金融安全资讯精选 2018年第二期：正确区分ICO与区块链，加快区块链金融技术化工作，Intel CEO回应“漏洞门”，Gartner视角看安全与风险管理，八招应对短信验证码攻击

概要：CFT50高级学术顾问、全国人大财经委委员、中国互联网金融协会区块链工作组组长、中国银行原行长李礼辉发表主旨演讲时指出，金融不再只是二维的平面世界，而是可以折叠的三维空间。金融制度创新应完善大数据应用的制度环境，建立统一共享的大信用系统，制定常态户数字金融审慎监管制度，最终实现穿透式监管。

他指出：应正确区分ICO与区块链，加快区块链金融技术化工作。ICO涉嫌非法集资，理应禁止；区块链采用共识算法，加密算法和智能合约等全新的底层核心技术，可以用于构建信任链接器。已经开始在系统领域并在参与方场景中表现出突出的技术优势，应加快区块链金融技术标准化工作，研发区块链金融技术国家标准，建立区块链金融技术审核和验证体系。”李礼辉表示。（来源：金融科技研究）

点评：比特币飞涨的价格加速了区块链技术的快速成熟和应用，但在比特币行业区块链并没有为币友带来绝对安全，撞库、盗币、洗钱都在威胁着经营者的生命安全，因为丢币导致的交易所倒闭时有发生。完善安全措施和风控手段已经是各个平台都在考虑的问题了。

【金融行业安全动态】Gartner视角看安全与风险管理

概要：在过去的一年里，Gartner指出在安全与风险管理领域的关键发现： 

1、随着数字化转型的持续升温，错综复杂的生态系统是数字业务不可缺的部分，而与其相关的安全风险将倍受关注。

2、回顾过往一年，全球领先的企业由于遭受恶意的网络攻击造成的损失达到3亿美元。

3、越来越多的安全技术转向了云计算，不管是订阅模式还是按需付费模式，企业将会有更多种方式来评估安全技术，缩短复杂的RFP流程

4、网络安全资格审查在市场整合并购环节中非常重要，但需要对行业、资产价值、监管环境以及交易金额等方面进行综合评判。（来源：互联网安全内参）

【金融行业安全动态】Intel CEO回应“漏洞门”：未发现隐患被用来获取用户数据

概要：英特尔CEO Brian Krzanich在美国时间星期一举行的2018年国际消费电子展(CES)中发表主题演讲，回应近期的“漏洞门”事件。他表示Intel将在本周内发布更新，预计将覆盖过去5年内推出的90%以上的产品，而针对其它产品的更新将在今年一月底前发布。他表示，这些安全更新对性能的影响在很大程度上取决于具体的工作负载。

同时，Krzanich谈到，“到目前为止，我们还没有发现任何利用这些潜在隐患问题来获取用户数据的情况。我们正夜以继日地努力解决这些问题，以确保用户数据的安全。确保最佳做法就是当操作系统提供商和系统制造商发布任何更新，您就立即采纳这些更新。” （来源：Engadget)

【云上视角】阿里云安全专家：八招应对短信验证码攻击

概要：如今，大量的网站、网站、手机app都在使用短信验证码作为验证用户身份的安全技术措施。尤其在年底，企业的促销、抽奖、互动活动会迎来一个高峰期，用到短信验证码的场景非常频繁。但近期，阿里云·云盾WAF团队监测到，不少用户业务的短信验证码功能被攻击，短信接口被恶意利用，导致业务无法正常访问。同时，被刷的短信成本也直接造成一定量的资金损失。

点评：了解了风险之后，企业也不必过度担心，以下“指南”，可帮助了解如何防范短信验证码背后的安全风险。

1.手机号码逻辑检测

在手机号码窗口增加号码有效性检测，防止恶意攻击者使用无效或非法的号码，从而在第一窗口屏蔽非手机号的乱码等无效数字。

2.随机校验

在注册页添加个隐藏的<input>，设置保存在session中的随机验证码，发短信前验证一下，保证发验证码短信请求是在业务页面点击。

3.增加友好的图形验证码

即当用户进行“获取动态短信” 操作前，弹出图片验证码，要求用户输入验证码后，服务器端再发送动态短信到用户手机上，该方法可有效缓解短信轰炸问题。

由于当前验证码在攻防对抗中逐步被成功自动化识别破解，我们在选用安全的图形验证码也需要满足一定的防护要求。

4.同号码短信发送频率限制

采用限制重复发送动态短信的间隔时长， 即当单个用户请求发送一次动态短信之后，服务器端限制只有在一定时长之后（此处一般为60-120秒），才能进行第二次动态短信请求。该功能可进一步保障用户体验，并避免包含手工攻击恶 意发送垃圾验证短信。

5.不同号码请求数量限制

根据业务特点，针对不同手机号码、不同访问源IP访问请求进行频率限制，防止高并发非法请求消耗更多的短信包和服务器性能，提高业务稳定性。

6.场景流程限定

将手机短信验证和用户名密码设置分成两个步骤，用户在填写和校验有效的用户名密码后，下一步才进行手机短信验证，并且需要在获取第一步成功的回执之后才可进行校验。

7.启用https协议

为网站配置证书，启用https加密协议，防止传输明文数据被分析。

8.单IP请求限定

使用了图片验证码后，能防止攻击者有效进行“动态短信”功能的自动化调用。但若攻击者忽略图片验证码验证错误的情况，大量执行请求会给服务器带来额外负担，影响业务使用。建议在服务器端限制单个 IP 在单位时间内的请求次数，一旦用户请求次数(包括失败请求次数)超出设定的阈值，则暂停对该 IP 一段时间的请求。

若情节特别严重，可以将 IP 加入黑名单，禁止该 IP 的访问请求。该措施能限制一个 IP 地址的大量请求，避免攻击者通过同一个 IP 对大量用户进行攻击，增加了攻击难度，保障了业务的正常开展。