盤點：互聯(lián)網金融十大信息安全風險與最佳安全實踐

申請免費試用、咨詢電話：400-8352-114

　　(中國電子商務研究中心訊)據中國互聯(lián)網信息中心發(fā)布《第35次中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》的顯示，2014年中國網民規(guī)模6.49億，手機網民5.57億。其中使用網上支付的用戶規(guī)模達3.04億，手機支付用戶規(guī)模達到2.17億，2014年也被認為是中國互聯(lián)網金融元年。作為一項金融創(chuàng)新，隨著大家對互聯(lián)網金融關注的提升和其本身規(guī)模的不斷壯大，互聯(lián)網金融發(fā)展形成了第三方支付、P2P網貸、大數據金融、眾籌、信息化金融機構、互聯(lián)網金融門戶等多種模式。據媒體報道稱，中國的互聯(lián)網金融市場規(guī)模已是世界第一。與此同時，國內的網絡安全技術平臺、安全防護機制尚不成熟，互聯(lián)網金融各方參與者對于數據安全、客戶信息安全的風險防患意識較弱的問題應受到更多的認識與關注。

　　十大信息安全風險

　　互聯(lián)網金融中金融信息的風險和安全問題，主要來自互聯(lián)網金融黑客頻繁侵襲、系統(tǒng)漏洞、病毒木馬攻擊、用戶信息泄露、用戶安全意識薄弱，不良虛假金融信息的傳播、移動金融威脅逐漸顯露等十個方面。

　　1、有組織有目的性的金融網絡犯罪集團興起

　　攻擊者由過去的單兵作戰(zhàn)，無目的的攻擊轉為以經濟利益為目的的、具有針對性的集團化攻擊。從敏感信息的收集與販賣，到偽卡制卡，甚至網銀木馬的量身定制，在網絡上都能找到相應的服務提供商，并且形成完整的以金融網絡犯罪分子為中心的“傳、取、銷”的經濟產業(yè)鏈。

　　2、DDoS攻擊

　　屏蔽此推廣內容DDoS攻擊是目前最有效的一種網絡惡意攻擊形式，近期的個案顯示不同規(guī)模的銀行正面臨不同形式的DDoS攻擊，這包括傳統(tǒng)SYN攻擊、DNS泛洪攻擊、DNS放大攻擊，以及針對應用層和內容更加難以防御的應用層DDOS攻擊。

　　3、互聯(lián)網業(yè)務支撐系統(tǒng)自身安全漏洞

　　當今的互聯(lián)網，病毒、蠕蟲、僵尸網絡、間諜軟件、DDoS猶如洪水般泛濫，所有的這一切都或多或少地從互聯(lián)網業(yè)務支撐系統(tǒng)漏洞走過。如Apache Struts 2遠程代碼執(zhí)行漏洞，漏洞的爆發(fā)直接導致國內的多家銀行遭受惡意攻擊。

　　4、病毒木馬

　　目前針對網上銀行的木馬程序、密碼嗅探程序等病毒不斷翻新，通過盜取客戶資料，直接威脅網銀安全，用戶如果未對其計算機安裝相應的木馬查殺軟件，就非常容易被感染。

　　5、信息泄露

　　在互聯(lián)網環(huán)境下，交易信息通過網絡傳輸，一些交易平臺并沒有在“傳輸、存儲、使用、銷毀”等環(huán)節(jié)建立保護敏感信息的完整機制，大大加劇了信息泄露風險。

　　6、網絡釣魚

　　雖然金融機構對釣魚網站帶來的金融信息危害極其重視，但大量釣魚網站都建立在海外的網絡空間，因而加大了安全監(jiān)管的難度。

　　7、移動威脅

　　移動金融信息風險，主要由于移動應用軟件的信息安全隱患和用戶的防范意識薄弱，給用戶造成了嚴重的經濟損失，同時也為移動金融的發(fā)展造成阻礙。

　　8、APT攻擊

　　由于其利益驅動特性，與交易和金錢直接相關的金融行業(yè)，成為了黑客進攻“首選”，淪為APT攻擊重災區(qū)。

　　9、外包風險

　　由于其利益驅動特性，與交易和金錢直接相關的金融行業(yè)，成為了黑客進攻“首選”，淪為APT攻擊重災區(qū)。

　　10、內控風險

　　互聯(lián)網金融服務內控風險通常與不適當的操作和內部控制程序、信息系統(tǒng)失敗和人工失誤密切相關，該風險可能在內部控制和信息系統(tǒng)存在缺陷時導致不可預期的損失。

　　十大信息安全最佳實踐

　　基于互聯(lián)網技術發(fā)展起來的互聯(lián)網金融，其信息安全技術還有待關注與加強。傳統(tǒng)的信息安全防護體系已經難以提供可靠的安全防護，特別是針對APT攻擊、零天型漏洞攻擊或者是來自企業(yè)內部的網絡攻擊，當前的互聯(lián)網金融系統(tǒng)信息安全保障體系無法提供足夠的保護能力。因此，安恒信息結合行業(yè)觀察以及相關實踐，建議互聯(lián)網金融企業(yè)進行以下安全建設，以長期保證金融系統(tǒng)的信息安全。

　　1、制定行業(yè)標準

　　重點防范互聯(lián)網金融可能出現的系統(tǒng)性風險，而且要堅持線上線下一致性的原則，要注重法律法規(guī)的有效銜接，不斷地完善相關的監(jiān)管制度。同時政府應該有一個統(tǒng)一的分類，并按類別制定互聯(lián)網金融信息安全行業(yè)標準，指導各企業(yè)進行相應的信息安全建設和安全運維管理，提高互聯(lián)網金融企業(yè)的安全準入門檻。

　　2、加大信息安全投入

　　互聯(lián)網金融企業(yè)應加大對信息安全技術的投資力度，應結合安全開發(fā)、安全產品、安全評估、安全管理等多個方面，從整個信息系統(tǒng)生命周期(ESLC)的角度來實現互聯(lián)網金融長期有效的安全保障。對于已經在線的生產系統(tǒng)，當務之急則是采用防火墻、數據庫審計、數據容災等多種手段提升對用戶和數據的安全保障能力。

　　3、增強APT防護能力

　　加入APT防護控制手段，加固環(huán)境，考慮雙因素認證、網絡限制、反垃圾郵件過濾、WEB過濾等高級限制方式。

　　4、加強信息系統(tǒng)的審計與風險控制

　　對越來越龐大的金融信息系統(tǒng)部署運維審計與風險控制系統(tǒng)通過賬號管理、身份認證、自動改密、資源授權、實時阻斷、同步監(jiān)控、審計回放、自動化運維、流程管理等功能增強金融信息系統(tǒng)運維管理的安全性。

　　5、采用自主可控的產品和技術

　　以防范阻止、檢測發(fā)現、應急處置、審計追蹤、集中管控等為目的，研究適合自身信息系統(tǒng)特點的安全保護策略和機制；開展安全審計、強制訪問控制、系統(tǒng)結構化、多級系統(tǒng)安全互聯(lián)訪問控制、產品符合性檢驗等相關技術；研發(fā)用于保護重點信息系統(tǒng)的安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡和安全管理中心的核心技術產品；研發(fā)自主可控的計算環(huán)境、操作系統(tǒng)、中間件、數據庫等基礎產品，實現對國外軟硬件的替代；建設模擬仿真測試環(huán)境，通過可靠的測試技術和測試工具實現對信息系統(tǒng)的安全檢測，確保降低信息系統(tǒng)使用過程中發(fā)生的安全事件。

　　6、突出保護重點系統(tǒng)

　　對需要保護的信息資產進行詳細梳理，以整體利益為出發(fā)點，確定出重要的信息資產或系統(tǒng)，然后將有限的資源投入到對于這些重要信息資源的保護當中。

　　7、核心安全建設由可信隊伍建設

　　對我國的金融信息系統(tǒng)進行核心安全建設和保障的機構，應具備專業(yè)信息安全服務能力及應急響應能力獲得權威認證的、具有一定規(guī)模、具備專業(yè)掃描檢測與滲透測試產品的安全服務團隊。

　　8、基于大數據與云計算的解決方案

　　以信息安全等級保護為基礎，在控制風險的基礎上，充分利用云計算和大數據的優(yōu)勢，建立適合互聯(lián)網金融自身信息系統(tǒng)的建設規(guī)范與信息安全管理規(guī)范，豐富已有安全措施規(guī)范，完善整體信息安全保障體系，建立云計算和數據保護的標準體系，健全協(xié)調機制，提高協(xié)同發(fā)展能力。

　　9、外包風險防范

　　實行業(yè)務外包以前，金融機構應制定外包的具體政策和標準，全面考慮業(yè)務外包的程度問題、風險集中問題，以及將多項業(yè)務外包給同一個服務商時的風險問題。同時在外包的過程中時刻對風險進行內部評估。

　　10、健全內控制度

　　建立直接向最高級別領導匯報的風險管理部門，獨立于所有業(yè)務部門進行風險的評估、分析和審核；根據自身的業(yè)務特點建立完整的工作流程體系；根據各業(yè)務環(huán)節(jié)的風險，總體評估自身的風險特征；根據工作流程各環(huán)節(jié)的風險點，設計標準的內部控制操作方案，以有效保障每個工作環(huán)節(jié)的準確執(zhí)行。（來源：賽迪網；文/子鉃；編選：中國電子商務研究中心）