如何看待互聯網時代的網絡金融安全?
原創近兩年來,網絡與信息安全領域大的背景,猶如一個萬花筒,復雜多變,令人眼花繚亂,很難用一句話來概括,尤其是隨著大數據時代的到來,數據安全更是受到前所未有的重視。
而互聯網金融也席卷中國熱潮,從之前的網上購物到現在手機支付、微信支付、滴滴打車等,越來越方便了我們的生活,為更多的人所接受,為我們帶來無限商機的同時,也要考慮到金融風險的防范。
那么在互聯網時代的今天,金融安全的現狀如何呢?我們應該怎樣看待金融安全呢?今天,51cto記者采訪了國家信息技術安全研究院副處長曹宇,讓我們來聽聽曹老師對當前網絡金融安全如何看!
金融安全現狀
一、是從銀行機構抽查情況來看,安全性同比其他行業較好。
- 認證體系基本完善,技術應用世界領先(電子銀行的安全一直是技術在引領,中國硬件身份認證技術走在世界的前列,網上銀行基本實現了雙因子證書認證);
- 系統防護體系趨于成熟,防護能力較高;
- 風險控制體系逐漸形成,安全防護緯度多;
- 政策監管在加強,管理層安全意識強。
二、是從高強度滲透測試來看,金融系統應對大規模網絡攻擊任然存在風險。
- 遠程監測20%金融機構官方網站存在高危漏洞。
- 邏輯錯誤、權限繞過、信息泄漏等業務系統高危漏洞時有發生。
- 移動互聯網、互聯網金融迅速發展,安全問題變得無處不在。
三、是從國家的戰略層面來看,網絡安全挑戰依然嚴峻。
- 國產率較低,自主可控壓力較大;
- 系統復雜、防護滯后、安全動態變化、科技風險集中;
- 黑色產業趨利化、集團化、跨境化(如一次跨境網絡釣魚攻擊,黑客從騙取用戶的信息到國外的ATM取現只需要2小時,而立案最快得6小時);
- 相關法律法規、信用體系仍待完善。
曹老師認為,網絡金融在給消費者帶來便利體驗的同時,其安全性問題也日益顯現。網絡金融安全問題的發生,通常是跨平臺、跨地域、覆蓋存、貸、流通的各個層面,對金融機構、電商、安全企業都構成挑戰,單獨從一個環節去入手,往往困難重重。只有通過網絡金融產業鏈的合作,打造由政府、銀行、商家、安全服務商等全面協同參與的網絡金融保護鏈條,提供系統性的安全解決方案,才能切實保護消費者利益。
- 從網絡威脅的角度來看:網絡金融系統復雜,漏洞隨時可能出現;與此同時網絡環境日益惡化,大規模攻擊時有發生;現有的安全防護體系難以防范大規模高強度滲透攻擊
- 從技術發展來看:云計算、大數據、移動互聯網的等新技術、新應用的快速應用給網絡金融帶來較大沖擊
- 從人才隊伍建設來看:網絡金融安全的范疇在延伸,網絡安全工作人員比例不足,特別是網絡攻防分析隊伍人員緊缺
- 從安全可控角度來看:關鍵技術產品過度依賴少數廠商,安全可控能力不強;云計算以及互聯網金融的規模化發展,整體架構的遷移有望自主可控獲得突破性進展。
金融系統的APT攻防之道
金融系統的APT攻防之道,從技術防控和業務防控兩方面淺談攻防演進的趨勢。新一代的防御體系,至少具備四個能力。
- 應該具有智能的威脅感知能力,
- 需要加強知彼的能力,
- 應該具有高強度攻擊抵御能力、快速應急響應能力,
- 是大數據分析能力,
從業務防控的演進來看,2006年到2014年的電子銀行認證體系的發展,就是不斷的加鎖的過程。
曹老師表示,總體來看,國產信息科技產業鏈發展仍不平衡,特別是在一些關鍵技術領域,國外產品仍處在領先地位。銀行業在核心技術領域仍存在對于國外信息技術產品的依賴,銀行業全面提高信息系統自主可控能力仍是一項長期、復雜、艱巨的工作,需要在國家、行業、銀行自身等多個層面持續完善、相互促進。
