一个安全的互联网金融系统环境对于互联网公司业务的开展具有十分重要的意义,但由于开发人员大多没有丰富的经验所以搭建的互联网系统平台存在很多漏洞,如XSS、SQL等。因此,在系统开发设计过程中,开发人员可以从以下几方面防止业务设计缺陷的出现。
互联网金融业务要正常开展,就必须有安全稳定的系统平台做保障。因此平台科学合理开发相当的重要。首先,在系统开发前要组建一支具有丰富互联网金融平台开发经验,熟知互联网金融平台在实际运行遇到各种各样的风险,非常了解互联网金融业务流程,具备非常强的安全意识的人才队伍。
一是解决越权漏洞防护。越权漏洞一般包括平行越权和垂直越权。对平行越权漏洞防护中,增加访问与操作对象的用户属性,在对目标对象进行访问与操作时,服务端校验会话与对象的用户属性,在校验通过后才能执行读取和操作。对垂直越权漏洞防护中,所有访问采取默认拒绝机制,采取基于角色访问控制,对于各个功能的访问,规定不同角色拥有不同的访问权限,当用户在使用该功能时,系统要校对用户的权限和访问控制机制是否与规定相同,通过校对者才能使用,否则拒绝使用该功能。
二是解决任意用户密码修改的问题。主要解决用户使用重置密码功能修改密码,在修改的过程中要保证验证码自身安全,限定认定随机验证码的次数,如果认证次数超过了限定时验证码立即失效。也要保证使用短信验证码时验证流程不被绕过,必须经过服务端的会话信息来判断用户是不是经过了短信验证码的校验。还要保证不能换位使用重置密码功能,不能从客户端参数中获取重置密码的目标账号,应从服务端会话层获取。
三是解决恶意注册代码的问题。在注册中一般使用邮箱认证或手机短信认证,因缺陷或被恶意利用,常出现恶意注册代码。在设计平台注册时,对于这两种注册认证方式的认证次数要加以限制,特别注意邮箱认证的不可预测性。要保证注册目标账户是会话层中保存的邮箱或手机。
四是解决恶意短信代码的问题。解决恶意短信类安全问题时,可以从服务端限制每个电话号码每天发送的次数与发送频率,防止攻击者使用短信接口对服务端进行恶意轰炸。只有通过图形验证码认证的情况才能发送短信,有效阻止攻击者通过便利手机号来发送短信。系统内部对发送短信的内容直接定义,通过数字和字符的方式,客户端选择所需要发送的内容,通过数字来索引要发送的内容。
(原标题:如何构建互联网金融信息安全?从以下四方面入手)
