9月4日,“ISC互聯網安全大會—金融科技安全論壇”在北京國家會議中心舉行。本次論壇以“‘科技+安全+生態’金融發展的新態勢、新思路”為主題,來自金融行業的專家學者分別圍繞大數據助力金融業務安全、保險業信息安全思路和新金融時代下的網絡安全創新體系等議題展開了廣泛而深入的討論。業內普遍認為,隨著金融領域面臨的網絡威脅不斷加大,安全已經成為金融業未來發展的根本保障,全行業加大防風險力度也已成為行業的當務之急。
360相關監測報告顯示,2016年和2017年針對金融機構的網絡攻擊日益增多,其中SWIFT攻擊、ATM攻擊、信息泄露、惡意軟件、網絡詐騙、系統故障和DNS攻擊等網絡安全事件頻發,給金融機構造成了巨大的財產損失。例如,2017年度,全球十余個國家的多家銀行機構使用的SWIFT(銀行結算系統)陸續遭到網絡攻擊,此類系統是全球金融生態系統的基礎。攻擊者能夠利用金融機構內部的惡意軟件操縱處理跨境交易的應用程序,之后可在全球任意金融機構處提取資金。
除了直接針對金融行業基礎設施進行網絡攻擊,大量的網絡攻擊行為,還造成金融業信息泄露事件頻發,給用戶和金融機構本身造成巨大的威脅。2017年4月,英國某知名發薪日貸款(Payday Loan)公司確定其遭遇數據泄露。該公司在聲明中指出,黑客可能非法訪問了數十萬賬戶的個人信息,關系到預計總計高達27萬客戶數量的個人信息。本次泄露的信息可能包括:客戶姓名、電子郵箱、家庭住址、電話號碼、銀行卡的后四位數、銀行卡賬號和銀行代碼。
對于金融業面臨的巨大網絡安全風險,業內普遍認為,加大全行業防風險力度已成當務之急。中國銀行數據中心處長徐雷鳴表示,在金融領域,風險識別是核心,數據的維度和密度是基礎,數據分析與建模能力是關鍵。他介紹說,中國銀行一直致力于大數據、云計算等先進技術的研究。目前,中國銀行利用大數據優化企業內部管理,實時監控和預警從而控制風險,保障金融業務安全。大數據帶來的數據分析能力的提升和風控模式的創新,使得大數據已經成為商業銀行風險管理的重要工具,但同時,大數據也面臨著數據收集、技能儲備和安全等方面的挑戰。
金融領域的網絡安全威脅并非只針對金融機構。支付寶、微信、銀聯等基于互聯網開發的電子支付手段已經滲透到每個人的生活,個人用戶在享受其帶來的便捷的同時,也要注意防范隨之產生的風險。例如,某國外電子支付公司在2017年年末公開承認,該公司當年收購的一家支付管理公司遭遇了網絡安全事件,在此期間,攻擊者可能訪問了儲存160萬用戶信息的服務器。業內認為,一旦相關用戶信息被盜,不法分子將很容易利用這些信息進行支付、消費、轉賬、貸款等操作,將會給用戶和金融機構造成難以估量的損失。
中國銀聯電子商務與電子支付國家工程實驗室首席安全技術專家楊陽表示,電子支付正面臨著安全事件、新技術新業務、外部攻擊、攻防對抗等全新的安全挑戰。安全是電子支付的核心,安全需要在適應快速交付的背景下實現協同、保障,并且需要提升持續反饋和風險管理能力。
楊陽介紹說,銀聯在保證電子支付安全方面已經做了很多工作,包括建立電子支付研究體系和安全研究平臺,構建網絡安全攻防環境;積極探索基于運營商的身份認證技術,優化用戶體驗;建立威脅情報庫,通過網絡流量分析,及時發現異常流量行為,進而對攻擊行為進行預警和提早防御;響應國家“安全可控”的政策要求,大力推進國密算法研究等。此外,銀聯基于物聯網、人工智能等新興技術,正在著力開發無感支付、免密安全認證、可穿戴設備支付等新型支付形式。
在新的攻防環境下,金融業對于最新型的網絡攻擊以及攻防轉換的認識有限,網絡安全人才缺口也較為嚴重。中國工程院院士、中國銀聯股份有限公司董事、電子商務與電子支付國家工程實驗室理事長、主任柴洪峰認為,在上述情況下,如何響應國家號召、保證系統的可用性以及網絡安全如何從傳統靜態防御向動態發展,都將是我們需要思考和努力的方向。
360企業安全集團戰略咨詢規劃總監鄔怡提出了“新一代數字金融安全體系思考”的議題。他表示,目前,我們已經進入了數字金融時代,客戶對金融的要求也提升為“隨時隨地、知我所需和量身定制”。與信息化時代相比,數字化時代對金融安全也提出了更高的要求。因此,金融業要重新思考現有的安全體系能否適應數字金融的未來。
他提出,金融業需要進行安全思想的轉變和進化——從“創可貼模式”到頂層安全設計;從查漏補缺到系統規劃;數據驅動的安全疊加演進,金融業需要進行威脅驅動防御體系的設計和面向數字化轉型的金融安全體系規劃。
談到金融行業如何提升風險防范和安全保障,中國民生銀行信息科技部安全處處長李吉慧表示,金融行業需要加速科技和金融業務的融合度、挖掘投資潛力;提升協同合作,加強行業數據共享,充分利用安全威脅情報和漏洞信息,共同提高業務風險識別能力;分析挖掘原有安全投入產品和服務的潛力,發揮最大產能,優化管理工具和流程,多部門協同合作促進業務產品安全創新。