平安科技和绿盟科技联合发布《2017金融科技安全分析报告》 合力构建金融安全3.0时代安全生态圈
2018年3月29日,深圳—今日,金融安全3.0时代安全生态圈构建暨《2017金融科技安全分析报告》发布会在深圳四季酒店召开。会上正式发布了《2017金融科技安全分析报告》。这份由平安金融安全研究院和绿盟科技共同合作撰写的报告认为,随着金融和科技融合,金融科技日渐成为金融产品的重要支撑手段,安全威胁手段也随之推陈出新,攻防发展的不对称导致金融安全事件层出不穷。在金融科技这样一个创新模式中,行业机构必须重视科技本身以及在其利用和使用过程中所携带和面对的安全隐患,多方协作合力构建金融安全3.0时代的安全生态圈。
报告利用外部大数据的方法,结合最新的案例和丰富的情报来源,以金融科技面临网络安全威胁、数据安全威胁和业务安全威胁作为切入点,直观地分析了各类威胁的现状及趋势,着重对移动互联网、云计算、区块链等新技术所带来安全威胁进行分析。从分析中可见,金融科技要持续、健康地发展,安全问题必不可忽视,需要从安全意识教育、安全设备部署、安全服务引入、安全人才储备、安全预算投入等方面提升整体安全能力。
平安金融安全研究院执行副院长李洋博士
平安金融安全研究院执行副院长李洋博士指出:“金融安全是国家关键信息基础设施有机组成部分。在金融科技蓬勃发展的同时,金融安全亦不容忽视。在2017年,平安科技成立了业内首家金融安全研究院,提出了金融安全3.0理念。平安集团以金融安全3.0为理论基础,通过三部分支撑,即保障平安集团安全运营、通过安全专家服务赋能金融等行业、通过创新推动安全的前沿技术的发展及落地实践。平安科技希望携手更多如绿盟科技一样的合作伙伴,保障金融信息基础设施安全,推动金融科技安全研究的创新和落地实践,为金融科技及创新金融业务提供立体化的安全保障。”
绿盟科技高级副总裁叶晓虎博士
绿盟科技高级副总裁叶晓虎博士表示:“近几年来, IT技术已经逐步成为帮助金融行业进行模式创新和市场开拓的核心驱动力之一,金融和科技技术的融合发展大力推动了金融服务领域的拓展和维度,其面临的安全威胁也与日俱增。互联网金融安全事件频发,如大规模数据泄露、盗刷资损、薅羊毛、安全漏洞攻击等,将对业务造成资金损失和极大的负面影响,值得深思和重视。”
“众所周知,金融行业是我国网络安全重点行业之一,因其行业特殊性金融机构一直是网络犯罪的主要目标。那么相较2016年,2017年网络安全态势更为严峻。”叶晓虎博士说道:“从绿盟科技威胁情报监测结果显示,2017年金融行业DDOS攻击总流量和攻击规模大幅上升,单次攻击峰值高达1.4Tbps(是2016年的近2倍);2017年Botnet的数量和规模不断扩大,网络勒索时间频发,MySQL、PostgreSQL的漏洞也有较快的增长,以Web应用为目标的攻击中针对框架(例如Struts、ThinkPHP)的攻击占比高达54%。”
基于上述,报告从网络安全、数据安全、业务安全三个方面提供了解决思路,包含安全设备部署和安全服务引入。另外,报告中建议在企业安全管理方面,需要从上至下、环环相扣的整体规划,从开发管理、运维等各个生产环节进行规划,还要有配套的管理流程、防护方案,才能更好地确保企业在科技的加持下更健康更安全地发展。
报告提出,针对金融科技风险,企业需要在未来关注以下六个方面:
1. 新的监管合规要求
重视自身风险管控能力与风险之间的匹配和差距程度。
2. 内部的安全培训
提高内部人员安全意识,加强开发安全标准、安全部署与管理等方面的意识和技能培养。
3. 新技术应用风险
应对物联网,区块链,移动支付等潜在安全风险。
4. 开发安全管控
系统地识别和消除各个阶段可能出现的由于人员知识和技能、开发环境、业务逻辑等所造成的信息安全风险。
5. 高风险网络攻击
应对DDOS攻击、WEB攻击、有组织的APT攻击、欺诈与勒索等潜在安全威胁。
6. 数据安全
一方面要切实遵循国内外数据及隐私安全监管条例,另一方面加强企业数据保护及防范数据倒卖风险的能力。
最后,在IT技术迅猛发展的今天,企业持续、健康地发展,必定不可忽视安全问题。作为报告的编纂方,平安科技与绿盟科技希望本报告能为我国金融业从业机构提供一个可参考的安全视角,为我国金融业的健康发展贡献一份薄力。