世界商业报道 > 商业研究 > 商业趋势  
 
中国商讯 国际商讯 商业内幕 消费真相 公司经营 公司消息 城市话题 商业评论 风险投资 商务政策 中外富豪 焦点人物 名人语录
 
外汇 广告 婚庆 电脑 外贸 域名 投资
设为首页 加入收藏
原形金融黄荣存:携程宕机支付宝故障,为互联网金融信息安全敲响警钟
2015-06-05 09:34 来源:世界商业报道  作者:张默
摘要:2015年5月27日下午5点半左右,很多用户发现自己的支付宝无法登陆,故障一直持续到晚上7点20分,引发各种恐慌和猜测。支付宝官方回应称:“由于杭州市萧山区某地光纤被挖断,造成目前少部分用户无法使用支付宝”。就在大家松一口气的时候,28日上午又有用户发现携程的网站和APP出了问题。

  【世界商业报道-讯】2015年5月27日下午5点半左右,很多用户发现自己的支付宝无法登陆,故障一直持续到晚上7点20分,引发各种恐慌和猜测。支付宝官方回应称:“由于杭州市萧山区某地光纤被挖断,造成目前少部分用户无法使用支付宝”。就在大家松一口气的时候,28日上午又有用户发现携程的网站和APP出了问题。一开始携程方面称:“因携程部分服务器遭到不明攻击,导致官方网站及APP暂时无法正常使用”,事后又称“此次事件是由于员工错误操作导致”。

  随着这几年互联网、移动互联网的发展,我们每个人都实实在在的感受到了互联网服务的方便快捷,但是这两天,支付宝故障和携程宕机,这两件事告诉我们,在方便的背后隐藏着巨大的信息安全风险。但这还不是最糟糕的,在互联网消费金融市场快速发展的今天,由于内外部威胁严重、系统漏洞繁多、风险控制能力差,网络罪犯在获取用户信息后,片刻之间卷走用户的资金也是易如反掌的事。

  据业内人士称,新兴的消费性互联网金融网站将会成为网络罪犯眼中的香饽饽。高智商的网络罪犯通过网络盗取用户的账户信息,并将这些信息用于盗取存款,申请信用卡,或者进行其它形式的犯罪。一个惊人的事实是,地下论坛上售卖的几个数据库已经囊括了超过1亿人的借贷信息,包含了姓名、住址、身份证号、银行卡号、借贷金额、手机号码、亲属关系等大量隐私信息。

  记者虽然对互联网消费金融有所研究,但是和很多朋友一样,仅仅是对漏洞、病毒、木马等等词语耳熟能详,却并非业内信息安全专业人士,对此也只能表示外行看看热闹。为了提升大家在互联网时代的信息安全风险防范意识,记者采访了原形金融的信息安全总监黄荣存,从专业人员的角度了解一下互联网行业信息安全的现状。

  


  互联网公司,没有信息安全谈何商业模式

  “是为了携程的事来的吧?他们出现这个事,不是完全偶然的,是玩火玩大了。”记者有点意外,一见面,戴着无框眼镜,形象内敛的黄荣存先生就如此的直言不讳,“携程这个事故的根源,还是在携程内部。最根本的,是携程对待用户信息的极端错误态度,对用户隐私和信息的安全缺乏最起码的尊重。2014年3月,携程被曝出存储用户的信用卡CVV码,也就是信用卡背面的后3位数字,这是严重的信息安全违规事件。”对有着近十年先后服务于华为、沃尔玛等知名企业担任信息安全核心管理岗位经历的黄荣存来说,携程此次的信息安全事故,用一句话来说,就是“出来混,总是要还的”。在2014年携程存储CVV码丑闻发生之初就有人评论道:“存储了用户信用卡的CVV码,还泄露了,前一个是企业的基本道德问题,后一个是安全问题”,我们很遗憾的看到,一年多过去了,携程并没有深刻的吸取教训,看样子还在坚持走侥幸和冒险的路线。

  “在互联网扩张风潮之下,每一家互联网公司都在大谈商业模式,把业务放在首位。重视业务当然没错,但如果因此而忽略控制信息安全风险,无论对于公众还是互联网公司都是非常危险的,也是对用户、对投资者的极端不负责任。越大的互联网公司越应该注重信息安全,因为影响面太广,一旦发生信息安全事故,影响的不仅仅是公司的业务,更严重的是会影响到广大用户的数据、隐私、财产甚至是人身安全,很可能成为公共安全事件。2013年年10月发生的如家、汉庭、七天等大批酒店开房信息泄露事故,就给很多人的现实生活带来了无尽的烦恼。”

  对于目前国内互联网行业的信息安全现状,黄荣存有着自己深刻的了解。据介绍,事实上目前国内的信息安全技术随处可见,只要是需要用户登录的网站或者应用软件,必然与信息安全系统相关。这么多年下来,国内信息安全水平是一直稳步上升的,特别是业务开展和信息安全直接相关的大型互联网公司,比如BAT(百度、阿里、腾讯)等等。当然,涉及到金融、消费相关的行业网站,则对信息安全这块更为看重。虽然互联网消费金融行业到现在发展的时间不长,但是整体上还是达到了较高的信息安全水平,在信息安全的重视程度上也是有一定高度的。就国内来说,除了BAT和银行系统之外,互联网消费金融行业也是信息安全技术大牛的集中地,这对所有用户来说,算是一个好消息。

  技术是基础,规范的信息安全体系建设才是王道

  关于信息安全方面的技术,在记者的采访过程中,黄荣存并不愿谈及太多专业的术语,他认为专业的事情应该交由专业的人来做,而不是将这些艰深晦涩的知识强加给用户。关于互联网行业消费金融的信息安全,有时候技术也只是基础的,“就像一支军队,士兵的军事素质是基础,但是决胜的关键,还是在于军事部署。”

  


  事实上,企业与网络不法分子的这场较量,越来越像是一场战争。“凡战者,以正合,以奇胜,全面的体系建设是取胜的基础,没有正面规范的信息安全体系建设,反而想靠灵机一动的小聪明,是行不通的。”在携程这次的信息安全事故中,有一个小插曲,传言携程“老总说了,现在解决的,给一百万。”

  “我都能感觉到携程老总当时慌乱无助的心情”,黄荣存说,“既然携程在美国纳斯达克上市了,我建议他们的高级管理层还是加强学习一下萨班斯法案(注),毕竟世俗的法律制裁来的更快一些。”

  个人军事素质再强的士兵,也打不赢一场战争。现在企业的信息安全建设已经不是靠孤胆英雄单打独斗的时代了,业界有完善的理论体系,成熟的最佳实践,全面的解决方案来保障企业信息的保密性、完整性和可用性。但是这一切的前提,是企业高级管理层对信息安全的重要性要有正确的认识,由于信息安全和业务一般不会有直接的相关性,往往导致口号喊得响,行动不落实。这就需要企业管理层从上到下实实在在的推动信息安全建设,从预算到人员,都必须提升到一定的高度。“兵者,国之大事,死生之地,存亡之道,不可不察也。”

  信息安全建设专人专岗,分纬度分层次展开

  在记者采访过程中,发现黄荣存习惯将保障互联网信息安全描述为一场看不见硝烟的战争,战争的特点是对抗性和全面性,需要职业化的军队参与。一个人即便能力再强,可以独当一面,万夫莫开,那他也只能独当一面,而信息安全体系建设的第一个目标是全面纵深的防御,“大坝上只要开一个口子就够了”,不能建成全面的信息安全防御体系,信息资产还是会像水一样流走。据黄荣存介绍,为了满足企业对信息安全人才提出的专门化的需求,早在十几年前,很多高校比如四川大学、武汉大学就开设了专门的信息安全专业,要求培养具有全面信息安全专业知识的专业人才,在满足市场需求的同时,进一步为保障国家基础信息设施的安全储备战略性人才。现在很多大的企业,都设立有专门的信息安全部门,首席安全官(CSO)和首席信息安全官(CISO)也进入了很多企业的董事会,这体现了业务和信息安全威胁正在成为危及企业根本发展的因素,也体现了一些有远见的大型公司先进的经营风险控制意识。

  商场如战场,战场上军队的调度从来都是有战术、有计划的,并不是冲锋号一响,战士们往前冲就行了。由于对抗双方不断的博弈,战争也越来越专业化,从后勤到前线,从水下到太空,是一场系统的、多兵种、多职能单位参与的一场综合性活动。信息安全也是这样,内外部的威胁越来越复杂和专业,现在已经出现了针对特定企业长期的渗透、潜伏和攻击这样的案例(APT攻击),为了打赢这场战争,企业的信息安全工作必须部署到和信息相关的方方面面,从垃圾桶里的文件到应用的代码,从专业的信息安全设备到信息安全流程控制,都需要专职的部门和专业的人员,在信息安全最佳实践的指导下系统的开展工作。

  “既然有了这些理论和认识,那么信息安全事件层出不穷的根源又在哪里呢?”记者问道,“回答你这个问题之前,我想先问两个类似的问题,第一个问题,我们的报纸每天都出新版的根源是什么?第二个问题,软件开发不断增加新功能的根源是什么?”记者陷入了沉思……

  “在你回答之前,我先替你回答这两个问题,第一个问题,社会上每天都发生新的事件,读者有了解这些事件的需求,所以你们每天都出报纸;第二个问题,软件用户的业务不断的发展变化,用户需要软件支持变化后的业务,所以软件开发者每天都在实现新的功能需求。”喝了口水,黄荣存停顿了一会说,“信息安全事件层出不穷的根源是显而易见的,企业面临的信息安全威胁和自身存在的信息安全漏洞是动态变化的,内部和外部的恶意攻击者掌握的技巧一直在变化,企业IT应用在实现新功能的过程中又难以避免的不断的引入新的漏洞,如果企业没有真正重视信息安全,没有建立专门的组织去持续有效的部署控制措施以消除漏洞,抵御威胁的话,信息安全事件当然会层出不穷。”

  听到这里,记者笑了。“当然,无论部署多少安全措施,都不能做到万无一失,信息安全风险的控制是一个动态的过程,任何一个企业都需要评估存在的风险、潜在的损失和信息安全投资的回报率,选择一个合适的平衡点。如果投入1000万可以避免100万的潜在损失的话,那就是过度投资了。如何评估风险、损失和投资之间的平衡点,业界有成熟的指导方案,我们就不展开了。要重申的是,没有一劳永逸一招制胜的解决方案,信息安全的问题,需要专门的信息安全部门持续的同步跟进,以尽量先敌一步发现问题,第一时间解决问题,把风险控制在可接受的范围之内。同时,信息安全部门也要向企业高级管理层如实的反映问题,信息安全永远没有百分之一百的安全,就如逆水行舟,不进则退,如果哪个人或者哪家公司承诺可以提供百分之百安全的解决方案,那只能说明他步子迈的太大了。”

  记者继续问道,“就像你说的,安全威胁和漏洞一直都有,蚊子也一直都在,那为什么早些年的信息安全事件没有这么多呢?”

  “早些年企业有价值的业务还没有大规模的部署到互联网上,地下黑色产业链没有足够的利益维持一定规模的生态圈,随着互联网金融消费类网站的上线,网络犯罪分子能窃取的利益越来越多了,造成的社会反响也就越来越大。冬天没有蚊子,互联网也是这样的。”

  记者:“你说的有道理……,那么一个企业应该怎样采用哪些具体步骤以有效的保护我们用户的信息呢?或者说原形金融是怎么做的呢?”

  网络环境日趋复杂,用户的信息安全如何保障?

  互联网信息技术的发展,给广大用户带来了越来越便捷的生活服务体验,但同时也是一把双刃剑,给用户的隐私和信息安全带来一定的隐患。技术越来越强大的同时,也意味着网络犯罪分子同样掌握了更致命的武器。在网络环境日趋复杂的今天,那些和用户切身利益密切相关的互联网企业,特别是互联网金融消费类企业,应如何保障用户的信息和资金安全呢?

  结合这些年的工作经历和在原形金融的实践,黄荣存先生向我们介绍了正确开展信息安全工作的一般做法。

  首先,企业要尊重用户,敬畏自己所承担的责任,认识到用户的信任和支持是企业发展的动力之源,不要以用户信息的风险换取企业短期的利益,必须建立规范、专业的信息安全组织,稳扎稳打,步步为营,以保障用户的信息安全为开展业务的前提。

  其次,作为信息安全部门,负有贯彻企业信息安全方针的责任,则要结合各业务部门的实际,制订发布完善的信息安全政策、标准和流程,并督促各项措施的落地。

  特别是信息安全组织应和IT部门一起,结合企业的信息资产清单,安全边界情况,潜在的威胁分布等等,安排专项的预算,部署专业的信息安全设备,有机的整合各种安全解决方案,以支撑企业的信息安全政策和措施,从而无缝的覆盖企业的IT应用。

  同时信息安全和IT部门还要协调企业各种资源,建立快速完善的安全事故响应机制并定期演练,以便在万一的情况下尽快恢复业务,保障业务连续性,尽量减少可能的损失。这次支付宝杭州机房的光纤被挖断后可以在不到两个小时内把业务和数据切换到其他城市的数据中心,成功的恢复业务,也从一个侧面体现了支付宝有比较完善的灾备能力。有评论说支付宝的这次表现,是一次说不上完美,但很成功的真实灾难切换,也是中国金融史上第一次在完全突发情形下,成功完成切换的真实案例。

  再次,对企业的业务部门和其他职能部门,公司应明确指定其负责人为本部门信息安全的第一责任人,和业绩考核密切结合,以在机制上调动部门开展信息安全工作的积极性,杜绝冒险行为和侥幸心理。同时信息安全和IT部门应根据各部门的业务实际,制定出合适的流程,部署相应的系统,以把部门的整个业务流程置于公司信息安全系统的保护之下。

  需要指出的是,术业有专攻,市场上有大量经过竞争考验的信息安全公司,提供各个维度和层面的安全解决方案,企业要积极合理的利用这些已有资源,不要重新发明轮子。信息安全行业的蓬勃发展也已经从一个方面证明了这种选择是有效的。企业应积极寻求和保持与尖端信息安全技术企业以及行业专家的交流与对话,努力走在信息安全发展的前沿。原形金融今年5月初就与来自以色列的信息安全专家,BitMint公司的CEO,Amnon Samid先生在信息安全的理念和技术上进行了深入探讨,以便更好的与国际信息安全水平接轨。

  后记

  在采访的最后,黄荣存也向记者总结道:“只要认识到位,信息安全工作也没有特别困难的地方,其他事能做好,信息安全就能做好,关键是有端正的态度。多投入就有可能多产出,没投入就没产出,一分耕耘一分收获,不是我们每个人的共识吗?企业信息安全不需要英雄,需要的是公司上上下下同心同德,规范有序的做好每一件小事。”

  “另外,做个广告,欢迎来我们原形金融网站注册体验一下,我们98.8%的保障你的信息安全。同时,如果企业有信息安全保障方面需求的话,我们原形集团的子公司,原形互联网信息安全技术有限公司也很乐意向行业伙伴提供优质优价的服务。”

  注:

  萨班斯法案

  《萨班斯-奥克斯利法案》(英语:Sarbanes-Oxley Act),是美国国会根据安然有限公司及世界通讯公司等财务欺诈事件破产暴露出来的公司和证券监管问题所立的监管法规,简称《SOX法案》,该法案的主要内容之一就是明确界定公司管理阶层的责任(如对公司内部控制进行评估等)、尤其是对股东所承担的受托责任,同时,加大对公司管理阶层及白领犯罪的刑事责任。该法案对企业IT系统和信息安全提出了明确的要求。

  原形互联网金融服务有限公司

  原形( www.YuanCredit.com)是由深圳市原形互联网金融服务有限公司发起成立的涵盖金融、支付、消费以及征信等服务的综合性互联网服务平台。

  原形金融诞生于中国互联网金融风起云涌的大潮中,整合了一支来自国内外的银行、小贷、证券、第三方支付以及知名互联网公司的跨行业精英人士组成的世界级的管理团队。原形抱着对传统金融和互联网的一片敬畏之心,始终将业务风控安全与用户信息安全置于最高的战略层级,始终坚持“体验就是最好的推广”的产品理念,力争打造一个管理最严谨、用户体验最佳、提供多元化服务的高流量综合性互联网金融服务平台。

  原形秉承“让一切回归本质”的理念,致力于通过互联网和大数据技术最大化交易双方的信息对称,期望交易回归诚信,期望金融回归服务实体经济的本质。【世界商业报道-biz.icxo.com】

关键词:            
  评论 文章“原形金融黄荣存:携程宕机支付宝故障,为互联网金融信息安全敲响警钟”
1、凡本网注明“世界经理人”或者“世界商业报道”的作品,未经本网授权不得转载,经本网授权的媒体、网站,在使用时须注明稿件来源:“世界经理人”或者“世界商业报道”,违反者本网将依法追究责任。
2、凡注明“来源:xxx(非本站)”作品,不代表本网观点,文章版权属于原始出处单位及原作者所有,本网不承担此稿侵权责任。
3、欢迎各类型媒体积极与本站联络,互相签订转载协议。
4、如著作人对本网刊载内容、版权有异议,请于该作品发表30日内联系本网,否则视为自动放弃相关权利。
5、联系我们:contact@icxo.com;投稿邮箱:article@icxo.com,欢迎赐稿。
相关阅读
 手机广告前景诱人 大型企业竞相投资
 别了,廉价面包:全球食品进入涨价潮
 2008年,中央财政“助推”节能减排
 2008年,十大成长行业前景预测
 婚礼世界趋势 将奢华进行到底
 出版界共识:08年书价肯定涨,只是多少问题
 当中国深陷全球衰退"围剿"之时
 08年消费需求热点分析:车市 旅游 餐饮
 2008年八大最具潜力产业
 义务教育新政策 带动出版界连锁反应
 2008中国西部:重点发展六大产业
 “鼠年”金条热销 “牛年”金市已订
邮件订阅: