需求是创新之母
一个小小互联网企业多是先搞一个可以快速使用的用户产品,然后再讨论安全,在一般的场景下是完全可行的,金融可不太好这样搞,首先第一个问题就是用户的用户关键的金融信息,比如基本三项信息:姓名、身份证和银行信息,随着互联网金融业务的深入,很多时候需要用户提供更多的信息:手机通讯记录、互联网购物记录、交通记录(飞机、汽车、步行)、一般性消费记录、生活消费记录,更有甚者像用户GPS轨迹、停留时常记录,医疗记录和社保信息,等等;用户的数据在互联网金融平台上都是保存着,如果该平台的内部管理不够科学,用户的所有数据信息都会很容易的被平台员工(当然也包括平台本身)毫不费力的获取,并用在任何想用的地方。
现在的互联网金融平台采用保护用户数据的安全策略多是很少保护,甚至只是宣传宣传,为什么哪?因为不划算,本身互联网的安全问题就是比较高的成本,像可信计算或者区块链技术也都是非常大的平台在一定范围才会使用并发挥价值;我们来看看犯罪成本比率公示吧:

如果不等式的左边大于右边,意味着实施攻击的收益大于成本, 犯罪即可能发生。 当然,这并不意味着如果有足够的机会所有人都会犯罪。 回顾传统的10:80:10模型,10%的人无论如何都不会犯罪;80%的人是机会主义者;而剩下10%的人无论如何都会犯罪, 根本无法阻止。 通过提高抓捕成功的可能性并降低罪犯得手的几率, 有助于阻止80%的那部分群体, 并将重点放在 “罪恶的10%"上。
虽然软件业有能力为执法部门提供信息追捕罪犯,但其自身并不可能轻易地控制Pa或Pc, 而且一些国家目前尚无明确打击网络犯罪的法律。
如果不存储对攻击者有价值的数据,计算机系统的用户和管理员能够在某种程度上控制Mb, 但这一方案是根本不可行的:因为使用计算机的主要目的就是为了业务运行更有效,也就是说大多数计算机用户会存储、 处理对客户和攻击者都有价值的数据。设计良好的安全系统能够增加Ocp使得攻击者成功实施攻击的成本增加,从而促使攻击者将目标转移到相对较弱的其他ip地址上的机器。
从一个互联网攻击者的角度来看,影响不等式的最主要因素是Pa, 因为攻击者被发现和追捕的可能性微乎其微。不可否认的是,虽然一些罪犯被成功地抓捕, 但绝大多数攻击是匿名的,往往被用户和系统管理员所忽略。 事实上,无法察觉的攻击才是最阴险的攻击形式。
由于操作系统厂商已经很重视保护核心操作系统安全,网络罪犯的目标也开始更多地锁定在应用软件这片尚未被掠夺的沃土之上,例如数据库(ZDNet 2006a)、反病毒软件CInformation Week 2005)、备份软件(ZDNet2006b), 因为针对上述目标攻击的成功率更高,收获也更丰富。对一个攻击者来说,攻击操作系统并不能直接获取有价值的数据,但攻击数据库、客户关系管理(CRM)系统、卫生保健系统和系统管理工具,就有可能赢得头彩,并直接反映在之前提到的不等式中0cm变量上;无论你的软件或公司规模看上去是大, 或者是小, 如果攻击者认为值得投入精力, 而且收获颇丰, 风险够低, 那么你的任何不够安全的应用都会轻易遭受攻击(Computerworld 2006)。
上面说的有些晦涩,但是至少可以看出一点:如果互联网金融公司在技术层面没有解决安全的策略,那首先用户的数据安全就有很大的风险,进而用户的资金安全也会有很大的隐患。
目前,成为黑客已经无需高难的技术。 实施攻击也不单是为了吹嘘和炫耀, 而是利益使然。
接下来,看看哪些是影响安全的因素:可靠性;事实上,安全也一样没有一劳永逸之举。在我们进一步深入之后发现, 当前的软件工程实践根本无法实现安全的软件。 如果当前流行的任何过程能够缔造出安全的软件, 我们只能将其视为是来自厂商的安全公告和安全勘误较少而已, 但是业界正面临巨大的安全问题:每一家产品都存在安全缺陷, 甚至是非常严重的安全缺陷。 这使得我们做出这样的结论:现有安全实践无法缔造安全的代码。
铁律原则:"只要给予足够的关注 , 所有的缺陷都将无处遁形”
待续…
2933
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
