北京市互联网金融行业协会举办金融信息技术安全论坛
2019-11-04 16:03:43

為(wèi)应对金融信息技术安全风险，10月31日，北京市互联网金融行业协会联合协会会员机构举办了金融信息技术安全论坛，协会副秘书長(cháng)张羽、易宝支付CTO陈斌、大成律师事務(wù)所合伙人肖飒、华為(wèi)云安全服務(wù)产品部应用(yòng)安全总架构师邓炜、梆梆金服CTO刘舒骐以及50多(duō)家机构高层管理(lǐ)人员、技术人员参与了论坛讨论。

协会副秘书長(cháng)张羽表示，行业的健康稳健发展，离不开金融信息安全基础建设。在技术合规上，各机构要严格要求，為(wèi)未来技术安全建设奠定基础；同时，要结合政策规定与公司业務(wù)发展，不断更新(xīn)技术，坚持做到合法又(yòu)合规。

易宝支付CTO陈斌基于其业務(wù)实践经验，分(fēn)享了如何利用(yòng)AI和大数据技术装备技防基础设施，守护金融安全。他(tā)认為(wèi)，金融面临着合规、欺诈、信用(yòng)、技术、操作、市场、资金等风险，仅仅在支付过程中，就存在很(hěn)多(duō)安全隐患。用(yòng)户端面临着交易欺诈、被钓鱼、被劫持、信息丢失等风险，商(shāng)户端及服務(wù)端如第三方支付平台，也存在很(hěn)多(duō)安全漏洞，分(fēn)分(fēn)秒(miǎo)秒(miǎo)被不法分(fēn)子盯上。据不完全统计，互联网用(yòng)户中，每10人中就有(yǒu)4人因為(wèi)支付过程中信息泄露导致经济损失。而基于AI和大数据的金融技术，可(kě)以有(yǒu)效缓解金融风险问题，利用(yòng)AI技术可(kě)以快速发现安全问题。互联网世界為(wèi)人工智能(néng)模型提供了大量数据，基于交易的数量、特征、时间点、频次等各种数据做综合判断，不断训练模型，调优拦截率和误杀率两个指标，為(wèi)大家提供更好的金融服務(wù)。

大成律师事務(wù)所合伙人肖飒站在专业的角度，向大家讲解了爬虫获取企业网站信息的法律风险。现下，如何鉴别爬虫获取数据的行為(wèi)是否合法是大家比较关注的问题，肖飒认為(wèi)，判断该项行為(wèi)的合法性，robots协议不可(kě)或缺。robots协议是一种存放于网站根目录下的ASCII编码的文(wén)本文(wén)件，可(kě)以理(lǐ)解為(wèi)互联网搜索引擎与网页或网站持有(yǒu)者之间达成的“行业规范” 。在该协议中，网站会明确告知网络搜索引擎的漫游器哪些内容不应被获取。如果外部技术人员在明知有(yǒu)该协议的情况下，仍违背网站主體(tǐ)的意志(zhì)爬取数据，那么其行為(wèi)主观恶性明显，有(yǒu)可(kě)能(néng)违反《刑法》第二百八十五条关于侵犯公民(mín)个人信息罪及相关规定。

华為(wèi)云安全服務(wù)产品部应用(yòng)安全总架构师邓炜从安全防护的角度，為(wèi)企业提出了可(kě)行的产品升级方案，用(yòng)以防范信息泄露等风险。Web安全是影响整體(tǐ)安全的“短板”，当前75%的信息安全攻击是针对Web应用(yòng)的，比如A游戏官网游戏入口被篡改成B游戏导致企业的声誉受损，或者有(yǒu)些企业官网遭遇黑客的非法内容攻击导致被封，甚至因泄漏用(yòng)户数据导致大量账号被盗，这些成為(wèi)了互联网行业的常见问题。华為(wèi)云结合云技术、AI技术以及大数据等多(duō)项前沿技术，开发出一套 Web应用(yòng)防火墙（WAF），在内部嵌入动态防爬虫算法，可(kě)以有(yǒu)效防止数据泄露，精准识别、防御CC（Challenge Collapsar）攻击以及有(yǒu)效阻止网页被篡改。预计到2020年，云WAF将替代硬件WAF成為(wèi)主流。

梆梆金服CTO刘舒骐向大家详细解读了关于信息安全的一系列文(wén)件（如下图），并给出了自己关于互联网金融行业合规标准下的信息安全建设意见。刘舒骐建议各机构参考《信息安全技术个人信息安全规范》以及《移动金融客户端应用(yòng)软件安全管理(lǐ)规范》，提前进行自我检查，应重点关注个人信息安全，按照要求完成相应的技术调整工作。尤其是关于个人敏感信息、个人金融信息的内容，可(kě)以按照如下关键项进行：对照规范文(wén)件，进行自家app业務(wù)功能(néng)梳理(lǐ)；app安全技术符合性评估；个人信息的识别；发起多(duō)项调研，包括第三方交互情况、安全开发制度现状及管理(lǐ)制度现状。