们从国庆60周年开始,我们每一年协同公安部的通报公司,对全国互联网的网站应用的安全检查,其实这一块的结果是反映了这样一个状况,基本上每10个抽查的里面有5个严重的安全问题,可以随时地被攻击,被放后门,数据被窃取,这里面这么多年来,像跨站等,这些都是相关的,在互联网这个领域内,包括风险的漏洞最大的一个地方。

  我今天从两个方面讲,既然是互联网亚博平台注册,我们先讲互联网行业的一些特点和风险,再讲亚博平台注册行业的一些风险和特点。互联网亚博平台注册的创新它所带来的一些特点和风险。

  WEB几乎是现在互联网亚博平台注册对外提供信息的最主要的接口。从去年到今年,大家也知道,包括很多的使用的组件,还有今年的心脏出血等,这些都是在互联网亚博平台注册的支付领域非常多的,这一块的漏洞的严重性也非常之大。

  这一次的乌镇的互联网大会大家可以看到,即便是这样三天的时间,互联网大会的官方网站先后是经历了27万多次的严重攻击,这是我们的防护设备实时的一个统计。每一次攻击如果得逞,它的风险都非常之大,所幸的是这次安保从事前、事中、事后的角度是非常圆满地完成。

  互联网安全还有一个是可用性和用户体验,它在追逐可用性、用户体验,用户黏性这一块是它追求的一个很重要的目标。与之带来的是与安全相关的部分。

  第三,对于互联网的企业而言,现在它的数据是它的最大价值,这一点其实在座的应该说都会理解得很深。最终它的数据,不管是客户的数据、支付的数据,所有相关的这些数据是其最核心资产。我也知道,现在有很多互联网亚博平台注册的企业,尤其是初创的,它很想得到已经在互联网亚博平台注册发展比较好的企业的一些客户数据,因为这些客户数据对它而言都是一个精准客户或准精准客户。

  那从亚博平台注册的行业特点而言,支付和交易,直接跟钱打交道的,那它的特点是从支付和交易的角度的一些风险,以及刚才前面也讲到的监管,因为对这一块的担心所带来的监管的特点,这是在亚博平台注册,作为“亚博平台注册”这个关键词所带来的风险。那我们从这么多的对亚博平台注册行业服务而言,其实亚博平台注册行业的信息安全,它的支付和交易有很多的问题,包括像之前大家知道的,携程的调试日志打印出来有很多的考核,在安全的实现方面,它的风险,越权查询,一个普通的客户可以去查询其他客户相关数据,短信验证码的泄露。这里面其实有很多的例子,如登录密码在日志里面,包括在网页里面,像民生银行的安卓客户端可以查询、修改其他人的帐号,这个信息已经是被公开的,在网上也可以查到。这是在黑客通过移动支付端,它可以去任意地查询相应的其他人的卡号,甚至在支付的时候可以篡改支付数额,使得他可以去欺骗支付。

  另外,亚博平台注册有一个共同的特点是数据的价值,这在前面讲的互联网行业里面,这两点是共通的。所以信息泄露,无论是在美国还是在中国,这个特点非常地鲜明,因为像刚才讲的,在美国,其实在2005年的时候,当时亚博平台注册数据的窃失引发了一轮风波,当时有几万张的信用卡信息泄露。包括今年也一样,也出现了这样的情况。这个轮回在不断地前进。互联网亚博平台注册领域其实已经出现了很多安全的案例,这里面我就不一一讲,像网贷之家、人人贷、好贷网,大家在这个行业内都有听说。

  那在P2P亚博平台注册的案例里面,有很多包括像木马程序,获得P2P的帐号,通过申请帐号,篡改数据,冒充投资人进行恶意提现。

  另外还有一个风险,当我们在引入第三方开发人员的时候,内部的风控也是很重要的一个方面。内部人员以他合适的权限去得到整个数据,这个数据在外面都是可以被买卖和被直接交易的,这当然不仅仅发生在互联网亚博平台注册行业,很多行业其实在医疗、电信领域都有这个问题,当然这个问题的本质还是数据的价值。

  前面我讲的是互联网的一些特点和风险,亚博平台注册的一些特点和风险,那互联网亚博平台注册的结合本身是一个创新,那在这个创新过程当中,其实它一个特点,现在监管的一些特点,以及它现在还有一些不确定性。那至少从合规的角度,从信息安全合规的角度,现在越来越明确,网上包括有一些立法,包括现有的一些法律法规,其实安恒一直在参与公安部的很多法令法规,如等级保护整个的检查,像这一块在整个监管机构方面,它其实等于整个网络信息安全都有一些明确的要求。在传统的亚博平台注册行业走得比较前面一些。在我看来,互联网亚博平台注册这一块是一个必然。在几天前得到的信息,刑法修正案其中有一个是包括,如果网络服务提供者不履行法律行政法规规定的信息网络安全管理义务,经监管部门采取改正措施而拒绝执行的,可由下列情形处三年以下有期徒刑、拘役或管制,并处相应的罚金。这个法律一旦经过人大通过,是我们整个信息化历史和信息安全历史上的一个里程碑。其实美国在很多年前,它已经在这些相应的法律法规,但对中国而言,它短期内看起来似乎是有一些严格,但其实是会推动这个产业更有序和更健康地发展的,因为在互联网亚博平台注册的创业过程当中,一开始只是注重用户的发展,但很多时候会对这种风控和合规会有所忽略,但很多时候到成长到一点的时候摔倒的时候就会比较痛。

  前一段时间在互联网亚博平台注册的群里有人在说,公安要我去进行网站备案,不知道为什么,因为工信部以后备案过了,是不是害怕我跑路。其实这是一个误解,其实在反过来说明,其实在这方面的合规和监管,对这一块的基本掌控是一个必要性。那这里我讲到法律法规,在国内最重要的法律法规是目前的信息安全的等级保护,对于等级保护经过了很多年的发展,现在终于有了一个比较实际的落地,网监会会配备等级保护工具箱来检查政府、亚博平台注册、互联网企业,以达到一个基准的合规性。

  那互联网亚博平台注册很多在我们讲的创业和创新的过程当中,其实我们都要求速度是比较快的,这是它的另一个特点,希望能够做到比较快和极致,但往往在这个过程当中我们讲快速的开发的过程当中会埋下很多的漏洞和风险,那这种漏洞和风险在开始我们往往不会注意到,因为开始服务的人员相对是比较少的,直到有一定的规模以后才会意识到庞大的系统,整个的设计,尤其是相关的安全和控制,这些垄漏洞的一些防范和检查存在着很多问题,但这时候已经停不下来,因为在线的系统往往对停下来是很忌讳的,因为这里面我们也是最早地提出来对全生命周期的安全风控,在开发阶段、测试阶段和上线运行前、运行中的整个全生命周期的安全的检查和保障。

  另外,作为一个系统,以黑客的思维来考虑,从攻击者的角度来考虑系统的风险和漏洞在何处。这里面其实从我们过去做的很多深度的渗透测试,给亚博平台注册行业、互联网行业等高端行业,从这里可以看到信息安全所涉及的层面是比较多的,这里我就不一一念了,但总的来说,它是面临的风险是具备这样一个风险的。

  那针对这个互联网亚博平台注册的投资,一个典型的信息系统架构,不管是一个小数据中心,小的系统,还是前端的互联网,还是后端的方式,从其一站式的防护来讲,外防黑客,内防内贼。防止数据的泄露,是整个防控合规的角度,这是相关的整体的解决方案。在整个过程中,把合规自然地完成。

  其中有一个案例分享是某一个支付公司的整体安全服务,它在整个的外部的应用防火墙防护,远程的检测、篡改等方面,当时安全评估的结果是可以用任意的钱来购买,如一分钱购买彩票,交易金额可以任意地购买,这对于这类企业的风险是非常高的,还有相关的合规和运维体系。

  那除了前面讲的典型的互联网亚博平台注册的风险与特点之外,当互联网亚博平台注册做大以后,制造会迈向大数据的领域,为什么?就像前面讲到的,要进行真正的整个周期的分析、挖掘,这些都是往下不可或缺的一部分,包括内部数据不断地积累,这里我们自己也在基于大数据在和云的技术用安全的角度来实现,那这一块来说,对于整个的漏洞分析、可能用、篡改、关键词等整个的方面上,我们内部叫风暴中心,现在已经监控全国100万个网上的信用,包括亚博平台注册互联网都在整个的监控和监测之下。右下角是已经被黑客攻击的一些。

  最后,祝大会圆满成功,谢谢大家!


声明:文章为原作者独立观点,不代表本公众号立场

91众筹,一家基于社交功能的股权众筹平台!

91众筹专注于TMT、大健康、旅游电商等产业!

回文章顶部,点标题下91众筹进行关注(推荐)

搜微信号 zhongchou91 或搜公众号 91众筹 关注



我要推荐
转发到

友情链接