互聯(lián)網(wǎng)金融十大信息安全風(fēng)險與最佳安全實踐
發(fā)布時間:2015-03-25【賽迪網(wǎng)-IT技術(shù)訊】編者按:據(jù)中國互聯(lián)網(wǎng)信息中心發(fā)布《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》的顯示,2014年中國網(wǎng)民規(guī)模6.49億,,手機網(wǎng)民5.57億,。其中使用網(wǎng)上支付的用戶規(guī)模達3.04億,手機支付用戶規(guī)模達到2.17億,,2014年也被認(rèn)為是中國互聯(lián)網(wǎng)金融元年。作為一項金融創(chuàng)新,,隨著大家對互聯(lián)網(wǎng)金融關(guān)注的提升和其本身規(guī)模的不斷壯大,,互聯(lián)網(wǎng)金融發(fā)展形成了第三方支付、P2P網(wǎng)貸,、大數(shù)據(jù)金融,、眾籌、信息化金融機構(gòu),、互聯(lián)網(wǎng)金融門戶等多種模式,。據(jù)媒體報道稱,中國的互聯(lián)網(wǎng)金融市場規(guī)模已是世界第一,。與此同時,,國內(nèi)的網(wǎng)絡(luò)安全技術(shù)平臺、安全防護機制尚不成熟,,互聯(lián)網(wǎng)金融各方參與者對于數(shù)據(jù)安全,、客戶信息安全的風(fēng)險防患意識較弱的問題應(yīng)受到更多的認(rèn)識與關(guān)注。
十大信息安全風(fēng)險
互聯(lián)網(wǎng)金融中金融信息的風(fēng)險和安全問題,,主要來自互聯(lián)網(wǎng)金融黑客頻繁侵襲,、系統(tǒng)漏洞、病毒木馬攻擊,、用戶信息泄露,、用戶安全意識薄弱,不良虛假金融信息的傳播,、移動金融威脅逐漸顯露等十個方面,。
1、有組織有目的性的金融網(wǎng)絡(luò)犯罪集團興起
攻擊者由過去的單兵作戰(zhàn),,無目的的攻擊轉(zhuǎn)為以經(jīng)濟利益為目的的,、具有針對性的集團化攻擊。從敏感信息的收集與販賣,,到偽卡制卡,,甚至網(wǎng)銀木馬的量身定制,在網(wǎng)絡(luò)上都能找到相應(yīng)的服務(wù)提供商,,并且形成完整的以金融網(wǎng)絡(luò)犯罪分子為中心的“傳,、取,、銷”的經(jīng)濟產(chǎn)業(yè)鏈。
2,、DDoS攻擊
DDoS攻擊是目前最有效的一種網(wǎng)絡(luò)惡意攻擊形式,,近期的個案顯示不同規(guī)模的銀行正面臨不同形式的DDoS攻擊,這包括傳統(tǒng)SYN 攻擊,、DNS泛洪攻擊,、DNS放大攻擊,以及針對應(yīng)用層和內(nèi)容更加難以防御的應(yīng)用層DDOS攻擊,。
3,、互聯(lián)網(wǎng)業(yè)務(wù)支撐系統(tǒng)自身安全漏洞
當(dāng)今的互聯(lián)網(wǎng),病毒,、蠕蟲,、僵尸網(wǎng)絡(luò)、間諜軟件,、DDoS猶如洪水般泛濫,,所有的這一切都或多或少地從互聯(lián)網(wǎng)業(yè)務(wù)支撐系統(tǒng)漏洞走過。如Apache Struts 2遠(yuǎn)程代碼執(zhí)行漏洞,,漏洞的爆發(fā)直接導(dǎo)致國內(nèi)的多家銀行遭受惡意攻擊,。
4、病毒木馬
目前針對網(wǎng)上銀行的木馬程序,、密碼嗅探程序等病毒不斷翻新,,通過盜取客戶資料,直接威脅網(wǎng)銀安全,,用戶如果未對其計算機安裝相應(yīng)的木馬查殺軟件,,就非常容易被感染。
5,、信息泄露
在互聯(lián)網(wǎng)環(huán)境下,,交易信息通過網(wǎng)絡(luò)傳輸,一些交易平臺并沒有在“傳輸,、存儲,、使用、銷毀”等環(huán)節(jié)建立保護敏感信息的完整機制,,大大加劇了信息泄露風(fēng)險,。
6、網(wǎng)絡(luò)釣魚
雖然金融機構(gòu)對釣魚網(wǎng)站帶來的金融信息危害極其重視,,但大量釣魚網(wǎng)站都建立在海外的網(wǎng)絡(luò)空間,,因而加大了安全監(jiān)管的難度。
7,、移動威脅
移動金融信息風(fēng)險,,主要由于移動應(yīng)用軟件的信息安全隱患和用戶的防范意識薄弱,,給用戶造成了嚴(yán)重的經(jīng)濟損失,同時也為移動金融的發(fā)展造成阻礙,。
8,、APT攻擊
由于其利益驅(qū)動特性,與交易和金錢直接相關(guān)的金融行業(yè),,成為了黑客進攻“首選”,,淪為APT攻擊重災(zāi)區(qū)。
9,、外包風(fēng)險
由于其利益驅(qū)動特性,,與交易和金錢直接相關(guān)的金融行業(yè),成為了黑客進攻“首選”,,淪為APT攻擊重災(zāi)區(qū),。
10,、內(nèi)控風(fēng)險
互聯(lián)網(wǎng)金融服務(wù)內(nèi)控風(fēng)險通常與不適當(dāng)?shù)牟僮骱蛢?nèi)部控制程序,、信息系統(tǒng)失敗和人工失誤密切相關(guān),該風(fēng)險可能在內(nèi)部控制和信息系統(tǒng)存在缺陷時導(dǎo)致不可預(yù)期的損失,。
十大信息安全最佳實踐
基于互聯(lián)網(wǎng)技術(shù)發(fā)展起來的互聯(lián)網(wǎng)金融,,其信息安全技術(shù)還有待關(guān)注與加強。傳統(tǒng)的信息安全防護體系已經(jīng)難以提供可靠的安全防護,,特別是針對APT攻擊,、零天型漏洞攻擊或者是來自企業(yè)內(nèi)部的網(wǎng)絡(luò)攻擊,當(dāng)前的互聯(lián)
金融系統(tǒng)信息安全保障體系無法提供足夠的保護能力,。因此,,安恒信息結(jié)合行業(yè)觀察以及相關(guān)實踐,建議互聯(lián)網(wǎng)金融企業(yè)進行以下安全建設(shè),,以長期保證金融系統(tǒng)的信息安全,。
1、制定行業(yè)標(biāo)準(zhǔn)
重點防范互聯(lián)網(wǎng)金融可能出現(xiàn)的系統(tǒng)性風(fēng)險,,而且要堅持線上線下一致性的原則,,要注重法律法規(guī)的有效銜接,不斷地完善相關(guān)的監(jiān)管制度,。同時政府應(yīng)該有一個統(tǒng)一的分類,,并按類別制定互聯(lián)網(wǎng)金融信息安全行業(yè)標(biāo)準(zhǔn),指導(dǎo)各企業(yè)進行相應(yīng)的信息安全建設(shè)和安全運維管理,,提高互聯(lián)網(wǎng)金融企業(yè)的安全準(zhǔn)入門檻,。
2、加大信息安全投入
互聯(lián)網(wǎng)金融企業(yè)應(yīng)加大對信息安全技術(shù)的投資力度,,應(yīng)結(jié)合安全開發(fā),、安全產(chǎn)品,、安全評估、安全管理等多個方面,,從整個信息系統(tǒng)生命周期(ESLC)的角度來實現(xiàn)互聯(lián)網(wǎng)金融長期有效的安全保障,。對于已經(jīng)在線的生產(chǎn)系統(tǒng),當(dāng)務(wù)之急則是采用防火墻,、數(shù)據(jù)庫審計,、數(shù)據(jù)容災(zāi)等多種手段提升對用戶和數(shù)據(jù)的安全保障能力。
3,、增強APT防護能力
加入APT防護控制手段,,加固環(huán)境,考慮雙因素認(rèn)證,、網(wǎng)絡(luò)限制,、反垃圾郵件過濾、WEB過濾等高級限制方式,。
4,、加強信息系統(tǒng)的審計與風(fēng)險控制
對越來越龐大的金融信息系統(tǒng)部署運維審計與風(fēng)險控制系統(tǒng)通過賬號管理、身份認(rèn)證,、自動改密,、資源授權(quán)、實時阻斷,、同步監(jiān)控,、審計回放、自動化運維,、流程管理等功能增強金融信息系統(tǒng)運維管理的安全性,。
5、采用自主可控的產(chǎn)品和技術(shù)
以防范阻止,、檢測發(fā)現(xiàn),、應(yīng)急處置、審計追蹤,、集中管控等為目的,,研究適合自身信息系統(tǒng)特點的安全保護策略和機制;開展安全審計,、強制訪問控制,、系統(tǒng)結(jié)構(gòu)化、多級系統(tǒng)安全互聯(lián)訪問控制,、產(chǎn)品符合性檢驗等相關(guān)技術(shù),;研發(fā)用于保護重點信息系統(tǒng)的安全計算環(huán)境、安全區(qū)域邊界,、安全通信網(wǎng)絡(luò)和安全管理中心的核心技術(shù)產(chǎn)品,;研發(fā)自主可控的計算環(huán)境,、操作系統(tǒng)、中間件,、數(shù)據(jù)庫等基礎(chǔ)產(chǎn)品,,實現(xiàn)對國外軟硬件的替代;建設(shè)模擬仿真測試環(huán)境,,通過可靠的測試技術(shù)和測試工具實現(xiàn)對信息系統(tǒng)的安全檢測,,確保降低信息系統(tǒng)使用過程中發(fā)生的安全事件。
6,、突出保護重點系統(tǒng)
對需要保護的信息資產(chǎn)進行詳細(xì)梳理,,以整體利益為出發(fā)點,確定出重要的信息資產(chǎn)或系統(tǒng),,然后將有限的資源投入到對于這些重要信息資源的保護當(dāng)中,。
7、核心安全建設(shè)由可信隊伍建設(shè)
對我國的金融信息系統(tǒng)進行核心安全建設(shè)和保障的機構(gòu),,應(yīng)具備專業(yè)信息安全服務(wù)能力及應(yīng)急響應(yīng)能力獲得權(quán)威認(rèn)證的,、具有一定規(guī)模、具備專業(yè)掃描檢測與滲透測試產(chǎn)品的安全服務(wù)團隊,。
8,、基于大數(shù)據(jù)與云計算的解決方案
以信息安全等級保護為基礎(chǔ),,在控制風(fēng)險的基礎(chǔ)上,,充分利用云計算和大數(shù)據(jù)的優(yōu)勢,建立適合互聯(lián)網(wǎng)金融自身信息系統(tǒng)的建設(shè)規(guī)范與信息安全管理規(guī)范,,豐富已有安全措施規(guī)范,,完善整體信息安全保障體系,建立云計算和數(shù)據(jù)保護的標(biāo)準(zhǔn)體系,,健全協(xié)調(diào)機制,,提高協(xié)同發(fā)展能力。
9,、外包風(fēng)險防范
實行業(yè)務(wù)外包以前,,金融機構(gòu)應(yīng)制定外包的具體政策和標(biāo)準(zhǔn),全面考慮業(yè)務(wù)外包的程度問題,、風(fēng)險集中問題,,以及將多項業(yè)務(wù)外包給同一個服務(wù)商時的風(fēng)險問題。同時在外包的過程中時刻對風(fēng)險進行內(nèi)部評估,。
10,、健全內(nèi)控制度
建立直接向最高級別領(lǐng)導(dǎo)匯報的風(fēng)險管理部門,獨立于所有業(yè)務(wù)部門進行風(fēng)險的評估,、分析和審核,;根據(jù)自身的業(yè)務(wù)特點建立完整的工作流程體系,;根據(jù)各業(yè)務(wù)環(huán)節(jié)的風(fēng)險,總體評估自身的風(fēng)險特征,;根據(jù)工作流程各環(huán)節(jié)的風(fēng)險點,,設(shè)計標(biāo)準(zhǔn)的內(nèi)部控制操作方案,以有效保障每個工作環(huán)節(jié)的準(zhǔn)確執(zhí)行,。
