中国IDC圈7月17日报道:7月15日和7月16日,在工业和信息化部指导下,2014可信云服务大会在北京国际会议中心第一会议厅隆重召开。本次会议以"可信中国云未来新生态"为主题,积极推动了国内可信云服务认证体系的建立,促进云计算产业良性发展。工信部总工程师张峰、财政部政府采购管理办公室主任王瑛、中央国家机关政府采购中心主任王力达、工信部电信研究院院长曹淑敏、中国通信标准化协会秘书长杨泽民、工信部通信发展司副司长陈家春等重量级嘉宾均出席了会议。会议正式发布第一批通过可信云认证的云服务名单并颁发证书,发布中国云服务最佳实践报告,分属中国电信、中国移动、阿里巴巴、腾讯、新浪、百度、京东、蓝汛、世纪互联、UCloud、华为、金山、奇虎360、网宿、浪潮、上海有孚、苏州国科、万国数据、甘肃移动等在内的近二十家云服务商。会议期间还设立三大云服务专题:企业云服务专题、政府云服务和金融云服务专题。各云服务商重量级嘉宾在两天时间带来了精彩的演讲和云服务的实践经验。在美国从事多年金融反欺诈技术的通付盾创始人数学博士汪德嘉,应邀就关于金融云服务的实践及成果进行了汇报,通付盾正是专注于金融领域安全服务的创新企业,从云管端全方位提供移动金融可信安全服务。演讲题目:移动金融云实施面临的挑战和机遇。
以下为汪德嘉讲实录:
汪德嘉:非常感谢主办方的邀请,我分享一下通付盾在移动金融云安全方面的实践。我将从以下两个方面谈起: 移动金融是可信云大机遇,移动安全是云实施大挑战;最后分享一下通付盾移动可信云安全体系: 安全端、安全管及安全云。
前面有嘉宾也分享了Gartner的预测,2016年超过60%银行会基于云处理大多数交易。Ovum声称资本市场会加速转向云方案。OracleCEO说主要竞争对手不再是IBM和SAP,而是亚马逊和Salesforce。互联网金融,尤其是移动金融在中国的极速发展,为可信云在中国的发展带来极大的机遇!
移动金融云实施的挑战在什么地方?是移动金融从封闭走向开放。
过去的金融是一个封闭的系统,像专线、专属设备。那么在移动互联时代,我们现在是从一种封闭的体系,到了一个开放的体系。我们的手机客户端和上网方式如:wifi和3G是开放的。我从下面几个方面谈一下从封闭到开放。
第一个是开放的硬件。虽然硬件可能是安全的,但是放在一个开放的环境里面就不一定安全。如符合Android标准即可安装应用,将无法兼容封闭系统。NFC、TSM等系统互联互通仍然存在问题有很多的安全隐患。
第二个是开放的平台。Android平台的开放性导致其成为安全重灾区,IDC预计2014年全球手机12亿出货量,80%是Android。
第三个是开放的应用。安卓的应用都是用开源的java程序。程序的机密性怎么样保证?逆向工程直接获取应用源码,黑客很容易刺探操作流程、函数逻辑、密码存储等信息。IOS上也是一样,只不过需要更高的技能。
第四个是开放的市场,相比与国外,国内现在应用市场特别多,第三方应用市场成为病毒、恶意程序传播的主要渠道,通过二次打包注入移动金融应用,如果有长远的监控和感知的能力,这也非常的重要。
移动金融从封闭到开放在信息安全方面有一系列的挑战。我把安全和隐私并列起来谈,但安全和隐私是不同的概念。
在过去的两年,我们针对包含近场支付、远程支付类型,覆盖主流移动支付方案,超过100家手机银行、第三方支付客户端进行安全测评,均发现安全隐患,包含6大类、30多项风险弱点,9类典型威胁,这些威胁就不一一列举了。我们总结出《移动支付业务风险管理研究报告》。
刚才谈到了安全,另外一个就是隐私。大数据让隐私不复存在,但作为用户来说要求隐私保护。大数据和隐私权,隐私保护是悖论,如何做平衡,数据放在哪里,这都需要思考。
下面介绍一下通付盾在可信端、可信管、可信云方面的实践。
先从可信端开始,刚才讲到了移动的应用。移动应用的体现形式是在手机或者在可穿戴设备上,针对程序本身的安全性保护,我们有一套安全保护的措施。在开发过程中进行全面安全的评估,指出安全漏洞,再到应用发布前的阶段,可对它们进行应用保护三战法:安全加固-反逆向,动态签名-反篡改,异常检测-反欺诈。更详细一点。我们安全评估找漏洞,用安全加固防分析、防篡改,并通过独有的动态签名技术实现服务主动感知客户端异常行为的能力,最后在运维阶段,我们有全网的监控管道,保障银行移动应用发布到市场都是正常规范的,而不是被恶意打包过的,避免用户损失。这就是一个移动应用全周期保护。
很多的安全威胁来至外部,我们要对这些行业,有一个全网的安全态势感知能力。通付盾提供渠道监测,安全指数,异常检测这些产品。这些产品已上线,大家可以去体验。
大家都知道二维码是移动互联网的入口,二维码本身是一项技术,但是把二维码用作支付工具,其安全有很多的漏洞。二维码里面有一些隐秘性,可能藏有木马和病毒,我们对二维码进行验证,保证它是一个可信入口。时空码提供更高安全:动态显示有效防止近程偷拍复制;动态算法有效防止远程破解专属设备,有效防止恶意代码注入。时空码兼容二维码,校验扫描内容;时空码设备可追溯,加密传输指定设备解密。
从可信端到可信入口就是我刚才提到的时空码,它是一个动态加载的。数字形式也是一样的,过去的验证码是放在硬件上,或者是放在云端,这些都会有一些问题。我们的做法是不一样的,我们把它碎片化,融合安全因子如:设备指纹、动态算法、P2P校验、空间因子等技术。
第二个就是比特信。这页PPT是关于我们可信管--比特信的介绍。比特信是基于移动设备证书,比特信采用多项安全增强技术,保障关键消息(验证码等)的保密性、完整性和不可抵赖性。现在像短信,也可能被截取。我们采用了比特币的一些思想。比特信有以下特性:定向加密,消息加密传输,只能在指定终端解密,防止中间人攻击、隐私泄露;双向验证,接收方、发送方双向验证,防抵赖,识别黑客发送的钓鱼消息;多通道支持,支持应用内消息、推送、短信、邮件等多种通道,扩展支持社交渠道;多种通知方式,支持广播、分组等一对多消息,以及定向一对一消息,手动/自动触发。
最后讲一下可信云,我们可信云方案包括反欺诈、设备征信及关系图谱。通付盾云反欺诈服务,基于设备指纹技术,通过终端设备行为分析,引入互联网第三方数据,提供设备帐号、关系图谱等多重关联,为银行客户和非金融机构提供基于设备行为分析的大数据支撑。基于多维度的风险特征、灵活智能的风控模型,做到准确地分析识别恶意欺诈行为,可助力银行系统,增强风控能力,来保证交易的反欺诈。这些产品都已经上线大家可以体验。
在信任普遍缺失的社会,重建信任是如此重要。安全体系如法制体系,是可信生态的基石。安全如空气、如水,与生俱来;没有安全感就没有幸福感没有安全就没有信任感。安全是可信的保障、可信是安全的体现。可信中国云,未来新生态!谢谢!