酷应用

盘点|2018年金融安全大事记

百家作者：绿盟科技 2019-01-21 13:10:26

年度盘点

光阴似箭，时光如梭。2018年已渐行渐远，回顾金融行业过去这一年：一方面，银保监会亮相、网联平台上线、现金贷整治、互联网金融爆雷、比特币崩盘、中美贸易战……一系列热点事件引起了整个行业极大震动；另一方面，金融行业继续加大信息科技方面的投入，在人工智能、大数据、云计算和区块链等技术领域加快落地实际应用，真正实现科技创新引领业务发展。而网络勒索、DDoS攻击、信息泄露等安全事件愈演愈烈，整个行业安全形势不容乐观。

本文结合2018年热点事件和安全态势，从以下8个方面总结金融行业面临的行业现状、监管要求、安全风险等，也给金融行业的2019年信息安全建设给出可落地的参考建议。

一、监管要求需落地

关键词：一委一行两会、等保2.0、网络安全法

刚刚过去的2018年延续了2017年“强监管”的势头，“一委一行两会”成为金融监管新格局，并出台了诸多监管政策，共计开出“罚单”三千多张，仅2018年12月初，银保监会一次公布10张共计上亿元的罚单，让我们不禁感叹金融监管没有最严，只有更严。

事件回顾：

① 2018年3月13日，《国务院机构改革方案》公布，组建中国银行保险监督管理委员会。我国的金融监管体系“一委一行两会”监管新框架确立。

② 2018年6月27日，公安部发布《网络安全等级保护条例（征求意见稿）》，正式宣告等保进入2.0时代。

③ 2018年12月31日，《中华人民共和国网络安全法》颁布实施已一年半，相关执法案件频现报端，各执法机关强化日常监管巡查，处罚力度也日渐加强。

安全建议：

在新的金融监管体系下，防范化解重大风险是目前的首要任务，金融机构需要明确自身的责任和风险，严格依据相关监管要求进行落地实施，有效地提高金融行业整体的风险管控水平，打好防范化解金融风险攻坚战。

二、信息泄露是难题

关键词：数据泄露、信息滥用、黑市贩卖

近几年，信息泄露的问题日益突出，影响数百万甚至数亿用户的事件屡见不鲜，企业数据的安全和保护面临严峻考验，监管机构对企业提出更高的信息安全管理要求，信息泄露事关个人隐私，甚至关乎企业生死存亡。

事件回顾：

① 2018年3月发生的Facebook事件,超过8700万条数据被泄露和滥用。

② 2018年5月，加拿大两家银行遭黑客攻击 9 万名客户信息被盗。

③ 2018年11月，万豪酒店旗下酒店被黑客入侵，多达5亿客户信息遭泄露。

安全建议：

2018年国内发布了《信息安全技术个人信息安全规范》，欧盟发布“史上最严”的《通用数据保护条例》，还有一系列针对信息保护的规范和标准。金融机构一方面需按照监管要求做好数据治理工作，另一方面可结合行业内的最佳实践，如数据防泄漏、数据脱敏、加密机等，借助数据安全防护产品来解决自身数据安全治理中遇到的问题。

三、安全竞赛成热点

关键词：安全技能、攻防比赛、红蓝对抗

2018年可谓是金融行业的“竞赛年”，全国各地金融机构以及监管单位举办的信息安全相关比赛遍地开花，从区域到全省乃至全国金融业网络安全攻防比赛接连举办，以赛促学，有效提高金融行业从业人员网络安全技术水平，提升对抗网络威胁的能力。

事件回顾：

① 2018年8月23日,中国人民银行以及公安部、银保监会、证监会有关部门联合主办的金融业网络安全攻防比赛在京圆满落幕。

② 2018年9月15日，国家网络安全宣传周官方赛事—“巅峰极客”网络安全技能挑战赛暨自主可控安全共测大赛决赛在成都举办。

③ 2018年绿盟科技支撑了包含中国人民银行科技司主办的全国金融业网络安全攻防比赛在内的覆盖全国大多数地区金融监管机构攻防竞赛近十五场。

安全建议：

为有效应对网络安全威胁，保障信息系统安全稳定运行，众多金融机构应在不断加强信息安全管理和防御技术领域的投入的同时，通过安全培训、知识竞赛、攻防比赛、红蓝对抗等多种形式来有效提高人员安全知识技能水平，提升网络对抗的实战能力。

四、安全能力待升级

关键词：勒索软件、钓鱼邮件、DDoS攻击

2018年勒索软件、钓鱼邮件、DDoS攻击仍然是黑客攻击的主力，无数的勒索软件变种威胁企业信息安全，越来越多的网络钓鱼诈骗让企业防不胜防，DDoS攻击无论从攻击数量还是攻击峰值都再创新高。

事件回顾：

① 2018年，勒索病毒GlobeImposter众多变种开始在国内进行传播，各个变种加密文件后修改的文件后缀名也各不相同，其主要是通过钓鱼邮件进行传播。

② 2018年发生多起非常有针对性的邮件钓鱼攻击事件，邮件系统已成为安全短板。

③ 2018年12月，有疑似“Anonymous”黑客组织账号在推特上发动代号为OpIcarus的攻击行动，并称已攻陷部分国外银行。在其发布的攻击目标清单中，包含部分国内银行网站。

安全建议：

从勒索软件、钓鱼邮件到DDoS攻击，金融机构应结合满足监管合规要求和业务安全发展两方面进行综合考虑，建立覆盖全面的态势感知系统，监测预警分析安全事件，具备完备应急处置预案。

五、开发安全早考虑

关键词：安全开发生命周期（SDL）、开源安全

近年来，敏捷开发、快速迭代提高了企业信息系统业务需求的响应速度，但安全问题的接连爆发又让企业猝不及防，漏洞修复往往事倍功半。因此，部分金融机构开始尝试建立覆盖信息系统全生命周期的安全管理体系，全面提高系统安全性。

事件回顾：

① 2018年4月“平安金融安全研究院”和“绿盟科技”发布了《2017金融科技安全分析报告》显示，仅有32.9%的受访金融机构采用了安全开发生命周期管理。

② 据Gartner调查显示，99%的组织在其IT系统中使用了开源软件，同时开源软件在服务器操作系统、云计算领域、Web 领域都有比较广泛的应用。

③ 根据安全公司 Snyk 发布的开源软件安全现状报告，开源软件漏洞数量逐年攀升，而漏洞被修复最长时间为94天，平均时间为16天。

安全建议：

金融机构在信息系统应用开发管理过程中，应改变以往“先上线、再加固”的传统安全建设方式，采用国际先进的软件开发生命周期安全模式，进行整体安全规划与设计，实现安全的全生命周期管理。

六、漏洞管理要闭环

关键词：威胁情报、漏洞发现、漏洞修复

漏洞层出不穷，传播速度急速加快，漏洞利用产业化，而企业内部信息资产日益繁杂，漏洞事件响应缓慢，管理流程缺乏体系，漏洞修复困难重重，促使企业需要寻求一种合理有效且符合自身情况的漏洞管理方法。

事件回顾：

① 根据国家信息安全漏洞库（CNNVD）统计，2018年12月份采集安全漏洞共1275个。本月接报漏洞共计3629个。截至2018年12月31日，CNNVD采集漏洞总量已达119892个。

② 2018年 “平安金融安全研究院”和“绿盟科技”发布《2017金融科技安全分析报告》显示，近半数受访金融机构对漏洞修补时间超过一周。

③ 2018年第二季度，评估机构对银行业安全状况采样分析后，共发现7553个CVE漏洞，共140种漏洞，53%的银行机构存在比较严重的安全漏洞，这些漏洞—旦被利用，可能会造成严重的信息泄露或者系统中断。

安全建议：

有效的漏洞管理就是在安全脆弱性被利用前，发现并作出修补的关键流程。建议金融机构应建立完善的漏洞管理体系，从漏洞全生命周期进行安全管理，引入漏洞情报信息，及时有效的发现、处理并修复漏洞，并量化跟踪和分析流程执行情况，促进管理流程持续优化。

七、创新方案领潮流

关键词：全流量分析、统一身份认证、网络安全险、云安全

安全形势日益严峻，新型的网络安全威胁也更加突出，传统防护安全体系面临极大挑战。而安全攻防永不止步，安全行业也与时俱进的不断推出创新的安全产品和解决方案，协助客户构建更加完善的防护体系。

事件回顾：

① 绿盟全流量威胁分析解决方案针对原始流量进行采集和监控，对流量信息进行深度还原、存储、查询和分析，可以及时掌握重要信息系统相关网络安全威胁风险，及时检测漏洞、病毒木马、网络攻击情况，及时发现网络安全事件线索，及时通报预警重大网络安全威胁，调查、防范和打击网络攻击等恶意行为，保障重要信息系统的网络安全。

② 绿盟云安全解决方案是为了解决云计算安全问题而提供的一整套方案型产品，产品包括了运维门户、租户门户、安全资源池、安全资源池控制器和日志管理系统等组件，通过提供安全服务和安全运维等功能，可以保护云环境中的云平台及其用户的安全。同时满足等保合规要求。

③ 金融行业统一身份认证解决方案包含FIDO身份认证手环、密码安全控件（SM2）、多因素认证（MFA）、企业内控统一身份认证平台（5A平台）实现的业务整合等等，能够促进国家相关政策的实现，满足等保需求。

④ 绿盟科技联合前海财险发布“网络安全综合保险”产品，这一种新型保险产品，为企业应对各类网络风险提供全方位、多维度保险保障。保障内容涉及当前网络安全重要风险点。

安全建议：面对日新月异的新型安全威胁，传统的基于边界的安全防御技术或依靠传统安全产品堆叠的纵深防御技术有其局限性，建议金融机构结合自身安全风险，根据实际安全建设需要引入新型安全防御手段，构建更加全面而完善的安全防护体系。

八、智能运营新未来

关键词：威胁情报分析热点事件预警安全应急响应

当前金融机构面临网络攻击组织化、产业化态势，国家层面法律法规监管及合规要求越发严格，安全运营体系建设失衡，网络安全人才匮乏等问题，金融机构亟需集安全威胁监测、安全威胁分析及安全专家服务于一体的安全运营服务。

事件回顾：

① 绿盟科技最新的两项研究表明：1）大部分互联网的业务系统在上线后半小时内会被攻击者探测发现并开始攻击；2）在系统的最新漏洞信息公开后10小时～13小时，攻击者会采用最新的攻击代码对开放在互联网系统进行攻击。以上数据都表明，当前我国互联网充斥安全威胁且威胁演进的速度非常惊人。

② 美国第一大运营商Verzion在其发布的数据破坏事件调查报告中指出，在过去十年，未被企业监测和发现的攻陷事件比例从67%增长至84%，这个数据也表明了大部分企业并不知道已发生的安全灾害事故，并且安全事故带来的损失在不断增加。金融行业要求。

安全建议：

为了应对诸多安全运维难题，金融机构应建立完善的智能安全运营体系，结合自身安全水平，引入外部安全能力，能够实现安全态势全面监控、安全威胁实时预警、安全事件及时响应和处置，完成安全的闭环管理，同时满足行业安全合规需求。

结语

往者不谏，来者可追。2019年金融机构作为关键信息基础设施的运营者，应在新的监管体系下，打好防范化解重大金融风险攻坚战，守住不发生系统性金融风险的底线，落实国家战略和监管要求，保持持续有效的安全建设投入，完善信息安全保障体系。绿盟科技将一如既往的履行安全的诺言，践行匠心精神，秉承“巨人背后的安全专家，保障客户业务顺畅运行”的使命，陪伴客户共同成长，风雨同舟继续前行。