金融3.0时代 I 数据与业务动态安全防护的新方向 原创

 “科技改变未来，金融实现梦想”，这并非只是句简单的口号。

未来，金融科技将成为主旋律，

金融行业也将走向3.0时代。

日前，瑞数信息闪亮登场“2017金融科技新知论坛”

“创新动态技术保障科技金融的安全未来”的主题演讲

为业界分享了最新的数据与业务安全防护新方向！

与会领导、金融科技领域专家、各大银行、保险、证券

及基金企业代表等百余人汇聚一堂，

聚焦网络安全、移动支付、区块链、大数据、云计算、

人工智能等诸多领域的创新技术与未来发展。

2017年是金融科技的元年 

金融科技3.0更多的是金融与技术场景跨界的融合，尤其是信息类技术发展全面突破。随着互联网金融行业发展日渐成熟，互联网金融生态正在发生变化，传统金融产品的内容和服务模式不断做出革命性地创新，互联网金融企业在快速创新能力，客户体验为中心的服务理念，乃至产品和服务的快速覆盖等方面，给传统银行的创新和发展带来了新的启示和压力。

“互联网＋金融”对传统应用安全的诉求 

伴随互联网+金融的兴起，银行、保险、证券和基金公司，将很多业务迁移到互联网上，在提供网上业务便利的同时，却面临严峻的新兴交易欺诈与安全威胁的挑战。撞库、盗用账户、用户信息泄露、欺诈交易、交易纂改等交易欺诈行为令金融机构面临巨大的业务风险及商誉损害。

新型自动化攻击对传统安全技术的挑战 

1.  网页与手机应用已经成为攻击者最主要和最容易的攻击入口

据Gartner最新报告显示，75%的网络攻击目标是针对网页应用。

2.  自动化攻击成为新的应用威胁趋势

近两年机器人攻击手段盛行，漏洞利用被大规模复制，为金融行业造成前所未有的巨大业务损失和数据损失。其中盗刷、恶意爬虫、撞库、刷单等自动化威胁已然成为攻击者的首要目标。

3.  现有的安全防御技术无法应对自动化攻击

a)    基于规则和签名的技术存在空窗期。

b)    传统应用安全防护的重点——身份安全面临挑战。

c)    模拟合法操作的自动化攻击和对未知攻击的防护薄弱且低效。

d)    日志分析和大数据分析技术仍需要时间和验证。

创新的“动态安全”防御理念动中取胜  保障科技金融的安全未来

瑞数机器人防火墙Botgate以“动态”技术为核心，提供面向应用和业务层面的主动防御，高效甄别伪装假冒正常行为的已知和未知自动化攻击，保护金融行业客户的业务安全和用户数据。  

保障账户安全

• 防撞库 – 防止利用已泄露的用户名口令进行批量登录，尝试获取可登录账号。
• 防虚假注册 – 防止利用自动脚本批量注册大量垃圾账号。
• 防短信轰炸 –防止黑客滥用短信发送接口，批量或向指定手机号发送垃圾短信，影响正常手机使用。
• 防批量开户–防止攻击者通过自动化工具批量开户，造成用于薅羊毛、洗钱等不法行为。
• 防批量办卡–防止攻击者通过自动化工具批量申请信用卡、银行卡等，造成虚假信用卡、银行卡，造成经济损失。

防范业务欺诈风险

• 防刷单 – 防止通过自动化工具批量实现业务交易，从而获取不正当利益。
• 防套现 –防止恶意用户通过技术手段绕过限制，利用虚假交易换取网站积分，兑换礼品后套现获利。
• 防交易篡改 – 防止攻击者通过中间人攻击等行为，进行交易篡改。
• 防线上盗刷–防止攻击者通过撞库等方式获取用户信息，盗刷用户银行卡、积分等。
• 防有价积分盗用 – 防止攻击者利用自动化工具，获取用户账号信息，批量盗取和消费用户商城或信用卡的积分。

防止数据泄露风险

• 防爬虫– 防止爬虫爬取个人信息以及客户保单、账单等金融产品信息。
• 防账户数据遍历 – 防止利用漏洞或者合法身份，通过工具批量查询导出客户资料。
• 防零日攻击 - 防止利用web零日漏洞的各种自动化攻击。
• 防扫描 – 防止黑客通过漏扫工具扫描网站结构和漏洞。

在互联网金融企业中账户安全、业务安全和数据安全是重中之重，对于传统信息安全产品所不能有效解决的自动化攻击问题，可以结合瑞数创新的动态安全产品和技术有效弥补，引入创新与合作的机制，推动银行业“互联网＋”业务的快速发展。