玻璃棉毡厂家
免费服务热线

Free service

hotline

010-00000000
玻璃棉毡厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

后棱镜门时代谁打响信息安全战争

发布时间:2020-06-29 17:54:43 阅读: 来源:玻璃棉毡厂家

本报记者 张莉

自“棱镜门”事件曝光后,信息安全引起全球范围内的担忧,如今一系列信息泄密事件频频上演正在加剧这种担忧:从携程用户银行卡信息漏洞暴露、中国人寿(601628,股吧)80万保单信息外泄到二维码等互联网支付安全漏洞的质疑、华为总部服务器遭遇海外部门入侵,在智能信息革命与互联网金融变局发生前夜,各种“安全门”的出现无疑暴露了虚拟世界的最大隐患。

以维护信息安全的名义,央行一纸文书暂停互联网企业的二维码支付业务,而多家银行暗中加速金融IC卡的替代进程,信息安防产业链市场参与者与资金方则蠢蠢欲动,一场波及范围之广、行业牵涉面复杂的信息安全之战悄然打响。不过,如何掌握信息监管与互联网创新的“平衡艺术”也成为各方争议的焦点,对于互联网企业而言,信息安全攻防战的胜负则在于建立包含制度、技术、信用机制、监管等因素的安全平台。

“安全门”事件频发

3月22日,漏洞报告曝光平台“乌云网”陆续披露涉及携程网的两个安全漏洞,报告称携程某分站源代码包可直接下载涉及数据库配置和支付接口信息,导致安全支付日志可以被遍历下载,大量用户银行卡信息包含持卡人姓名身份证、银行卡号、银行卡类别、卡CVV码等信息遭到泄露。进一步分析称,携程此次漏洞或来自无线部门在手机APP产品调试过程中保存日志出现的状况,可能导致攻击者可以通过服务器根目录方位受限制文件而伤害用户的隐私信息。

“几年前曾用携程网的支付流程来购买国际航班机票,后台服务平台都是在隔天才确认航班机位信息,如此长的时间间隔,用户的信息肯定被保存下来。”携程网使用者程小姐(化名)认为,携程网在支付流程过程中存储信用卡敏感信息,存在隐私信息泄露甚至资金盗刷的风险,而当时携程仅回应采用的信用卡方式符合国际惯例,对自身信息安全问题则选择一笔带过。

据熟悉信息安全行业的分析师认为,携程事件爆发主要在于违反银联规定本地保存银行卡信息,与此同时其用于保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意读取。

实际上,除携程之外,互联网信息泄露事件正在频繁暴露在公众视野。据海外媒体报道称,“棱镜门”当事人斯诺登提供的文件显示,国外政府正在通过秘密项目对信息龙头公司华为深圳总部实施网络潜入、寻找华为设备的“后门”,来自国际机构的监控令个人、企业乃至政府敏感数据正在遭受被随时盗取的危险。

而在互联网金融发展起步之时,以O2O模式探索为主的新型企业却被爆出二维码支付的某类安全漏洞,黑客可通过二维码扫描向手机用户植入病毒,进而监听手机中的信息或将网络用户的银行款项洗劫一空。一时之间,互联网支付安全性的讨论被推到了舆论的风口浪尖,信用卡盗刷、身份盗用、重大资讯泄密等风险问题集中涌现,令网络用户对信息安全问题产生了质疑。

信息安全攻防战打响

一系列事件频频爆发正在凸显互联网领域信息安全的风险监控紧迫性,随时可能遭遇破解的安全漏洞也令监管部门如临大敌,紧急收紧相关互联网支付等内容的监管政策。3月13日,坊间开始流出一份由央行下发的文件,该文件紧急暂停了包括支付宝、腾讯在内的虚拟信用卡产品,同时暂停的还有条码、二维码支付等面对面支付服务,何时重启则尚待监管层判断。

监管部门对网络支付安全性的重视显然上升到了前所未有的红色警戒区域。据文件函内容显示,因线下条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全和资金安全。目前,将条码(二维码)应用于支付领域有关技术,终端的安全标准尚不明确。而相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患。业内分析认为,上述监管的收紧无疑让正在迅猛发展的第三方支付业务以及互联网金融遭遇前所未有的“安全挑战”。

不过,以维护信息安全为名的攻防战打响后,一批针对互联网用户信息与资金安全管理的机构以及硬软件企业厂商则成为最直接的受益者。以携程事件为例,由于用户大量银行卡信息泄露或将导致资金损失,规避该风险最合理也最有效的方法就是更换银行卡,多家银行目前已经表示将免费换卡。据相关券商报告指出,未来用户对银行卡要求的提高,正在加速金融IC卡的替代进程,而二维码的暂停也给NFC(近距离无线通信技术)产业带来全新的投资机会。

与此同时,多方对信息安全的重视也注定了资本市场以及企业、政府等方面对信息安全的热度关注以及新的战略布局。分析人士指出,今年国家安全委员会的成立已经释放出对国内信息安全行业大力扶持的信号,而早在去年,业界早已针对信息安全命题,刮起一股摆脱国际软硬件系统垄断的“去IOE化”(即摆脱IBM、Oracle、EMC,泛指信息安全领域的国产化趋势)。在政策推动下,未来三年政府信息安全投入意愿将大幅加强。而一批技术与研发水平过硬的信息安全公司也将有望获得市场资金的青睐,并迅速发展为引领行业的龙头企业。

监管相对论博弈

尽管守住安全底线原则、保护网络用户资金及隐私信息安全,成为收紧监管的合理因素,但近期“四大行集体限制快捷支付额度”的动作也被市场解读为垄断机构借由维护信息安全之由,封杀发展迅猛、吞食传统存款市场份额的支付宝,以第三方支付、P2P为代表的互联网金融新业态也因“监管刹车”而前途未明。如何掌握监管的平衡艺术,正在成为互联网领域搭建信息安全平台的重要命题。

监管的尺度需适应互联网本身创新发展的趋势。“目前来看,在金融安全系统能够容忍的范围内,互联网企业可能只有被允许在小额支付方面做有别于银行的差异化业务,这也是未来发展趋势。”

据业内人士分析,对互联网支付业务的监管仍然不能逃离互联网金融本身发展的大趋势,同时不少O2O模式在打通线上线下资源的过程中,需要通过资金流环节的闭环方能形成真正的盈利空间,若以粗暴的“一刀切”思维进行监管无异于将有着惊人市场潜力的互联网金融创新思维扼杀在萌芽之中。来自央行主管的中国支付清算协会有关负责人的表态,二维码的安全性在达到金融支付的标准之后将可能放行,这也意味着持续的管制并非常态。

业界判断,未来智能信息革命的重大前提将是安全,但值得各方商榷的是,保障互联网信息安全尤其是金融安全,限制与叫停并非主流方式,重点在于流程管理的安全性以及行业安全标准的统一。

据熟悉信息行业安全的人士建议,从网络支付方面来看,监管层可以强制要求相关网站必须通过PCI-DSS安全认证这样国际性的在线交易数据安全标准,并定期核查;要求商家内部网络安装防火墙,监测重要数据的使用记录,以保护用户数据安全;强制互联网公司提供金融理财业务的同时也明确赔付、风险提示服务,以保障用户资金安全等等。在这场以安全为名的战争中,相信市场也会最终倒逼互联网公司推出更多融合风险控制技术的业务及应用产品,不妨让我们拭目以待。

成都演出活动

成都广告执行

成都年会庆典