为应对金融信息技术安全风险,10月31日,北京市互联网金融行业协会联合协会会员机构举办了金融信息技术安全论坛,协会副秘书长张羽、易宝支付CTO陈斌、大成律师事务所合伙人肖飒、华为云安全服务产品部应用安全总架构师邓炜、梆梆金服CTO刘舒骐以及50多家机构高层管理人员、技术人员参与了论坛讨论。
协会副秘书长张羽表示,行业的健康稳健发展,离不开金融信息安全基础建设。在技术合规上,各机构要严格要求,为未来技术安全建设奠定基础;同时,要结合政策规定与公司业务发展,不断更新技术,坚持做到合法又合规。
易宝支付CTO陈斌基于其业务实践经验,分享了如何利用AI和大数据技术装备技防基础设施,守护金融安全。他认为,金融面临着合规、欺诈、信用、技术、操作、市场、资金等风险,仅仅在支付过程中,就存在很多安全隐患。用户端面临着交易欺诈、被钓鱼、被劫持、信息丢失等风险,商户端及服务端如第三方支付平台,也存在很多安全漏洞,分分秒秒被不法分子盯上。据不完全统计,互联网用户中,每10人中就有4人因为支付过程中信息泄露导致经济损失。而基于AI和大数据的金融技术,可以有效缓解金融风险问题,利用AI技术可以快速发现安全问题。互联网世界为人工智能模型提供了大量数据,基于交易的数量、特征、时间点、频次等各种数据做综合判断,不断训练模型,调优拦截率和误杀率两个指标,为大家提供更好的金融服务。
大成律师事务所合伙人肖飒站在专业的角度,向大家讲解了爬虫获取企业网站信息的法律风险。现下,如何鉴别爬虫获取数据的行为是否合法是大家比较关注的问题,肖飒认为,判断该项行为的合法性,robots协议不可或缺。robots协议是一种存放于网站根目录下的ASCII编码的文本文件,可以理解为互联网搜索引擎与网页或网站持有者之间达成的“行业规范” 。在该协议中,网站会明确告知网络搜索引擎的漫游器哪些内容不应被获取。如果外部技术人员在明知有该协议的情况下,仍违背网站主体的意志爬取数据,那么其行为主观恶性明显,有可能违反《刑法》第二百八十五条关于侵犯公民个人信息罪及相关规定。
华为云安全服务产品部应用安全总架构师邓炜从安全防护的角度,为企业提出了可行的产品升级方案,用以防范信息泄露等风险。Web安全是影响整体安全的“短板”,当前75%的信息安全攻击是针对Web应用的,比如A游戏官网游戏入口被篡改成B游戏导致企业的声誉受损,或者有些企业官网遭遇黑客的非法内容攻击导致被封,甚至因泄漏用户数据导致大量账号被盗,这些成为了互联网行业的常见问题。华为云结合云技术、AI技术以及大数据等多项前沿技术,开发出一套 Web应用防火墙(WAF),在内部嵌入动态防爬虫算法,可以有效防止数据泄露,精准识别、防御CC(Challenge Collapsar)攻击以及有效阻止网页被篡改。预计到2020年,云WAF将替代硬件WAF成为主流。
梆梆金服CTO刘舒骐向大家详细解读了关于信息安全的一系列文件(如下图),并给出了自己关于互联网金融行业合规标准下的信息安全建设意见。刘舒骐建议各机构参考《信息安全技术个人信息安全规范》以及《移动金融客户端应用软件安全管理规范》,提前进行自我检查,应重点关注个人信息安全,按照要求完成相应的技术调整工作。尤其是关于个人敏感信息、个人金融信息的内容,可以按照如下关键项进行:对照规范文件,进行自家app业务功能梳理;app安全技术符合性评估;个人信息的识别;发起多项调研,包括第三方交互情况、安全开发制度现状及管理制度现状。