——加速乐高级安全顾问 王利伟

    【嘉宾简介：王利伟，加速乐高级安全顾问，CCIE Security，CISSP，CISA，CCSK。具有7年安全从业经验，曾服务于深交所、中国农业银行、中国招商银行、丰田金融等大型金融机构。王利伟对金融机构的风险评估、整体安全体系建设、安全规划等有深入了解。】

    财视中国：传统金融行业面对日益严格的金融监管要求和日益复杂的网络安全风险应如何从战略高度和全局的方向来设计和完善金融信息安全？

   王利伟：实际在网络安全的问题上传统金融行业相对于其他行业已经做的非常好了。由于金融行业跟“钱”挨的比较近，所以一直以来都是所谓的黑客的重点关注对象，金融行业的业务决定了对网络安全有着更高的要求。银监会、央行也都有相对完善的监管制度并且得到了不错的落实。但是各家机构的安全水平也参差不齐，同时也都有很大的提升空间。一个金融机构要做好信息安全应该从这几方面考虑:

    a、 应该从业务风险的角度考虑网络安全风险，应该从战略发展制定网络安全目标，如果企业认识不到这一点也就做不好网络安全，而且会被这项工作搞的精疲力尽，也经常会被网络安全问题影响业务。

    b、 完善的信息安全管理制度和组织架构是重要前提，什么事儿都得靠人来做，信息安全制度则给员工或者客户、合作伙伴说明为什么要这么做？也给安全人员指明了应该怎么做、做什么？

    c、 完整的技术体系和运维体系：单兵作战可能有把冲锋枪就能上阵了，但是大阵仗是需要完整的武器系统，有侦察机、预警机、战斗机、轰炸机、装甲车、火炮、迫击炮、雷达、反导弹系统、各种战舰等等，放到信息安全的工作当中也一样需要这样或那样的工具和设备，但是这些工具和设备要成体系，才能应对不同的业务风险。当然了有了工具要把他们运用好才能发挥出作用，不然都是昂贵的玩具，这也是目前很多企业面临的问题，这就是为什么说要有个完整的运维体系。

    d、 向用户负责，本着向用户负责的态度做安全，绝对错不了。

    财视中国：中小城商行作为金融机构中的小型企业，在IT预算方面、金融基础建设方面、专业人才方面都无法与大型银行相比，这些中小型金融机构应该从哪些方面优先投入？

   王利伟：毋容置疑，这些中小型机构肯定会优先投入到业务生产系统上。安全往往被认为是附属系统，投入比往往小的可怜，建设进度也严重滞后。至于在安全建设上应该怎么样优先投入，最主要还是先识别出来主要的风险，比如现在火热的互联网金融，它的业务入口就是它网站，而网站是个安全重灾区，被DDOS，被挂马，被“拖库”屡见不鲜，一旦发生这样的情况对一个网贷平台的打击是致命，那这个时候商家对于这种风险显然是不可接受的，那么你必须想办法降低这个风险到可以接受的水平。每个机构都应该对自己的业务进行安全风险评估，识别出来哪些风险是高危不可接受的，哪些是低危暂时可以接受的，然后根据评估结果指定投入比例和优先级。对于高危的通过各种手段降低、转移或者规避。另外这个安全评估工作要根据业务发展状况定期或不定期的进行，因为风险会随着环境的变化而变化。能做到这一点可保证机构在安全上的投入是正确且有效的，通俗的说可以用最少的钱办最多的事儿。

    财视中国：随着大数据和云计算技术的不断成熟和大量运用，传统金融行业将也增加了这些方面的投入，你认为在未来网络银行和电子银行安全方面会面临哪些新的风险？

   王利伟：任何新技术都是双刃剑，如何用好就需要有严谨的设计和规划。拿云计算来说，它自身可以规避很多传统的安全问题，但是同时也会引入新的风险。充分评估其可能带来的风险并采取有效措施才可能发挥其优势，而不至于被“反咬一口”。

    网络银行在所有民用信息系统里安全等级是最高的，也是做的最好的。我觉得新的风险是外部大环境的变化，比如手机银行，它的客户端可能被篡改，被窃听，被种植木马等等。另外一大块我认为是钓鱼和欺诈，网络银行的确方便了大家，但是也给不法分子创造了条件。如何保护用户免受钓鱼、欺诈等危害，显得越来越重要。

    我们知道创宇运营的安全联盟就是致力于解决这个问题的，安全联盟识别出钓鱼、欺诈的网站、短信、电话后，通过成员单位百度、腾讯、搜狗、金山等等渠道传播给网民，当一个用户尝试访问一个假冒的银行网站时安全联盟会提醒网民，从而达到保护网民的目的。

    财视中国：互联网金融行业在运用模式和经营理念上与传统金融行业有着巨大的差别，对于网络的依赖和对于数据的分析的比例都大大超出传统金融行业，如何在这样情况下防止网站被攻击，减少风险？

   王利伟：有几点，第一就是互联网金融企业亟需提高安全意识，特别是高层，一定要把网络安全风险作为业务风险来看待。很多互联网金融企业在这方面吃了很大亏，开始不重视安全建设，直到被黑客攻击才恍然大悟，这时候造成的影响和损失已经无法弥补，不客气的说安全问题是让很多平台倒闭的直接原因。第二就是加强业务平台安全建设，很多平台特别奇怪，他们宁愿一天在百度花十万二十万推广，也不愿意一年花十万二十万在安全上，结果导致的问题就是攻击一来推广的钱全部打水漂不说，业务中断，用户流失，公关危机，损失惨重。第三是人员安全素质的提升，从管理层到技术人员到普通员工。实际60%的问题是内部人员造成的，也就是说通过人员安全素质的提升可以解决很多安全问题，比如安全素质很高的开发人员，代码级别漏洞就很少，这就直接说明业务系统的漏洞少，风险就低。

    财视中国：互联网金融企业如何能及节约成本的同时又增加安全防控并确保客户隐私与安全支付？

    王利伟：互联网金融行业对新技术的接受程度比较高，我个人建议互联网金融平台大胆采用新型技术方案。比如我们公司旗下的云安全防护平台-加速乐，它是基于分布式云计算的SECaaS服务（即安全即服务），它可以帮助互联网金融平台抵御各种黑客攻击和自身漏洞带来的危害，同时可以抵御大规模DDOS攻击和CC攻击。关键在于这种新型的服务零部署、零维护，不需要安装任何软硬件，大大降低了使用门槛。（因为传统的安全设备往往是很复杂的，需要专业人士才能使用）。通过“加速乐”云安全防御平台，互联网金融企业可以快速将自己的平台保护起来。

    财视中国：加速乐针对互联网金融行业有哪些利器可以帮助这个行业更好的保证网络安全运行与信息安全？

    王利伟：因为现在互联网金融行业DDOS攻击频发，好贷网、人人贷、红岭创投、翼龙贷、积木盒子等等平台都被DDOS攻击过，从而导致业务中断，由于互联网金融行业跑路的平台特别多，一旦业务中断投资者就认为平台可能跑路了，对平台苦心的经营的声誉是一个严重的打击。

   “加速乐”的抗DDOS解决方案已经帮助了不下50家互联网金融平台度过难关，避免了由于DDOS攻击导致的业务中断。

    此外加速乐的渗透测试团队可以帮助相关客户对其业务系统进行代码级深度分析并进行相关攻防测试，从而主动发现平台存在的高危漏洞，并协助修复，从而提高系统自身的安全性。