90%的全球金融企業認為自己存在數據安全風險……

2014年，165家國內P2P互聯網金融平臺由于黑客攻擊，資金被洗劫一空……

2015年，駭人聽聞的Carbanak犯罪團伙金融惡意攻擊活動讓網絡金融犯罪變得眾所周知。這家犯罪團伙的攻擊目標包括超過30個國家的100多家銀行及其他金融機構。自2013年以來，該犯罪團伙所竊取的金額或將高達10億美元。

數據是金融行業的命脈。而內部數據安全管理的不慎，和針對金融企業的網絡攻擊，則是架在命脈上的一把尖刀，隨時可能引起“大出血”。

數據即金錢

多數網絡攻擊都是以“劫持數據”的方式牟利。

當前在黑色產業形成鏈條的大背景下，黑客對金融企業覬覦已久，通過漏洞獲得相關的個人信息、敏感信息，他們就可以把相關數據在黑產中進行售賣，達到非法牟利的目的。數據泄露、丟失給金融行業所造成的后果，不僅是業務損失，更是品牌和名譽上的打擊。

全球范圍內，越來越多的“高危”行業——金融、醫療、電商——已經開始將數據安全防護作為企業的首要安防對象，并開始采取行動。Vormetric的《金融行業數據威脅報告》指出，有70%的企業已經或計劃在數據安全上增加資金投入，其中，網絡防護（65%）和端防護58%）增量最大。

安全規劃不全，漏洞百出

在國內，金融這一“高危”行業與安全威脅賽跑的速度還不夠快。

DDoS攻擊，黑客入侵，APP安全，業務欺詐，這是國內金融行業用戶面對的四大安全難題。而外部的攻擊，只是數據安全威脅的“半壁江山”，另一半隱患，往往來自于企業自身。

很多金融企業，包括大型的銀行，對數據安全的管理和防御還處于“頭疼醫頭，腳疼醫腳”的階段。舉個例子，2014年，第三方安全機構對400家網貸平臺進行安全評估，其中65%的網貸平臺存在安全漏洞，35%有嚴重高危漏洞。 由于業務發布、推廣的迭代周期短：以月、甚至以周為單位，導致金融行業用戶無暇顧及內部安全的管理。“業務能正常上線發布就很好了，哪還有空考慮安全”，一人應用開發從業人員無耐的表示。

研究還發現，企業安全最大的“敵人”，是自己的員工。企業員工存在大量安全隱患，包括將密碼貼在座位上、弱密碼／無密碼、隨意下載和使用云應用等（Softchoice）。

上云之勢，安全之路

在金融決策者制定企業安全策略時，需要將云計算的大背景考慮在內。

銀監會日前透露，2020年，國內60%的金融行業將構建在云上。對于金融企業來說，越來越需要把安全，尤其是云上安全，納入業務發展的基礎環節。選擇一家可靠的云服務商，是未來金融企業保證數據安全、業務安全的基礎。

企業可以從這幾個維度去衡量云服務商的安全性：包括（但不限于）是否能保證用戶的業務連續性、數據安全的防護機制、安全能力（每天成功防御的DDoS數量、暴力破解數量和Web攻擊數量）、安全團隊、還有就是合規項目，等等。

同時，隨著金融企業上云的熱潮逐漸升溫，企業也應當讓自身的安全策略更契合“云上環境”——與以往的“頭疼醫頭、腳疼醫腳”不同，云上防護更需要全面的部署。

以金融的業務系統基本的拓撲結構為例，通過APP安全進行APP端加固和漏洞識別，把APP的安全風險控制在應用里面，然后在云端的出口部署DDoS高防和WAF（網絡應用防火墻），把網絡攻擊阻斷在網絡出口位置，防止內部負載均衡、路由交換、服務器和應用受到影響。

在服務器層面，通過主機安全產品對主機側進行加固，對一些漏洞進行第一時間修復，同時，從APP到應用系統之間，在整個鏈路的傳輸過程都采用HTTPS進行加密，再存儲到數據庫里。

在云上，金融行業也非常需要大數據安全分析的工具，能夠實時看見和響應正在發生，甚至即將發生的攻擊。這一工具要做的工作就是把全網所有相關的安全產品都收集起來，包括用戶操作日志、數據庫的行為、安全防護日志，進行全網的安全大數據匯總分析和感知，做到未知威脅的發現或者黑客溯源等。

此外，將系統、業務在云上，金融行業更加需要加強人員的權限管理，各系統密碼最好統一由密鑰管理系統統一進行管理。并進一步增加人員的安全意識及安全業務開發意識。