面對理財資金安全,在技術上需要做什麼?
曾負責阿里巴巴網商銀行開發數據治理相關項目,對互聯網金融平台的搭建、後台支付系統等有豐富的經驗。負責過多家銀行信貸系統開發並參與核心系統業務開發,具備多年的團隊管理經驗,擁有紮實的技術能力和整體系統架構建設的實踐經驗。
互聯網金融產品最重要的就是資金安全,這也始終是投資者最關心的話題。人們非常關注金融層面的安全性,而往往卻忽視了技術安全問題。 我們曾經從新聞報道中看到過一些網站後台被黑客攻破而導致信息泄露的消息,也會有人因為信息泄露而導致了更嚴重的財產損失。 如果理財平台出現了系統安全問題,甚至是慘遭破解盜取,後果將極其嚴重。但是用戶更多關注平台會不會捲款跑路。投資人關注這個沒有錯,但很多人在投資的時候可能並沒有想過,那些蜂擁而起的一夜之間就誕生的理財平台,這些網站和App在技術層面足夠安全嗎?
▼
胖貓寶從建設初期就非常重視平台的安全性,在信息系統安全建設上投入了大量的資源,來保障系統的安全、用戶的數據安全、隱私安全等。在系統架構設計階段就確立了以下原則:
1、數據分離:採取數據,程序分離方式,分離數據和邏輯。以避免伺服器漏洞等安全隱患帶來的損失。
2、數據加密:項目之間採用非對稱加密方式,對所有傳輸數據進行加密,防範機房內部數據截取。
3、訪問控制:在程序部分做好訪問許可權控制,避免非法伺服器及人員進行訪問。
4、防篡改機制:數據設計階段,加入防篡改機制,放置伺服器管理員等進行非法數據篡改等內部管理隱患。
5、數據追蹤:採用數據追加機制,不進行物理刪除模式,可以進行每個記錄的追蹤,還原歷史過程。
6、運營審計:對系統操作人員進行控制追蹤,控制運營過程中的各種錯誤操作和非法操作。
▼
我們在使用胖貓寶時,會接觸到三個跟安全相關的業務功能,包括實名認證,單卡綁定和交易密碼。
實名認證:保障用戶的可識別性。
單卡綁定:配合單卡綁定功能用戶只能綁定此實名信息的卡,這樣就保證了用戶資金只能在自己的賬戶上流轉。
交易密碼:最後用戶的所有資金操作都要輸入交易密碼,這樣保障了用戶資金操作的安全性。
以上操作是我們在使用中可以直觀感受到的,還有我們沒有直接接觸但是確確實實在保障我們的安全的其他技術手段,以下就為大家介紹三種胖貓寶在使用的。
通過https保證交互的私密性,防範網站被釣魚攻擊
我們在胖貓寶上操作的時,用戶使用胖貓寶就好像在銀行的櫃檯上做業務一樣,用戶提出業務需求胖貓寶伺服器接收需求並處理,這就好像兩個人談話一個人說另一個人做。用戶肯定不想自己私密信息在「談話」的過程中被別人「竊聽」到了,所以在消息的傳輸上我們使用了https安全傳輸協議。https協議主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性,凡是使用了https的網站,都可以通過點擊瀏覽器地址欄的鎖頭標誌來查看網站認證之後的真實信息,也可以通過CA機構頒發的安全簽章來查詢。所以通過https不但保證了用戶和胖貓寶之間交互的私密性,同時還能防網站被釣魚攻擊。
▼
密碼等敏感信息由不可以逆的演算法加密存儲
大家的信息在胖貓寶上存儲的時,用戶把密碼等信息錄入胖貓寶,這些敏感信息數據是以一種不可以逆的演算法(例:SHA-256)加密保存入數據內的。所謂的不可逆是指加過密的數據是不能再被解開了,也就是說別人就算拿到了這些加過密的數據他也無法逆向解開獲取用戶信息。同時我們也會在加密過程中對用戶信息加一些「鹽」。通俗的講就是放入干擾因素,防止暴力試庫。同時我們採用了同樣的手段為用戶資金做好了防篡改的簽名,密碼上更是採用了演算法疊加。
區塊鏈等新安全技術應用
我們使用的安全技術不止於以上手段。隨著時代進步,安全攻防技術也在不斷的演化。目前胖貓寶正在研究區塊鏈技術,區塊鏈是分散式數據存儲、點對點傳輸、共識機制、加密演算法等計算機技術的新型應用模式。這也是比特幣的底層根基技術,通俗來講,一旦信息經過驗證並添加至區塊鏈,就會永久的存儲起來,除非能夠同時控制住互聯網系統中超過51%的節點,否則單個節點上對資料庫的修改是無效的,因此區塊鏈的數據穩定性和可靠性極高。我們一定會不斷完善胖貓寶的「銅牆鐵壁」,為用戶的資金安全保駕護航。
作者:胖貓寶技術總監Sidney
圖片丨來源於網路
校對丨小紮實
責任編輯丨鍋包肉
推薦閱讀:
※Technical Writer 日常工作中好用的小工具
※Adobe常見安裝錯誤及解決方法
※用新技術解決老問題
※賽文奧特曼有什麼拳腳技術?
※皮爾森釀造,天地、地利、人和