本报记者 刘静

7月17日的北京，一大早便乌云压城，正值漏洞平台乌云网（Wooyun.org）举办乌云**届“白帽子大会”。这一次，**黑客大会HITCON也**次走出我国台湾，与乌云网联手，白帽子们揭开了神秘的面纱，分享了信息**领域的攻防*新趋势和业务**经验。

80%政府部门曾遭受DDoS攻击

江苏省公安厅网安总队科长童瀛**次公开分享了很多网络攻击的案件实例。据悉，江苏公安厅的网安曾在信息**方面破获多个网络犯罪案件。

童瀛遇到的*新的网络犯罪方法是利用微信红包**，*新的应用是阿里的花呗，通过大量盗取支付宝用户账户，帮助该账户提升信用，再利用信用恶意套取现金。

网络犯罪呈现隐密性强、复杂性强、国际化趋势等特点。然而，网络犯罪的危害性远比一般的犯罪危害程度更大、更广泛。以盗窃为例，一般盗窃案涉案的金额主要是现金，*多达到几十万、几百万元的水平。而童瀛近期遇到的2个江苏网络诈骗案的涉案金额则达到1200万和1300万元。

DDoS攻击（分布式拒绝服务攻击）是比较常见的网络犯罪攻击方式。据统计，大约有50%的在线游戏公司和70%的商业公司遭受过DDoS攻击；政府部门的情况更为严重，80%都曾遭受过DDoS攻击。

童瀛指出，DDoS攻击一般分为3个阶段。**阶段是僵尸网络，**阶段是反射攻击，第三阶段是智能、物联网设备。1998年，DDoS攻击主要来源于技术炫耀者；2003年，进入黑吃黑阶段；2008年，DDoS攻击组织开始统一市场，向上发展，公安部还曾组织专项打击行动；2010年以来，DDoS攻击呈现**蔓延的态势。

童瀛总结DDoS攻击的目的主要是行业竞争、敲诈性勒索和恶意报复。2014年11月，南通市多家网吧遭受DDoS攻击，就是敲诈性勒索。今年3月，苏州蜗牛公司遭遇的DDoS攻击，则是恶意报复。

童瀛表示，作为黑客有高额**回报、网络犯罪成本低的特性，很容易导致网络犯罪。然而，网络犯罪所需要受到的法律制裁后果也很严重。据了解，目前，我国法律所界定的网络犯罪主要有3种，包括非法侵入计算机系统罪、破坏计算机信息系统罪、利用计算机网络实施的犯罪（例如网络传销等）。

一般情况下，只要利用网络违法所得的金额在5000元、瘫痪1万名网络用户1个小时以上的时间、非法控制了20台以上的电脑，公安部门就可以立案。

而按照我国刑法286条第1款的规定，违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处5年以下有期徒刑或者拘役；后果特别严重的，处5年以上有期徒刑。

因此，童瀛建议，网安人员在网络**的道路上不要走偏，不要陷入犯罪的漩涡；中小企业要健全应急响应机制，尽可能多留存日志，如果遭受攻击，*好的应对方法是报警；涉网单位要尽量提高自身的**；普通网民尽量不要上非法网站，并从官方网站下载相应软件。

如何保证P2P金融**

自从***推出之后，各个“宝宝”都开始涌现，金融行业在互联网上得到了迅速的发展，开启了互联网金融时代。其中，P2P金融作为把投资者、借贷者拉在一起的平台和渠道，由于其15%左右的平均投资回报率受众多投资者追捧。

然而，作为**的互联网+模式，P2P金融也面临着双重的常见风险，既有来自互联网的风险，也有来自金融业的风险。“白帽子大会”上，万达电商**主任工程师林鹏深度解析了如何保证P2P金融**。

NSTRT团队收集了在2014年互联网金融行业中的134份**漏洞报告，其中来自业务设计缺陷的漏洞占主要比例，达到27%。而P2P的业务流程，一般包括注册、绑卡、充值、购买理财、回收资金等步骤。

在注册环节，羊毛党撸羊毛（活跃在各P2P平台上，专门参加注册送积分、返现等优惠活动，以此赚取小额奖励）是一个普遍存在的现象。有时候，羊毛党还会和银行、平台内外勾结，圈起大量注册用户绑卡后卷钱跑路。这种现象并不少见。

“目前已经形成了羊毛党团体，内部分工明确。其中，家庭妇女和学生居多，基本都是兼职。很多人不知道P2P是什么，只是为赚钱照着做。”林鹏说。

林鹏指出，应对羊毛党的方法是要遏制他们的收入途径。在投资方面，从业务角度防套利，不能让人空手套白狼；利用羊毛党防止被平台反撸的心态，减少羊毛党收益，提高收益门槛；还有人工识别（客服挂电话）、机器识别、大数据应用等。

在绑卡的环节，容易出现用户套现行为。虽然一般都有实名验证身份证号、姓名和银行预留姓名的环节，但小的P2P平台通常是借用公安部接口校验身份证信息，想要骗过这些小平台并不难，因此并没有起到真正实名验证的作用。

林鹏表示，应对绑卡环节的用户套现，P2P平台要有4要素验证，包括身份证、银行预留手机、姓名和***号，另外还要有小额打款验证。这些内容应该是所有涉及到互联网金融的公司需要去做的。

根据调查，参与P2P业务的以男性为主，年龄在20~40岁之间，晚上18点是用户投资高峰时段，以微信和新浪微博传播方式为主，尤其是微信的比例达到99.4%，股票和基金是这些人*关注的投资品种。林鹏指出，对于P2P平台来说，符合这些条件的基本上可以认定为合法用户，不符合的怀疑为非法用户。

是否是非法用户也可以通过用户行为判断。一般正常的用户行为包括一整套业务流程，从注册登录到充值、投资、回款和提现。而异常的用户行为从注册登录后就一直停滞在编辑资料的环节。

当然，目前P2P平台还无法进行人机识别，判断是不是代理，这些都是困扰P2P金融**的问题，有待在将来解决。

从0到1打造企业信息**

在大会上，去哪儿**总监郭添森分享了如何从0到1地打造企业信息**的经验。据悉，做为同类型网站的去哪儿，其**在国内能够排到前几名，**部门在去哪儿内部也很有话语权。

郭添森将去哪儿的**工作分成了三个阶段。**阶段是**融入基础IT，**阶段是融入企业业务，第三阶段是融入企业文化。

在**阶段，公司刚刚起步，因此**主要的工作方向是组建团队，熟悉环境、灭火、设立技术制度流程和技术标准，*终解决网络层面的问题。

在**阶段，随着业务数量逐步升级，**的工作则放在了完善制度流程和SOX404 PCI DSS标准等方面。其中，*重要的事情是建立自动化系统，确保**规划落地执行。主要解决操作系统、数据库、系统应用、web应用层面的问题。

在第三阶段，到了公司成立的第四年，**工作的重点变化，更多地投入在数据**、业务**上。“尤其是数据**，是行业内的公司都会面临的问题，也是普通消费者会遇到的问题。”郭添森说。

郭添森还指出，面对业务和**如何平衡的问题，**的使命是消除风险还是控制风险，较好的方式可能是用恰当的手段和投入控制风险。基础架构运维和**的关系*紧密，必须与基础架构部门合作共赢，与业务部门找到切入的合适时机和方式，过早优化和过度优化都不合适。有的时候冲突的解决要依靠妥协和升级。