近幾年，作為金融的一種創(chuàng)新，互聯(lián)網金融逐漸興起。隨著P2P和互聯(lián)網金融整個行業(yè)的蓬勃發(fā)展，關系國計民生的互聯(lián)網金融安全問題成為大家關注的重點。在2015年11月28日由51CTO主辦的WOT2015"互聯(lián)網+"時代大數據技術峰會上，51CTO記者采訪了WOT峰會特約講師京東金融高級安全專家劉明浩，針對互聯(lián)網面臨的安全威脅，互聯(lián)網安全防護技術，京東的金融安全防御平臺進行了深入了解。

WOT峰會特約講師京東金融高級安全專家劉明浩

【講師簡介】劉明浩擁有8年安全從業(yè)經驗，目前主要負責京東金融安全體系建設、安全產品架構設計及安全合規(guī)等相關工作。曾在安永、德勤擔任資深安全顧問，為多家大型金融機構提供信息科技風險管理咨詢、安全體系建設、數據防泄漏、信息安全風險評估及安全合規(guī)等服務。

劉明浩表示：“目前，在互聯(lián)網金融行業(yè)主要存在的風險是來自于兩個層面，第一個層面是來自于業(yè)務安全的風險，比如說在重要的業(yè)務場景，比如說修改綁卡和修改綁定手機號碼，這樣的場景安全風險控制是不是到位?控制是不是有效?是不是防御了止損和盜號?我們在技術方面的防御，比如說Web攻擊，遠程代碼執(zhí)行類似于技術防范是不是到位。其中，業(yè)務層面的安全問題需要更加關注。”

面對以上威脅該如何加強互聯(lián)網金融的安全防護，防護的重點又在哪兒呢?對此，劉明浩認為，首先要從根本上解決安全問題是很困難的，所以需要整體的安全管理流程。比如：在技術安全方面，無論是互聯(lián)網金融公司還是IT公司面臨的技術問題，需要SDLC的方法來解決這些問題。在前期需求階段，公司需要對系統(tǒng)安全做調研，得到安全需求，然后對安全需求進行安全架構設計。在編碼階段，對程序人員進行培訓，落地安全編碼的規(guī)范和守則，讓程序員開發(fā)出來的代碼是安全的，之后進行安全測試，在上線前要有完整的安全測試，可采用UAT測試和系統(tǒng)功能測試。上線后，公司需對整體的安全情況進行持續(xù)的監(jiān)控和跟進，保障系統(tǒng)整體安全。這整個流程需要業(yè)務方、產品、程序代碼編寫人員、測試全員參與才能保障系統(tǒng)的穩(wěn)定和安全。

作為一家國內知名的電商，京東有自己的一個針對互聯(lián)網金融安全的防御平臺——京東金融宙斯Zeus安全防御平臺。劉明浩表示：“之所以起這個名字，是因為宙斯是眾神之神。我們希望眾神之神守護我們的系統(tǒng)，讓我們的系統(tǒng)更加安全。希望輸出京東金融的風險防范能力和態(tài)勢感知的能力，以及威脅情報分析能力，解決京東整體安全問題。”

那么，京東金融宙斯Zeus安全防御平臺是如何防御和檢測撞戶、盜號、盜卡等異常業(yè)務行為的呢?他解釋到，這個平臺的系統(tǒng)會對異常用戶的操作提出數據風險的分析模型，根據這個分析模型對一些異常的行為做出判斷，做監(jiān)控預警和判斷。在平臺中，監(jiān)控主要分為三個閥值：風險容忍區(qū)，風險預警區(qū)以及風險干預區(qū)。通過不同的閥值，系統(tǒng)會對相應的事件做出不同的處置策略，從而達到對類似于撞戶、盜卡風險事件的響應和處理。

針對這些異常的業(yè)務行為進行實時的分析和存儲，需要依賴于一套大數據的平臺和數據。比如：在這個系統(tǒng)里，主要有四個部分：一是流量的收集、抓取功能，這些功能就像全業(yè)務一樣，進入全業(yè)務流量。之后把這些業(yè)務流量導入到消息隊列緩存，通過分析集群會到消息隊列緩存訪問日志，并根據風險風控模型分析和判斷用戶的異常行為，同時進行實時的查詢，從而達到實時的分析和存儲。

最后，談到互聯(lián)網金融安全防護的現(xiàn)狀，劉明浩認為：“互聯(lián)網金融安全形勢是不容樂觀的，包括業(yè)務邏輯的漏洞，還有一些Web漏洞也層出不窮，這也是由于我們這個行業(yè)對市場敏感度非常高，我們對產品的時效性要求也非常高，我們的產品可能非常急著推出，迭代的頻率非常高，導致一些安全的問題沒有辦法得到保障和滿足。因此，我們更應該從業(yè)務邏輯層面的安全風險。比如：針對越權訪問、使用權限等問題，我們都應該去考慮。還有，我們要去考慮整個全生命周期安全開發(fā)和產品流程的問題。”

以上是51CTO.com記者為您從一線帶來的精彩報道。更多精彩內容盡在51CTO.com獨家報道，敬請期待!

 戳下方圖片，更有料！

（WOT2015大數據技術峰會總結專題）