互聯(lián)網(wǎng)金融十大信息安全風(fēng)險(xiǎn)與最佳安全實(shí)踐
發(fā)布時(shí)間:2015-03-25【賽迪網(wǎng)-IT技術(shù)訊】編者按:據(jù)中國(guó)互聯(lián)網(wǎng)信息中心發(fā)布《第35次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》的顯示,,2014年中國(guó)網(wǎng)民規(guī)模6.49億,,手機(jī)網(wǎng)民5.57億。其中使用網(wǎng)上支付的用戶(hù)規(guī)模達(dá)3.04億,,手機(jī)支付用戶(hù)規(guī)模達(dá)到2.17億,,2014年也被認(rèn)為是中國(guó)互聯(lián)網(wǎng)金融元年,。作為一項(xiàng)金融創(chuàng)新,隨著大家對(duì)互聯(lián)網(wǎng)金融關(guān)注的提升和其本身規(guī)模的不斷壯大,,互聯(lián)網(wǎng)金融發(fā)展形成了第三方支付,、P2P網(wǎng)貸,、大數(shù)據(jù)金融、眾籌,、信息化金融機(jī)構(gòu),、互聯(lián)網(wǎng)金融門(mén)戶(hù)等多種模式。據(jù)媒體報(bào)道稱(chēng),,中國(guó)的互聯(lián)網(wǎng)金融市場(chǎng)規(guī)模已是世界第一,。與此同時(shí),國(guó)內(nèi)的網(wǎng)絡(luò)安全技術(shù)平臺(tái),、安全防護(hù)機(jī)制尚不成熟,,互聯(lián)網(wǎng)金融各方參與者對(duì)于數(shù)據(jù)安全、客戶(hù)信息安全的風(fēng)險(xiǎn)防患意識(shí)較弱的問(wèn)題應(yīng)受到更多的認(rèn)識(shí)與關(guān)注,。
十大信息安全風(fēng)險(xiǎn)
互聯(lián)網(wǎng)金融中金融信息的風(fēng)險(xiǎn)和安全問(wèn)題,,主要來(lái)自互聯(lián)網(wǎng)金融黑客頻繁侵襲、系統(tǒng)漏洞,、病毒木馬攻擊,、用戶(hù)信息泄露、用戶(hù)安全意識(shí)薄弱,,不良虛假金融信息的傳播,、移動(dòng)金融威脅逐漸顯露等十個(gè)方面。
1,、有組織有目的性的金融網(wǎng)絡(luò)犯罪集團(tuán)興起
攻擊者由過(guò)去的單兵作戰(zhàn),,無(wú)目的的攻擊轉(zhuǎn)為以經(jīng)濟(jì)利益為目的的、具有針對(duì)性的集團(tuán)化攻擊,。從敏感信息的收集與販賣(mài),,到偽卡制卡,甚至網(wǎng)銀木馬的量身定制,,在網(wǎng)絡(luò)上都能找到相應(yīng)的服務(wù)提供商,,并且形成完整的以金融網(wǎng)絡(luò)犯罪分子為中心的“傳、取,、銷(xiāo)”的經(jīng)濟(jì)產(chǎn)業(yè)鏈,。
2、DDoS攻擊
DDoS攻擊是目前最有效的一種網(wǎng)絡(luò)惡意攻擊形式,,近期的個(gè)案顯示不同規(guī)模的銀行正面臨不同形式的DDoS攻擊,,這包括傳統(tǒng)SYN 攻擊、DNS泛洪攻擊,、DNS放大攻擊,,以及針對(duì)應(yīng)用層和內(nèi)容更加難以防御的應(yīng)用層DDOS攻擊。
3、互聯(lián)網(wǎng)業(yè)務(wù)支撐系統(tǒng)自身安全漏洞
當(dāng)今的互聯(lián)網(wǎng),,病毒,、蠕蟲(chóng)、僵尸網(wǎng)絡(luò),、間諜軟件,、DDoS猶如洪水般泛濫,所有的這一切都或多或少地從互聯(lián)網(wǎng)業(yè)務(wù)支撐系統(tǒng)漏洞走過(guò),。如Apache Struts 2遠(yuǎn)程代碼執(zhí)行漏洞,,漏洞的爆發(fā)直接導(dǎo)致國(guó)內(nèi)的多家銀行遭受惡意攻擊。
4,、病毒木馬
目前針對(duì)網(wǎng)上銀行的木馬程序,、密碼嗅探程序等病毒不斷翻新,通過(guò)盜取客戶(hù)資料,,直接威脅網(wǎng)銀安全,,用戶(hù)如果未對(duì)其計(jì)算機(jī)安裝相應(yīng)的木馬查殺軟件,就非常容易被感染,。
5,、信息泄露
在互聯(lián)網(wǎng)環(huán)境下,交易信息通過(guò)網(wǎng)絡(luò)傳輸,,一些交易平臺(tái)并沒(méi)有在“傳輸,、存儲(chǔ)、使用,、銷(xiāo)毀”等環(huán)節(jié)建立保護(hù)敏感信息的完整機(jī)制,,大大加劇了信息泄露風(fēng)險(xiǎn)。
6,、網(wǎng)絡(luò)釣魚(yú)
雖然金融機(jī)構(gòu)對(duì)釣魚(yú)網(wǎng)站帶來(lái)的金融信息危害極其重視,但大量釣魚(yú)網(wǎng)站都建立在海外的網(wǎng)絡(luò)空間,,因而加大了安全監(jiān)管的難度,。
7、移動(dòng)威脅
移動(dòng)金融信息風(fēng)險(xiǎn),,主要由于移動(dòng)應(yīng)用軟件的信息安全隱患和用戶(hù)的防范意識(shí)薄弱,,給用戶(hù)造成了嚴(yán)重的經(jīng)濟(jì)損失,同時(shí)也為移動(dòng)金融的發(fā)展造成阻礙,。
8,、APT攻擊
由于其利益驅(qū)動(dòng)特性,與交易和金錢(qián)直接相關(guān)的金融行業(yè),,成為了黑客進(jìn)攻“首選”,,淪為APT攻擊重災(zāi)區(qū)。
9、外包風(fēng)險(xiǎn)
由于其利益驅(qū)動(dòng)特性,,與交易和金錢(qián)直接相關(guān)的金融行業(yè),,成為了黑客進(jìn)攻“首選”,淪為APT攻擊重災(zāi)區(qū),。
10,、內(nèi)控風(fēng)險(xiǎn)
互聯(lián)網(wǎng)金融服務(wù)內(nèi)控風(fēng)險(xiǎn)通常與不適當(dāng)?shù)牟僮骱蛢?nèi)部控制程序、信息系統(tǒng)失敗和人工失誤密切相關(guān),,該風(fēng)險(xiǎn)可能在內(nèi)部控制和信息系統(tǒng)存在缺陷時(shí)導(dǎo)致不可預(yù)期的損失,。
十大信息安全最佳實(shí)踐
基于互聯(lián)網(wǎng)技術(shù)發(fā)展起來(lái)的互聯(lián)網(wǎng)金融,其信息安全技術(shù)還有待關(guān)注與加強(qiáng),。傳統(tǒng)的信息安全防護(hù)體系已經(jīng)難以提供可靠的安全防護(hù),,特別是針對(duì)APT攻擊、零天型漏洞攻擊或者是來(lái)自企業(yè)內(nèi)部的網(wǎng)絡(luò)攻擊,,當(dāng)前的互聯(lián)
金融系統(tǒng)信息安全保障體系無(wú)法提供足夠的保護(hù)能力,。因此,安恒信息結(jié)合行業(yè)觀(guān)察以及相關(guān)實(shí)踐,,建議互聯(lián)網(wǎng)金融企業(yè)進(jìn)行以下安全建設(shè),,以長(zhǎng)期保證金融系統(tǒng)的信息安全。
1,、制定行業(yè)標(biāo)準(zhǔn)
重點(diǎn)防范互聯(lián)網(wǎng)金融可能出現(xiàn)的系統(tǒng)性風(fēng)險(xiǎn),,而且要堅(jiān)持線(xiàn)上線(xiàn)下一致性的原則,要注重法律法規(guī)的有效銜接,,不斷地完善相關(guān)的監(jiān)管制度,。同時(shí)政府應(yīng)該有一個(gè)統(tǒng)一的分類(lèi),并按類(lèi)別制定互聯(lián)網(wǎng)金融信息安全行業(yè)標(biāo)準(zhǔn),,指導(dǎo)各企業(yè)進(jìn)行相應(yīng)的信息安全建設(shè)和安全運(yùn)維管理,,提高互聯(lián)網(wǎng)金融企業(yè)的安全準(zhǔn)入門(mén)檻。
2,、加大信息安全投入
互聯(lián)網(wǎng)金融企業(yè)應(yīng)加大對(duì)信息安全技術(shù)的投資力度,,應(yīng)結(jié)合安全開(kāi)發(fā)、安全產(chǎn)品,、安全評(píng)估,、安全管理等多個(gè)方面,從整個(gè)信息系統(tǒng)生命周期(ESLC)的角度來(lái)實(shí)現(xiàn)互聯(lián)網(wǎng)金融長(zhǎng)期有效的安全保障,。對(duì)于已經(jīng)在線(xiàn)的生產(chǎn)系統(tǒng),,當(dāng)務(wù)之急則是采用防火墻、數(shù)據(jù)庫(kù)審計(jì),、數(shù)據(jù)容災(zāi)等多種手段提升對(duì)用戶(hù)和數(shù)據(jù)的安全保障能力,。
3,、增強(qiáng)APT防護(hù)能力
加入APT防護(hù)控制手段,加固環(huán)境,,考慮雙因素認(rèn)證,、網(wǎng)絡(luò)限制、反垃圾郵件過(guò)濾,、WEB過(guò)濾等高級(jí)限制方式,。
4、加強(qiáng)信息系統(tǒng)的審計(jì)與風(fēng)險(xiǎn)控制
對(duì)越來(lái)越龐大的金融信息系統(tǒng)部署運(yùn)維審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)通過(guò)賬號(hào)管理,、身份認(rèn)證,、自動(dòng)改密、資源授權(quán),、實(shí)時(shí)阻斷,、同步監(jiān)控、審計(jì)回放,、自動(dòng)化運(yùn)維,、流程管理等功能增強(qiáng)金融信息系統(tǒng)運(yùn)維管理的安全性。
5,、采用自主可控的產(chǎn)品和技術(shù)
以防范阻止,、檢測(cè)發(fā)現(xiàn)、應(yīng)急處置,、審計(jì)追蹤,、集中管控等為目的,研究適合自身信息系統(tǒng)特點(diǎn)的安全保護(hù)策略和機(jī)制,;開(kāi)展安全審計(jì),、強(qiáng)制訪(fǎng)問(wèn)控制、系統(tǒng)結(jié)構(gòu)化,、多級(jí)系統(tǒng)安全互聯(lián)訪(fǎng)問(wèn)控制,、產(chǎn)品符合性檢驗(yàn)等相關(guān)技術(shù);研發(fā)用于保護(hù)重點(diǎn)信息系統(tǒng)的安全計(jì)算環(huán)境,、安全區(qū)域邊界,、安全通信網(wǎng)絡(luò)和安全管理中心的核心技術(shù)產(chǎn)品;研發(fā)自主可控的計(jì)算環(huán)境,、操作系統(tǒng)、中間件,、數(shù)據(jù)庫(kù)等基礎(chǔ)產(chǎn)品,,實(shí)現(xiàn)對(duì)國(guó)外軟硬件的替代;建設(shè)模擬仿真測(cè)試環(huán)境,,通過(guò)可靠的測(cè)試技術(shù)和測(cè)試工具實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全檢測(cè),,確保降低信息系統(tǒng)使用過(guò)程中發(fā)生的安全事件,。
6、突出保護(hù)重點(diǎn)系統(tǒng)
對(duì)需要保護(hù)的信息資產(chǎn)進(jìn)行詳細(xì)梳理,,以整體利益為出發(fā)點(diǎn),,確定出重要的信息資產(chǎn)或系統(tǒng),然后將有限的資源投入到對(duì)于這些重要信息資源的保護(hù)當(dāng)中,。
7,、核心安全建設(shè)由可信隊(duì)伍建設(shè)
對(duì)我國(guó)的金融信息系統(tǒng)進(jìn)行核心安全建設(shè)和保障的機(jī)構(gòu),應(yīng)具備專(zhuān)業(yè)信息安全服務(wù)能力及應(yīng)急響應(yīng)能力獲得權(quán)威認(rèn)證的,、具有一定規(guī)模,、具備專(zhuān)業(yè)掃描檢測(cè)與滲透測(cè)試產(chǎn)品的安全服務(wù)團(tuán)隊(duì)。
8,、基于大數(shù)據(jù)與云計(jì)算的解決方案
以信息安全等級(jí)保護(hù)為基礎(chǔ),,在控制風(fēng)險(xiǎn)的基礎(chǔ)上,充分利用云計(jì)算和大數(shù)據(jù)的優(yōu)勢(shì),,建立適合互聯(lián)網(wǎng)金融自身信息系統(tǒng)的建設(shè)規(guī)范與信息安全管理規(guī)范,,豐富已有安全措施規(guī)范,完善整體信息安全保障體系,,建立云計(jì)算和數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)體系,,健全協(xié)調(diào)機(jī)制,提高協(xié)同發(fā)展能力,。
9,、外包風(fēng)險(xiǎn)防范
實(shí)行業(yè)務(wù)外包以前,金融機(jī)構(gòu)應(yīng)制定外包的具體政策和標(biāo)準(zhǔn),,全面考慮業(yè)務(wù)外包的程度問(wèn)題,、風(fēng)險(xiǎn)集中問(wèn)題,以及將多項(xiàng)業(yè)務(wù)外包給同一個(gè)服務(wù)商時(shí)的風(fēng)險(xiǎn)問(wèn)題,。同時(shí)在外包的過(guò)程中時(shí)刻對(duì)風(fēng)險(xiǎn)進(jìn)行內(nèi)部評(píng)估,。
10、健全內(nèi)控制度
建立直接向最高級(jí)別領(lǐng)導(dǎo)匯報(bào)的風(fēng)險(xiǎn)管理部門(mén),,獨(dú)立于所有業(yè)務(wù)部門(mén)進(jìn)行風(fēng)險(xiǎn)的評(píng)估,、分析和審核;根據(jù)自身的業(yè)務(wù)特點(diǎn)建立完整的工作流程體系,;根據(jù)各業(yè)務(wù)環(huán)節(jié)的風(fēng)險(xiǎn),,總體評(píng)估自身的風(fēng)險(xiǎn)特征;根據(jù)工作流程各環(huán)節(jié)的風(fēng)險(xiǎn)點(diǎn),,設(shè)計(jì)標(biāo)準(zhǔn)的內(nèi)部控制操作方案,,以有效保障每個(gè)工作環(huán)節(jié)的準(zhǔn)確執(zhí)行。
