欢迎来到学术参考网
当前位置:法学论文>刑法论文

聚焦信息安全,白帽子们这样说

发布时间:2016-07-19 16:07

  717日的北京,一大早便乌云压城,正值漏洞平台乌云网()举办乌云第二届白帽子大会。这一次,著名黑客大会HITCON也第一次走出我国台湾,与乌云网联手,白帽子们揭开了神秘的面纱,分享了信息安全领域的攻防最新趋势和业务安全经验。80%政府部门曾遭受DDoS攻击 江苏省公安厅网安总队科长童瀛第一次公开分享了很多网络攻击的案件实例。据悉,江苏公安厅的网安曾在信息安全方面破获多个网络犯罪案件。

 

  童瀛遇到的最新的网络犯罪方法是利用微信红包赌博,最新的应用是阿里的花呗,通过大量盗取支付宝用户账户,帮助该账户提升信用,再利用信用恶意套取现金。

 

  网络犯罪呈现隐密性强、复杂性强、国际化趋势等特点。然而,网络犯罪的危害性远比一般的犯罪危害程度更大、更广泛。以盗窃为例,一般盗窃案涉案的金额主要是现金,最多达到几十万、几百万元的水平。而童瀛近期遇到的2个江苏网络诈骗案的涉案金额则达到1200万和1300万元。

 

  DDoS攻击(分布式拒绝服务攻击)是比较常见的网络犯罪攻击方式。据统计,大约有50%的在线游戏公司和700A的商业公司遭受过DDoS攻击;政府部门的情况更为严重,80%都曾遭受过DDoS攻击。

 

  童瀛指出,DDoS攻击一般分为3个阶段。第一阶段是僵尸网络,第二阶段是反射攻击,第三阶段是智能、物联网设备。1998年,DDoS攻击主要来源于技术炫耀者;2003年,进入黑吃黑阶段;2008年,DDoS攻击组织开始统一市场,向上发展,公安部还曾组织专项打击行动;2010年以来,DDoS攻击呈现全面蔓延的态势。

 

  童瀛总结DDoS攻击的目的主要是行业竞争、敲诈性勒索和恶意报复。201411月,南通市多家网吧遭受DDoS攻击,就是敲诈性勒索。今年3月,苏州蜗牛公司遭遇的DDoS攻击,则是恶意报复。

 

http://jsj.lw881.com/xxaq/


  童瀛表示,作为黑客有高额金钱回报、网络犯罪成本低的特性,很容易导致网络犯罪。然而,网络犯罪所需要受到的法律制裁后果也很严重。据了解,目前,我国法律所界定的网络犯罪主要有3种,包括非法侵入计算机系统罪、破坏计算机信息系统罪、利用计算机网络实施的犯罪(例如网络传销等)

 

  一般情况下,只要利用网络违法所得的金额在5000元、瘫痪1万名网络用户1个小时以上的时间、非法控制了20台以上的电脑,公安部门就可以立案。 而按照我国刑法286条第1款的规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。

 

  因此,童瀛建议,网安人员在网络安全的道路上不要走偏,不要陷入犯罪的漩涡;中小企业要健全应急响应机制,尽可能多留存日志,如果遭受攻击,最好的应对方法是报警;涉网单位要尽量提高自身的安全;普通网民尽量不要上非法网站,并从官方网站下载相应软件。如何保证P2P金融安全

 

  自从余额宝推出之后,各个宝宝都开始涌现,金融行业在互联网上得到了迅速的发展,开启了互联网金融时代。其中,P2P金融作为把投资者、借贷者拉在一起的平台和渠道,由于其15%左右的平均投资回报率受众多投资者追捧。 然而,作为创新的互联网+模式,P2P金融也面临着双重的常见风险,既有来自互联网的风险,也有来自金融业的风险。白帽子大会上,万达电商安全主任工程师林鹏深度解析了如何保证P2P金融安全。

 

  NSTRT团队收集了在2014年互联网金融行业中的134份安全漏洞报告,其中来自业务设计缺陷的漏洞占主要比例,达到27%。而P2P的业务流程,一般包括注册、绑卡、充值、购买理财、回收资金等步骤。 在注册环节,羊毛党撸羊毛(活跃在各P2P平台上,专门参加注册送积分、返现等优惠活动,以此赚取小额奖励)是一个普遍存在的现象。有时候,羊毛党还会和银行、平台内外勾结,圈起大量注册用户绑卡后卷钱跑路。这种现象并不少见。

 

  目前已经形成了羊毛党团体,内部分工明确。其中,家庭妇女和学生居多,基本都是兼职。很多人不知道P2P是什么,只是为赚钱照着做。林鹏说。 林鹏指出,应对羊毛党的方法是要遏制他们的收入途径。在投资方面,从业务角度防套利,不能让人空手套白狼;利用羊毛党防止被平台反撸的心态,减少羊毛党收益,提高收益门槛;还有人工识别(客服挂电话)、机器识别、大数据应用等。

 

  在绑卡的环节,容易出现用户套现行为。虽然一般都有实名验证身份证号、姓名和银行预留姓名的环节,但小的P2P平台通常是借用公安部接口校验身份证信息,想要骗过这些小平台并不难,因此并没有起到真正实名验证的作用。 林鹏表示,虚对绑卡环节的用户套现,P2P平台要有4要素验证,包括身份证、银行预留手机、姓名和银行卡号,另外还要有小额打款验证。这些内容应该是所有涉及到互联网金融的公司需要去做的。

 

  根据调查,参与P2P业务的以男性为主,年龄在2040岁之间,晚上18点是用户投资高峰时段,以微信和新浪微博传播方式为主,尤其是微信的比例达到99.4%,股票和基金是这些人最关注的投资品种。林鹏指出,对于P2P平台来说,符合这些条件的基本上可以认定为合法用户,不符合的怀疑为非法用户。

 

  是否是非法用户也可以通过用户行为判断。一般正常的用户行为包括一整套业务流程,从注册登录到充值、投资、回款和提现。而异常的用户行为从注册登录后就一直停滞在编辑资料的环节。

 

  当然,目前P2P平台还无法进行人机识别,判断是不是代理,这些都是困扰P2P金融安全的问题,有待在将来解决。从01打造企业信息安全 在大会上,去哪儿安全总监郭添森分享了如何从01地打造企业信息安全的经验。据悉,做为同类型网站的去哪儿,其安全在国内能够排到前几名,安全部门在去哪儿内部也很有话语权。 郭添森将去哪儿的安全工作分成了三个阶段。第一阶段是安全融入基础IT,第二阶段是融入企业业务,第三阶段是融入企业文化。 在第一阶段,公司刚刚起步,因此安全主要的工作方向是组建团队,熟悉环境、灭火、设立技术制度流程和技术标准,最终解决网络层面的问题。 在第二阶段,随着业务数量逐步升级,安全的工作则放在了完善制度流程和SOX404 PCI DSS标准等方面。其中,最重要的事情是建立自动化系统,确保安全规划落地执行。主要解决操作系统、数据库、系统应用、web应用层面的问题。 在第三阶段,到了公司成立的第四年,安全工作的重点变化,更多地投入在数据安全、业务安全上。尤其是数据安全,是行业内的公司都会面临的问题,也是普通消费者会遇到的问题。郭添森说。 郭添森还指出,面对业务和安全如何平衡的问题,安全的使命是消除风险还是控制风险,较好的方式可能是用恰当的手段和投入控制风险。基础架构运维和安全的关系最紧密,必须与基础架构部门合作共赢,与业务部门找到切入的合适时机和方式,过早优化和过度优化都不合适。有的时候冲突的解决要依靠妥协和升级。

 

  作者:刘静 来源:中国电子报 201550

上一篇:制造工业控制系统信息安全分析

下一篇:某市电子政务与信息安全建设探讨