6月末,安全牛发布的一篇名为《金融行业10大领域网络安全报告》的文章,将金融行业从区别维度进行安全现状分析,10个领域显现出区别的特点。传统印象中金融行业的安全建设能力一直是名列前茅的,当看到领域细分分析结果时,不由引发对未来安全建设方向的思考。
证券、基金、保险公司面临的安全漏洞要挟最严重
本次报告通过分析10个领域1000家金融机构进行综合评分,完成了对6种典型互联网要挟事件的分析,评估带来的安全风险。从报告中的数据可以看出,最近几年来互联网+金融获得了一定成绩,同时也面临着巨大的互联网要挟,金融行业在本次报告比较的10个行业中排名第八名。
值得注意的是,在外部安全风险散布的评估中,证券、保险、基金公司这三个领域的安全隐患占比最高,分别为31%、28%、18%。作为掌握大量用户信息、资金和数据的企业,漏洞一旦被利用,可能会造成严重的信息泄漏或业务中断,对企业和用户来讲,都是极大的安全隐患。
在补天平台发布的《2016补天平台漏洞收录及行业分析报告》中,在2016年收录的区别行业网站漏洞数量对照中,金融行业以12.5%的比例位居第二位,在漏洞危险等级方面,高危漏洞40.7%,中危漏洞37.1%和低危22.2%。
法律计划多角度同步推动,保障体系更严格
俄罗斯银行被黑客盗走20亿卢布、孟加拉央行被黑8100万美元、美国第二大的医疗保险公司Anthem公司信息系统被黑客攻破,近8000万员工和客户资料被盗……
在各类安全事件中,网络攻击者或是利用公司内部系统环境的漏洞,或是利用歹意程序,发动远程攻击。信息技术不断进步,必定伴随着攻击手段不断翻新,网络攻击愈演愈烈,如何尽可能规避漏洞的出现,怎样在出现问题的时候及时监测和响应是所有金融行业的信息安全从业者所面临的问题。
金融行业由于资金体量庞大、用户信息集中、安全隐患影响深远,安全问题变得更加迫在眉睫。针对当前的安全建设现状,关于网络安全的要求也渐渐清晰并且明确到相关法律制度当中。6月1日起正式实行的《网络安全法》第四十二条中,对网络运营者提出了明确的要求,提出网络运营者应当采取技术措施和其他必要措施,确保其搜集的个人信息安全,避免信息泄漏、毁损、丢失。
6月27日,《中国金融业信息技术十三五计划》印发 ,对金融网络安全保障体系也指出了未来的发展方向,确立了“十三五”期间金融业信息技术工作的发展目标,提到金融网络安全保障体系更加完善、金融信息技术治理能力要显著提升。
可见,法律和政策纷纭跟上脚步,对信息安全的建设、技术手段保证信息安全都提上了日程。但是,面临如此巨大的安全人材缺口和安全建设本钱,怎样简单高效低本钱的解决问题,更是企业安全负责人所关注的焦点。
应用互联网思惟解决互联网安全问题
风险的检测和监控离不开与时俱进的技术支持,但是黑客总是有着出其不意的脑回路,如何抵抗黑客的攻击,需要用黑客思惟来思考问题,方能有效的应对。有这样的一群人,他们虽然掌握着黑客技术,但不做坏事,将自己的技能用在了帮助企业发现安全问题,保护社会的网络安全上,他们——就是白帽子。
许多知名企业纷纭选择建立SRC(安全应急响应中心),应用互联网思惟来解决问题,通过众包,充分发挥白帽子的能力帮助企业发现安全隐患,解决安全发现能力不足的问题。截止目前,已有数十家企业SRC建立。
但与知名企业构成鲜明对照的是,很多企业没法有足够的人力财力独立建设并运营SRC;同时,在重大的版本上线前也有强力安全检测需求。这时候候,多元化的安全服务应运而生,以安全众包的模式,切实动员起来白帽子的能力,发动民间气力,充分利用分散在社会中的安全人员资源,帮助企业解决潜伏的安全隐患和问题。
截止2017年6月,补天平台会聚3万4千余名白帽子,累计为2万多家企业报告的漏洞超过20万个。通过第三方帮助企业建立的专属SRC、定制众测项目的情势,已服务全国各地数十家银行、证券、保险公司,安全建设不断创新,安全能力稳步提升。
补天携手白帽子,希望能帮助更多的金融企业加强网络安全建设,为企业和社会的网络安全作出自己的贡献。网聚安全气力,为社会提供准确、详实的安全情报,让全中国网络都实现漏洞的及时发现与快速响应是补天平台始终坚持其实不断实行的社会使命。
金融行业是一个不差钱的行业,但对安全性要求特别高,所以基本上都会是由专门的公司提供全套解决方案,固然也是处于安全角度斟酌,金融领域有些功能、产品挺难用,比如有些银行的网上银行功能,比如纠结了好长时间的快捷支付功能,比如远程开户。
所以金融行业信息安全这个问题,我们也只能笼统的从概念上做个简单的解释,如果真要实行,肯定要比这个复杂的多。
一、哪些途径会是安全隐患
在了解数据安全如何保障之前,我们可以想一想数据有哪几种安全隐患,假设我们想把数据偷出来,都有哪几种渠道,把这些渠道都防范住了,安全问题最少也就有了基本保障。坤鹏论大致列了几种:
1、通过u盘、移动硬盘等移动装备拷贝;
2、通过网络打印机,虚拟打印机或本地打印机打印;
3、使用电子邮件、QQ等其他相关工具发送涉密信息;
4、通过手机,相机,等摄像摄影装备,拍摄涉密文档信;
5、远程攻击存储数据的服务器,从服务器下载涉密文档;
6、劫持网络,在数据传输进程中盗取数据;
7、终端装备泄漏机密,包括通过终端装备拷贝机密数据;
大致就这么多种方法吧?其他方法坤鹏论实在是想不出来,也欢迎大家在评论里多想一想。
二、如何防范数据泄漏
既然知道了数据都能通过哪些渠道泄漏出去,相应的保护数据安全的解决方案也会围绕这几方面展开。总结泄漏数据的这些渠道,可以大致概括为三种方式:通过服务器直接泄漏、在数据传输进程中泄漏、在终端装备上泄漏,所以数据安全保障也是围绕这三方面进行的。
1、服务器泄漏
不论是金融行业或者其他甚么行业,数据存储工具一直是泄密的主要渠道,所以保障服务器安全是第一名的。一般保障服务器安全分为几步:
(1)物理隔绝
让尽量少的人可以接触到服务器,可以有效避免通过拍照、移动存储装备拷贝等方式泄密。所以虽然坤鹏论没去过金融行业的服务器机房,相信这个机房也不是随意谁想进就可以进去的,并且就算进去了,各种授权、监控之类的招数也都会有。
服务器管理员在操作服务器的时候,特别是在操作数据库服务器的时候肯定也得是各种戒备吧?权限也得是各种授权吧?
(2)结构隔绝
实际上是服务器隔绝,虽然坤鹏论没接触过金融行业服务器架构,但数据库放在独立服务器上这类基础安全常识不应当不知道吧?
把提供服务和数据库寄存分别放在区别的服务器上,数据库服务器不对外提供访问地址,只对内网开放有限的权限和端口,确保即便提供服务的服务器被黑客攻破,数据也是安全的。
2、传输泄漏
银行现在都对外提供网上银行服务,同时在银行内部与各个分行、支行和柜台进行数据传输,传输进程也是泄密的途径之一,网络传输协议也有被破解的先例,所以金融行业的信息在传输进程中肯定也是加密的。
3、终端泄漏
终端也就是银行内部人员,日防夜防,家贼难防,内部员工泄密是常有的事情,所以在防范内部员工泄密方面,一定要也是要有一套机制的。这类机制包括区别等级的权限管理,重要操作的复审等。比如不准使用U盘、移动硬盘等非经授权使用的外部装备。比如所有操作都在监控摄像头下进行。
不过终端也是最难防范的,由于毕竟很多功能也是要开放给终端人员操作的,所以复审就很有必要。另外还有一个有必要的机制就是追责。虽然坤鹏论不知道现在金融行业有无这样的机制,但相信应当会有,通过追责这类人员管理机制防范数据泄漏应当是必不可少的环节。
