白帽子【聚焦信息安全，白帽子们这样说】

聚焦信息安全，白帽子们这样说

童瀛遇到的最新的网络犯罪方法是利用微信红包赌博，最新的应用是 阿里的花呗，通过大量盗取支付宝用户账户，帮助该账户提升信用，再利用信用 恶意套取现金。

网络犯罪呈现隐密性强、复杂性强、国际化趋势等特点。然而，网络 犯罪的危害性远比一般的犯罪危害程度更大、更广泛。以盗窃为例，一般盗窃案 涉案的金额主要是现金，最多达到几十万、几百万元的水平。而童瀛近期遇到的 2个江苏网络诈骗案的涉案金额则达到1200万和1300万元。

DDoS攻击(分布式拒绝服务攻击)是比较常见的网络犯罪攻击方式。

据统计，大约有50%的在线游戏公司和700A的商业公司遭受过DDoS攻击;政府部 门的情况更为严重，80%都曾遭受过DDoS攻击。

童瀛指出，DDoS攻击一般分为3个阶段。第一阶段是僵尸网络，第二 阶段是反射攻击，第三阶段是智能、物联网设备。1998年，DDoS攻击主要来源 于技术炫耀者;2003年，进入黑吃黑阶段;2008年，DDoS攻击组织开始统一市场， 向上发展，公安部还曾组织专项打击行动;2010年以来，DDoS攻击呈现全面蔓延 的态势。

童瀛总结DDoS攻击的目的主要是行业竞争、敲诈性勒索和恶意报复。

2014年11月，南通市多家网吧遭受DDoS攻击，就是敲诈性勒索。今年3月，苏州 蜗牛公司遭遇的DDoS攻击，则是恶意报复。

童瀛表示，作为黑客有高额金钱回报、网络犯罪成本低的特性，很容 易导致网络犯罪。然而，网络犯罪所需要受到的法律制裁后果也很严重。据了解， 目前，我国法律所界定的网络犯罪主要有3种，包括非法侵入计算机系统罪、破 坏计算机信息系统罪、利用计算机网络实施的犯罪(例如网络传销等)。一般情况下，只要利用网络违法所得的金额在5000元、瘫痪1万名网 络用户1个小时以上的时间、非法控制了20台以上的电脑，公安部门就可以立案。

而按照我国刑法286条第1款的规定，违反国家规定，对计算机信息系统功能进行 删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处 5年以下有期徒刑或者拘役;后果特别严重的，处5年以上有期徒刑。

自从余额宝推出之后，各个“宝宝”都开始涌现，金融行业在互联网上 得到了迅速的发展，开启了互联网金融时代。其中，P2P金融作为把投资者、借 贷者拉在一起的平台和渠道，由于其15%左右的平均投资回报率受众多投资者追 捧。

然而，作为创新的互联网+模式，P2P金融也面临着双重的常见风险，既有 来自互联网的风险，也有来自金融业的风险。“白帽子大会”上，万达电商安全主 任工程师林鹏深度解析了如何保证P2P金融安全。

NSTRT团队收集了在2014年互联网金融行业中的134份安全漏洞报 告，其中来自业务设计缺陷的漏洞占主要比例，达到27%。而P2P的业务流程， 一般包括注册、绑卡、充值、购买理财、回收资金等步骤。

在注册环节，羊毛 党撸羊毛(活跃在各P2P平台上，专门参加注册送积分、返现等优惠活动，以此赚 取小额奖励)是一个普遍存在的现象。有时候，羊毛党还会和银行、平台内外勾 结，圈起大量注册用户绑卡后卷钱跑路。这种现象并不少见。

“目前已经形成了羊毛党团体，内部分工明确。其中，家庭妇女和学 生居多，基本都是兼职。很多人不知道P2P是什么，只是为赚钱照着做。”林鹏说。

林鹏指出，应对羊毛党的方法是要遏制他们的收入途径。在投资方面，从业务角 度防套利，不能让人空手套白狼;利用羊毛党防止被平台反撸的心态，减少羊毛 党收益，提高收益门槛;还有人工识别(客服挂电话)、机器识别、大数据应用等。

在绑卡的环节，容易出现用户套现行为。虽然一般都有实名验证身份 证号、姓名和银行预留姓名的环节，但小的P2P平台通常是借用公安部接口校验 身份证信息，想要骗过这些小平台并不难，因此并没有起到真正实名验证的作用。

林鹏表示，虚对绑卡环节的用户套现，P2P平台要有4要素验证，包括身份证、银 行预留手机、姓名和银行卡号，另外还要有小额打款验证。这些内容应该是所有 涉及到互联网金融的公司需要去做的。

根据调查，参与P2P业务的以男性为主，年龄在20～40岁之间，晚上 18点是用户投资高峰时段，以微信和新浪微博传播方式为主，尤其是微信的比例达到99.4%，股票和基金是这些人最关注的投资品种。林鹏指出，对于P2P平台 来说，符合这些条件的基本上可以认定为合法用户，不符合的怀疑为非法用户。

是否是非法用户也可以通过用户行为判断。一般正常的用户行为包括 一整套业务流程，从注册登录到充值、投资、回款和提现。而异常的用户行为从 注册登录后就一直停滞在编辑资料的环节。

当然，目前P2P平台还无法进行人机识别，判断是不是代理，这些都 是困扰P2P金融安全的问题，有待在将来解决。从0到1打造企业信息安全 在大会 上，去哪儿安全总监郭添森分享了如何从0到1地打造企业信息安全的经验。据悉， 做为同类型网站的去哪儿，其安全在国内能够排到前几名，安全部门在去哪儿内 部也很有话语权。

郭添森将去哪儿的安全工作分成了三个阶段。第一阶段是安 全融入基础IT，第二阶段是融入企业业务，第三阶段是融入企业文化。

在第一 阶段，公司刚刚起步，因此安全主要的工作方向是组建团队，熟悉环境、灭火、 设立技术制度流程和技术标准，最终解决网络层面的问题。

在第二阶段，随着 业务数量逐步升级，安全的工作则放在了完善制度流程和SOX404 PCI DSS标准 等方面。其中，最重要的事情是建立自动化系统，确保安全规划落地执行。主要 解决操作系统、数据库、系统应用、web应用层面的问题。

在第三阶段，到了 公司成立的第四年，安全工作的重点变化，更多地投入在数据安全、业务安全上。

“尤其是数据安全，是行业内的公司都会面临的问题，也是普通消费者会遇到的 问题。”郭添森说。

郭添森还指出，面对业务和安全如何平衡的问题，安全的使 命是消除风险还是控制风险，较好的方式可能是用恰当的手段和投入控制风险。

基础架构运维和安全的关系最紧密，必须与基础架构部门合作共赢，与业务部门 找到切入的合适时机和方式，过早优化和过度优化都不合适。有的时候冲突的解 决要依靠妥协和升级。

作者：刘静 来源：中国电子报 2015年50期