1 執(zhí)行摘要

在2017年8月22日，世界經(jīng)濟(jì)論壇發(fā)布了報(bào)告《超越金融科技：全面評(píng)估金融服務(wù)的顛覆潛力》①《超越金融科技：全面評(píng)估金融服務(wù)的顛覆潛力》, 世界經(jīng)濟(jì)論壇，2017年8月.http://www3.weforum.org/docs/Beyond_Fintech_-_A_Pragmatic_Assessment_of_Disruptive_Potential_in_Financial_Services.pdf.。該報(bào)告涵蓋了數(shù)百位金融、科技領(lǐng)域?qū)＜业脑L談內(nèi)容，旨在探索創(chuàng)新對(duì)全球金融生態(tài)系統(tǒng)的影響。報(bào)告對(duì)驅(qū)動(dòng)Fintech創(chuàng)新的8大因素及其顛覆潛力進(jìn)行了定義；同時(shí)總結(jié)出在Fintech沖擊下，支付、信貸、財(cái)富管理、保險(xiǎn)、數(shù)字銀行等7大金融領(lǐng)域未來的創(chuàng)新模式和路徑，以及每個(gè)領(lǐng)域所面臨的風(fēng)險(xiǎn)和可能的終局。近年，依托云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等先進(jìn)的計(jì)算機(jī)技術(shù)的發(fā)展，金融服務(wù)也趨于多樣化、便利化、智能化。金融科技的出現(xiàn)頻率正在高速增長(zhǎng)，技術(shù)變革與創(chuàng)新加速，至今已經(jīng)步入金融科技3.0時(shí)代。

天下熙熙皆為利來，天下攘攘皆為利往，逐利更是攻擊者的天性。隨著金融科技日漸成為金融產(chǎn)品的重要支撐手段，攻擊者也在不斷豐富其攻擊目標(biāo)和攻擊手段，以圖提升自身的攻擊變現(xiàn)能力。一方面，攻擊者對(duì)金融科技系統(tǒng)的滲透逐步深入，從網(wǎng)絡(luò)服務(wù)、金融業(yè)務(wù)逐步深入到核心業(yè)務(wù)數(shù)據(jù)、用戶財(cái)產(chǎn)和隱私。攻擊者不再滿足于危害金融系統(tǒng)的可用性，更青睞從販賣數(shù)據(jù)和資產(chǎn)轉(zhuǎn)移中直接獲利。另一方面，攻擊者不局限于傳統(tǒng)針對(duì)信息系統(tǒng)的攻擊，愈多從人員的角度迂回滲透，勾結(jié)內(nèi)部人員進(jìn)行數(shù)據(jù)倒賣。Loudhouse曾發(fā)布的企業(yè)安全調(diào)查報(bào)告顯示，如果價(jià)格到位，35%的員工會(huì)倒賣包括公司專利、財(cái)務(wù)記錄和客戶信用卡等敏感數(shù)據(jù)。這一調(diào)查事實(shí)也側(cè)面應(yīng)證在網(wǎng)絡(luò)安全、業(yè)務(wù)安全和數(shù)據(jù)安全之外，人員安全同樣也應(yīng)引起足夠重視。

對(duì)于以金融科技為目標(biāo)的攻擊者，獲利是他們的核心訴求。那么對(duì)于金融科技安全從業(yè)者而言，在傳統(tǒng)的以脆弱點(diǎn)和檢測(cè)點(diǎn)為核心的防護(hù)方案之外，更應(yīng)從獲利點(diǎn)出發(fā)，逆向分析，進(jìn)而組織自身的防護(hù)體系。

安全現(xiàn)狀：

(1)金融行業(yè)已經(jīng)大幅度互聯(lián)網(wǎng)化，83.5%的機(jī)構(gòu)或企業(yè)都開展了互聯(lián)網(wǎng)業(yè)務(wù)。金融行業(yè)約60%的機(jī)構(gòu)使用了各類云服務(wù)，大部分使用的是私有云，也有超過20%的機(jī)構(gòu)使用公有云或者混合云。金融行業(yè)使用云業(yè)務(wù)時(shí)最關(guān)心的風(fēng)險(xiǎn)除了數(shù)據(jù)及隱私保護(hù)外，也十分關(guān)注業(yè)務(wù)的訪問權(quán)限控制。

(2)40%金融行業(yè)機(jī)構(gòu)對(duì)安全事件的處置可以在一天內(nèi)完成，另外39.9%能在一周內(nèi)完成，約20%對(duì)安全事件處置超過一周。同時(shí)，漏洞修補(bǔ)時(shí)間近半數(shù)超過一周。

(3)從問卷統(tǒng)計(jì)中，我們認(rèn)為安全事件的最主要成因是安全意識(shí)淡薄和運(yùn)維投入不足，這或許是安全管理各類問題的根源所在。缺乏基本的安全意識(shí)，安全投入自然不足，同時(shí)安全管理制度上也會(huì)不夠完善，導(dǎo)致數(shù)據(jù)安全、隱私保護(hù)等方面出現(xiàn)問題。

(4)金融行業(yè)從業(yè)者最關(guān)心的安全問題集中在數(shù)據(jù)安全與隱私保護(hù)，而合規(guī)性要求也是企業(yè)關(guān)注安全問題的一個(gè)重要考量。但我們需要指出，安全措施是一個(gè)整體的規(guī)劃，并不是一個(gè)方面或者某個(gè)領(lǐng)域的單一問題，需要從開發(fā)、管理、運(yùn)維等各個(gè)生產(chǎn)環(huán)節(jié)進(jìn)行規(guī)劃，不是一臺(tái)設(shè)備、一次巡檢能夠徹底解決的，為了更好的進(jìn)行保護(hù)數(shù)據(jù)安全與隱私，需要有完善的配套管理流程、防護(hù)方案。

(5)對(duì)于安全服務(wù)，業(yè)務(wù)量最大的服務(wù)包括安全咨詢、安全運(yùn)維、應(yīng)急響應(yīng)服務(wù)，從問卷統(tǒng)計(jì)中我們認(rèn)為，金融行業(yè)仍然普遍缺乏安全管理的知識(shí)和經(jīng)驗(yàn)，在安全培訓(xùn)、人才儲(chǔ)備上需要加強(qiáng)。

(6)從來年的規(guī)劃中，我們看到企業(yè)開始關(guān)注信息安全問題，并且開始制定采購包括威脅情報(bào)在內(nèi)的更加高級(jí)的安全服務(wù)。另外，大部分企業(yè)（71.3%）會(huì)加大預(yù)算的投入，但只有少部分（21%）企業(yè)打算擴(kuò)招自己的安全團(tuán)隊(duì)。這應(yīng)該是由于近年來互聯(lián)網(wǎng)業(yè)務(wù)高速發(fā)展、企業(yè)業(yè)務(wù)復(fù)雜度大幅提升、新技術(shù)頻出、攻擊態(tài)勢(shì)演變更加迅猛而促使企業(yè)采取應(yīng)對(duì)舉措。企業(yè)為了維護(hù)自身業(yè)務(wù)安全，需要技術(shù)、人員兩方面的支持，不過大部分企業(yè)仍然傾向于通過業(yè)務(wù)外包來減輕自己管理規(guī)劃的負(fù)擔(dān)。

安全態(tài)勢(shì)：

(1)2017年與去年同期相比，攻擊發(fā)生次數(shù)基本保持平穩(wěn)，共計(jì)發(fā)生20.7萬次，同時(shí)攻擊總流量大幅上升，峰值高達(dá)1.4Tbps。

(2)在2017年的DDoS攻擊中，來自IoT設(shè)備的攻擊比例達(dá)到12%，已經(jīng)成為DDoS網(wǎng)絡(luò)環(huán)境中需要重點(diǎn)關(guān)注的一個(gè)類別。

(3)2017年Botnet的數(shù)量和規(guī)模在不斷擴(kuò)大。其中，C&C（僵尸網(wǎng)絡(luò)控制者）的數(shù)量持續(xù)不斷增長(zhǎng)，在進(jìn)入8月份后增速明顯，10月份環(huán)比增長(zhǎng)達(dá)到1.67%。同時(shí)，全球受控主機(jī)的數(shù)量間歇性增長(zhǎng)，8月份的數(shù)量環(huán)比上月增長(zhǎng)高達(dá)3倍（增長(zhǎng)320%）。

(4)網(wǎng)絡(luò)勒索事件頻發(fā)，“無敵艦隊(duì)”（Armada Collective）和“Opicarus2017”等多起事件利用勒索病毒進(jìn)行攻擊，危及大量金融機(jī)構(gòu)的網(wǎng)站安全，并導(dǎo)致敏感數(shù)據(jù)泄露。

(5)MySQL的漏洞暴露情況最為嚴(yán)重，MySQL和PostgreSQL在過去三年里的漏洞數(shù)量有著較快的增長(zhǎng)。

(6)以Web應(yīng)用為目標(biāo)的攻擊中，據(jù)統(tǒng)計(jì)，針對(duì)框架（例如Struts、ThinkPHP）的攻擊占比高達(dá)54%，插件類（例如ImageMgick等）占比39%，而針對(duì)具體CMS程序的攻擊占比較低。

本報(bào)告將結(jié)合內(nèi)外數(shù)據(jù)和相關(guān)行業(yè)、安全報(bào)告，從互聯(lián)網(wǎng)的角度重點(diǎn)分析金融行業(yè)的網(wǎng)絡(luò)安全狀況。報(bào)告將簡(jiǎn)單回顧金融科技的發(fā)展歷程和趨勢(shì)，重點(diǎn)介紹典型的網(wǎng)絡(luò)安全威脅、數(shù)據(jù)安全威脅和業(yè)務(wù)安全威脅，并結(jié)合各環(huán)節(jié)中的典型安全案例和《2017中國(guó)企業(yè)金融科技安全調(diào)查問卷》，分析金融科技機(jī)構(gòu)的安全現(xiàn)狀及面臨的安全趨勢(shì)。金融行業(yè)要持續(xù)、健康地發(fā)展，必定不可忽視安全問題。作為報(bào)告的編纂方，平安金融安全研究院與綠盟科技希望本報(bào)告能為我國(guó)金融業(yè)從業(yè)機(jī)構(gòu)提供一個(gè)可參考的安全視角，為我國(guó)金融業(yè)的健康發(fā)展貢獻(xiàn)一份薄力。

2 金融科技

傳統(tǒng)金融只具備存款、貸款和結(jié)算三大傳統(tǒng)業(yè)務(wù)的金融活動(dòng)，傳統(tǒng)金融機(jī)構(gòu)在面對(duì)市場(chǎng)競(jìng)爭(zhēng)時(shí)的應(yīng)對(duì)能力明顯不足。隨著互聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)金融時(shí)期來臨，金融業(yè)搭建在線業(yè)務(wù)平臺(tái)，通過互聯(lián)網(wǎng)渠道收集用戶信息，完成業(yè)務(wù)處理。傳統(tǒng)金融加科技服務(wù)，這是金融科技1.0階段。金融科技2.0則是向服務(wù)金融科技轉(zhuǎn)化，通過底層技術(shù)革新促使金融服務(wù)的方式發(fā)生變革，重塑金融產(chǎn)品的生成模式和定價(jià)模式，極大提升資產(chǎn)配置效率。其典型應(yīng)用有智能投顧、智能信貸、供應(yīng)鏈金融等。金融科技不斷發(fā)展，同時(shí)也面臨著越來越多的安全威脅，安全事件頻發(fā)，對(duì)業(yè)務(wù)造成資金損失和極大的負(fù)面影響，關(guān)注金融安全將是金融科技3.0時(shí)代的重中之重。

金融科技涉及領(lǐng)域廣泛，應(yīng)用場(chǎng)景多元。大數(shù)據(jù)、人工智能、區(qū)塊鏈和云計(jì)算作為金融科技核心技術(shù)，使金融服務(wù)更加高效、智能，已在許多場(chǎng)景展露頭角。

圖1 金融科技的應(yīng)用場(chǎng)景①《金融科技》，周偉，張健，梁國(guó)忠，2017年8月.

金融科技天生擁有創(chuàng)新基因，對(duì)行業(yè)與經(jīng)濟(jì)、民生是有益的，但插上科技翅膀的金融，具有更強(qiáng)、更廣和更快的易破壞性，因而尤其需要引導(dǎo)和規(guī)范。近年，在國(guó)際上，美國(guó)、英國(guó)、歐盟等相繼發(fā)布金融科技監(jiān)管文件，以平衡發(fā)展需求。而國(guó)內(nèi)也已加快金融監(jiān)管機(jī)構(gòu)、法律法規(guī)等的建設(shè)，如2017年5月，中國(guó)人民銀行成立金融科技（FinTech）委員會(huì)，旨在加強(qiáng)金融科技工作的研究規(guī)劃和統(tǒng)籌協(xié)調(diào)。從總體上看，國(guó)家監(jiān)管者對(duì)金融科技發(fā)展持開放態(tài)度，但同時(shí)對(duì)于金融科技風(fēng)險(xiǎn)的重視程度也逐年增強(qiáng)，預(yù)計(jì)未來幾年，國(guó)內(nèi)監(jiān)管機(jī)構(gòu)將采取更為主動(dòng)積極的監(jiān)管措施，以防范大型金融風(fēng)險(xiǎn)。

3 網(wǎng)絡(luò)安全威脅介紹

金融科技技術(shù)的發(fā)展大力推動(dòng)了金融服務(wù)領(lǐng)域的拓展和維度，其面臨的安全威脅也與日俱增。美國(guó)Cybersecurity Ventures發(fā)布的《2017年度網(wǎng)絡(luò)犯罪報(bào)告》①“Cybercrime damages are predicted to cost the world $6 trillion annually by 2021”，PR Newswire，2017年10月19日.https://www.prnewswire.com/news-releases/cybercrime-damages-are-predicted-to-cost-the-world-6-trillion-annually- by-2021-300540158.html.中指出：網(wǎng)絡(luò)犯罪是當(dāng)今世界上所有公司面臨的最大威脅，也是人類面臨的最大問題之一。根據(jù)這份報(bào)告，到2021年為止，網(wǎng)絡(luò)犯罪的成本將從2015年的3萬億美元增加到6萬億美元。眾所周知，金融行業(yè)是我國(guó)網(wǎng)絡(luò)安全重點(diǎn)行業(yè)之一，因其行業(yè)特殊性金融機(jī)構(gòu)一直是網(wǎng)絡(luò)犯罪的主要目標(biāo)。以下，我們將通過2017年金融行業(yè)的重大安全事件說明安全威脅可能造成影響及損失。

3.1 DDoS攻擊

分布式拒絕服務(wù)(DDoS: Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。

2017年6 月相繼發(fā)生的“匿名者”和“無敵艦隊(duì)”勒索事件，是對(duì)金融機(jī)構(gòu)發(fā)起大規(guī)模DDoS攻擊。顯而易見，拒絕服務(wù)攻擊已是當(dāng)前金融領(lǐng)域極為常見的安全威脅，金融作為對(duì)安全性和穩(wěn)定性都要求極高的行業(yè)，一旦服務(wù)癱瘓，資產(chǎn)管理系統(tǒng)中斷，將會(huì)造成難以彌補(bǔ)的損失。

攻擊仍然頻繁，共發(fā)生20.7萬次攻擊

2017年同去年同期相比，攻擊發(fā)生次數(shù)基本保持平穩(wěn)，共計(jì)發(fā)生20.7萬次。但是從攻擊總流量上來看有較為明顯的波動(dòng)，從年初到年中5月份前后，攻擊總流量有非常顯著的增長(zhǎng)，而5月份之后攻擊總流量回落至較為平穩(wěn)的水平。與2016年相比，2017攻擊仍然頻繁，攻擊總流量大幅上升。

圖2 2017年vs.2016年各月份攻擊次數(shù)和流量②《2017年DDoS與Web應(yīng)用攻擊態(tài)勢(shì)報(bào)告》，中國(guó)電信云堤，綠盟科技（即將聯(lián)合發(fā)布）.

從類型上看，2017年攻擊次數(shù)占比最高的攻擊類型仍然為反射型攻擊，實(shí)施這類攻擊，黑客只需要擁有很少的帶寬，就能經(jīng)過放大產(chǎn)生顯著的攻擊流量。從攻擊流量的上看，SYN Flood 2017年度占比突出超過60%。綜合2017年度網(wǎng)絡(luò)環(huán)境分析，綠盟認(rèn)為與2017年度物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的擴(kuò)張大有較大的關(guān)系，物聯(lián)網(wǎng)設(shè)備基數(shù)大、防護(hù)弱、長(zhǎng)時(shí)間在線的特點(diǎn)，天然就是DDoS攻擊發(fā)動(dòng)的溫床。

圖3 DDoS攻擊類型分布

流量再創(chuàng)新高，峰值高達(dá)1.4Tbps

流量持續(xù)攀升似乎已經(jīng)不是什么新的態(tài)勢(shì)，從近兩年的報(bào)告中都可以看到，每個(gè)月都會(huì)出現(xiàn)超過百G bps的流量，最高的時(shí)候流量已經(jīng)出于T bps的級(jí)別，2017年度攻擊最頻繁的5月，攻擊最高的峰值更是達(dá)到了1.4Tbps的級(jí)別，這種“巨無霸”攻擊，一次一次挑戰(zhàn)著防御者的能力上線。

圖4 DDoS攻擊流量分布

另外，從流量的區(qū)間分布來看，大流量攻擊明顯增多，也是2017年度一個(gè)顯著的趨勢(shì)。

來自IoT設(shè)備的攻擊比例達(dá)到12%

在2017年的DDoS攻擊中，攻擊源中IoT設(shè)備的數(shù)量已經(jīng)占據(jù)相當(dāng)?shù)谋壤?，在或大或小?guī)模的DDoS攻擊中IoT設(shè)備都有顯著的占比，已經(jīng)成為DDoS網(wǎng)絡(luò)環(huán)境中需要重點(diǎn)關(guān)注的一個(gè)類別。從網(wǎng)絡(luò)總體態(tài)勢(shì)來看，物聯(lián)網(wǎng)迅猛發(fā)展的過程中必然伴隨著安全技術(shù)的滯后，可預(yù)期IoT設(shè)備的威脅會(huì)進(jìn)一步提上治理日程，而作為最易實(shí)施的攻擊類型之一，DDoS攻擊中IoT設(shè)備的數(shù)量會(huì)進(jìn)步增長(zhǎng)。

圖5 DDoS攻擊源設(shè)備類型

在IoT設(shè)備參與DDoS的攻擊中，路由器、攝像頭是主要的設(shè)備類型。這與這兩年IoT發(fā)展的情況基本是一致的，大量的路由器、網(wǎng)絡(luò)攝像頭被引入生產(chǎn)、生活環(huán)境，而安全配套措施尚未進(jìn)一步完善，可以合理預(yù)期的是在物聯(lián)網(wǎng)攻擊這個(gè)領(lǐng)域會(huì)有更多的攻擊形式出現(xiàn)。從統(tǒng)計(jì)數(shù)字上看，攝像頭IP的惡意IP比例約4.8%。而歸屬中國(guó)的IP中惡意IP比例為1.57%，攝像頭惡意IP比例是普通IP的3倍，是值得特別關(guān)注的。

圖6 DDoS攻擊源IoT設(shè)備

3.2 網(wǎng)絡(luò)勒索

網(wǎng)絡(luò)勒索（cyberextortion）是一種犯罪行為，它對(duì)企業(yè)造成攻擊事實(shí)或攻擊威脅，同時(shí)向企業(yè)提出金錢要求來避免或停止攻擊。拒絕服務(wù)（DoS）攻擊是過去最常見的網(wǎng)絡(luò)勒索方式。近年，網(wǎng)絡(luò)犯罪已經(jīng)開發(fā)出可以用來加密受害人數(shù)據(jù)的勒索軟件（ransomware），然后攻擊者利用解密密鑰向受害人索取錢財(cái)。

圖7 2017年上半年最流行的勒索軟件①“Ransomware FAQ”， Microsoft.https://www.microsoft.com/en-us/wdsi/threats/ransomware

2017年6 月， “無敵艦隊(duì)”勒索事件再次上演，許多金融機(jī)構(gòu)收到勒索郵件，被要求支付10比特幣（市值約20萬人民幣）作為保護(hù)費(fèi)。同月，“匿名者”向全球金融機(jī)構(gòu)發(fā)起代號(hào)為“Opicarus2017”的攻擊，中國(guó)人民銀行、香港金融管理局等超過140個(gè)金融機(jī)構(gòu)都在其攻擊列表中。根據(jù)歐洲網(wǎng)絡(luò)與信息安全局 (ENISA)的報(bào)道②“Ransom attacks against unprotected Internet exposed databases”， ENISA，2017年9月13日.https://www.enisa.europa.eu/publications/info-notes/ransom-attacks-against-unprotected-internet-exposed-databases.：2017年8月底至2017年9月上旬，攻擊者利用勒索病毒劫持超過26000個(gè)數(shù)據(jù)庫并要求贖金?，F(xiàn)今，對(duì)互聯(lián)網(wǎng)服務(wù)的勒索攻擊已經(jīng)成為一種網(wǎng)絡(luò)攻擊趨勢(shì)，平均每天有4000起勒索軟件攻擊。面對(duì)這一系列攻擊，適當(dāng)?shù)乇Ｗo(hù)互聯(lián)網(wǎng)服務(wù)，遵循最佳做法是至關(guān)重要的安全措施。

3.3 僵尸網(wǎng)絡(luò)

據(jù)綠盟科技威脅情報(bào)中心（NTI）監(jiān)測(cè)的數(shù)據(jù)顯示，2017年Botnet活動(dòng)仍然十分猖獗，尤其Q2季度更是Botnet活動(dòng)的高發(fā)期。根據(jù)綠盟監(jiān)控的僵尸網(wǎng)絡(luò)C&C攻擊指令數(shù)據(jù)，在Botnet活動(dòng)最高峰時(shí)期，平均每天共發(fā)出5187次指令，單個(gè)C&C每天發(fā)出的指令最高達(dá)114次。

圖8 僵尸網(wǎng)絡(luò)C&C攻擊指令數(shù)據(jù)

2017年Botnet的數(shù)量和規(guī)模在不斷擴(kuò)大。其中，C&C的數(shù)量持續(xù)不斷增長(zhǎng)，進(jìn)入8月份后增速明顯，10月份環(huán)比增長(zhǎng)達(dá)到1.67%。另一方面，全球受控主機(jī)的數(shù)量間歇性增長(zhǎng)，8月份的數(shù)量環(huán)比上月增長(zhǎng)高達(dá)3倍（增長(zhǎng)320%）

圖9 僵尸網(wǎng)絡(luò)C&C變化趨勢(shì)

圖10 僵尸網(wǎng)絡(luò)受控主機(jī)變化趨勢(shì)

物聯(lián)網(wǎng)和智能、移動(dòng)設(shè)備構(gòu)成的Botnet開始對(duì)Botnet戰(zhàn)場(chǎng)的形勢(shì)產(chǎn)生新的影響。我們持續(xù)跟蹤的Botnet中，至少存在4%的樣本攻擊目標(biāo)為物聯(lián)網(wǎng)設(shè)備。雖然Botnet形式還是以Windows平臺(tái)的設(shè)備為主，但是近年來，隨著IoT設(shè)備、智能設(shè)備、移動(dòng)設(shè)備的入網(wǎng)，我們認(rèn)為針對(duì)IoT或其他智能、移動(dòng)設(shè)備的惡意樣本會(huì)越來越多。

對(duì)于PC用戶，通過郵件、“水坑”站點(diǎn)或者在軟件安裝包中捆綁惡意代碼都是很有效的入侵手段，而對(duì)于物聯(lián)網(wǎng)設(shè)備來說，其在線時(shí)間長(zhǎng)、用戶普遍疏于升級(jí)和配置、數(shù)量規(guī)模大，黑客通過簡(jiǎn)單掃描就可以捕獲大量存在漏洞的設(shè)備。今年10月綠盟科技威脅情報(bào)中心（NTI）發(fā)現(xiàn)并命名的機(jī)頂盒蠕蟲Rowdy，就是利用了機(jī)頂盒存在的脆弱性在國(guó)內(nèi)互聯(lián)網(wǎng)上大規(guī)模傳播①http://blog.nsfocus.net/iot-set-top-box-malware-rowdy-network-analysis-report/.。另外，綠盟科技關(guān)注到出現(xiàn)了一些Botnet家族攻擊的目標(biāo)是Android平臺(tái)的設(shè)備，典型的家族包括：Dendroid、FlexiSpy、GMbot等， Botnet儼然是一個(gè)全平臺(tái)存在的互聯(lián)網(wǎng)威脅。

圖11 僵尸網(wǎng)絡(luò)運(yùn)行平臺(tái)統(tǒng)計(jì)

正如在前文提到的，Botnet持續(xù)不斷的追求規(guī)模的擴(kuò)張，通過俘獲大量設(shè)備提升自身攻擊的能力，IoT設(shè)備具有的脆弱性使其成為理想的切入點(diǎn)。但是貪婪的黑客們野心并未停止，我們觀察到有的Botnet已經(jīng)具備了跨平臺(tái)的能力，他們?cè)诩婢咦詡鞑サ奶攸c(diǎn)時(shí)，同時(shí)能夠根據(jù)設(shè)備類型，植入對(duì)應(yīng)平臺(tái)的程序來獲取控制權(quán)限，進(jìn)一步提升了自己的傳播能力。下面是幾個(gè)典型的具有跨平臺(tái)傳播能力的Botnet：

表1 僵尸網(wǎng)絡(luò)跨平臺(tái)傳播能力分析之運(yùn)行平臺(tái)

從Botnet采用的程序語言上，也可以發(fā)現(xiàn)跨平臺(tái)的趨勢(shì)。C語言和腳本語言具有良好的跨平臺(tái)能力，無論在arm架構(gòu)的嵌入式系統(tǒng)中，在linux、Windows系統(tǒng)中都有良好的適應(yīng)能力。在此基礎(chǔ)上構(gòu)建的Botnet程序，可以具備跨平臺(tái)傳播運(yùn)行的能力。

表2 僵尸網(wǎng)絡(luò)跨平臺(tái)傳播能力分析之編寫語言

另外，腳本語言的編寫相對(duì)比較容易，可以更加快速高效地實(shí)現(xiàn)一個(gè)新的Botnet程序。較低的門檻、快速的收益吸引著更多的黑客加入進(jìn)來，使得網(wǎng)絡(luò)中Botnet的威脅形勢(shì)更加嚴(yán)峻。2017年9月，眾多網(wǎng)站發(fā)現(xiàn)其網(wǎng)頁內(nèi)嵌了挖礦JavaScript腳本，一旦用戶進(jìn)入網(wǎng)站，JS腳本就會(huì)自動(dòng)執(zhí)行，占用大量機(jī)器資源挖取數(shù)字加密貨幣，導(dǎo)致電腦異?？D①“騰訊安全2017年度互聯(lián)網(wǎng)安全報(bào)告”，騰訊電腦管家，2018年1月17日.https://guanjia.qq.com/news/n1/2258.html.。挖礦病毒就是僵尸網(wǎng)絡(luò)的一種。

2017年是挖礦木馬僵尸網(wǎng)絡(luò)大規(guī)模爆發(fā)的一年，出現(xiàn)了“Bondnet”、“Adylkuzz”、“隱匿者”等多個(gè)大規(guī)模挖礦木馬僵尸網(wǎng)絡(luò)，而其中很大一部分挖礦木馬僵尸網(wǎng)絡(luò)來自于中國(guó)。金融、運(yùn)營(yíng)商及互聯(lián)網(wǎng)等眾多行業(yè)均有相關(guān)安全事件發(fā)生。2017年12月底有安全公司發(fā)布預(yù)警稱“知名激活工具KMSpico內(nèi)含挖礦病毒”。據(jù)綠盟安全專家分析，原作者的官方版本并不含挖礦病毒，而是黑客利用搜索引擎排名假冒克隆KMSpico的網(wǎng)頁，發(fā)布捆綁挖礦軟件在內(nèi)的多種病毒，誘導(dǎo)用戶下載，進(jìn)而竊取用戶隱私信息或利用用戶電腦挖礦謀取暴利②“激活工具KMSpico內(nèi)含挖礦病毒事件的分析”，綠盟科技博客.http://blog.nsfocus.net/kmspico/.。

3.4 APT攻擊

高級(jí)長(zhǎng)期威脅（英語：advanced persistent threat，縮寫：APT），又稱高級(jí)持續(xù)性威脅、先進(jìn)持續(xù)性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對(duì)特定的目標(biāo)。其通常是出于商業(yè)或政治動(dòng)機(jī)，針對(duì)特定組織或國(guó)家，并要求在長(zhǎng)時(shí)間內(nèi)保持高隱蔽性。

在過往的監(jiān)控中，實(shí)現(xiàn)政治訴求的APT居多，例如伊朗“震網(wǎng)”事件、白俄羅斯軍事通訊社事件，隨著時(shí)間遷移，APT概念和技術(shù)開始被行業(yè)熟知，各種層面的對(duì)抗也更加復(fù)雜。2017年NSA“方程式組織”與CIA網(wǎng)絡(luò)情報(bào)機(jī)構(gòu)的武器庫泄露，為整個(gè)黑色產(chǎn)業(yè)鏈條提供了大量有價(jià)值的“彈藥”，更多的組織、個(gè)人可以利用更加成熟的技術(shù)實(shí)施高級(jí)攻擊。APT攻擊相較普通的攻擊手法，實(shí)施難度和成本都更高，除了國(guó)家資助下政府間的對(duì)抗外，受到巨大的利益驅(qū)使，金融行業(yè)首當(dāng)其沖成為攻擊的目標(biāo)，2017年綠盟科技發(fā)現(xiàn)的境外APT-C1組織就是利用“互金大盜”惡意軟件攻擊我國(guó)某互金平臺(tái)，竊取平臺(tái)數(shù)字資產(chǎn)就是一起典型針對(duì)金融行業(yè)新型業(yè)務(wù)所采取的APT攻擊事件。

金融行業(yè)與其他行業(yè)一樣，都在面對(duì)技術(shù)的革新和升級(jí)，一方面帶來了更多的便利性，另一方面勢(shì)必導(dǎo)致許多潛在的風(fēng)險(xiǎn)，但是與其他行業(yè)不同的是，金融行業(yè)的資產(chǎn)天生比其他行業(yè)具有更直接的價(jià)值，對(duì)于APT風(fēng)險(xiǎn)，金融行業(yè)需要特別關(guān)注。

4 數(shù)據(jù)安全威脅介紹

近年，大規(guī)模數(shù)據(jù)泄露事件猛增，2017年前11個(gè)月的數(shù)據(jù)泄露事件起數(shù)已比2016年全年總數(shù)多出10%①“The 10 Biggest Data Breaches Of 2017”， CRN, 2017年12月.http://www.crn.com/slide-shows/security/300096951/the-10-biggest-data-breaches-of-2017.htm.。美國(guó)知名信用機(jī)構(gòu)Equifax在9月份透露，曾遭黑客襲擊，導(dǎo)致1.43億名用戶的信息泄露②“An Offensive Defense: Lessons from the Equifax Breach”，https://www.gartner.com/smarterwithgartner/an-offensive-defense-lessons-from-the-equifax-breach/.；科技公司Uber則在11月發(fā)現(xiàn)，5700萬名乘客和司機(jī)的信息在2016年一次大規(guī)模數(shù)據(jù)泄露事件中被黑客竊取。數(shù)據(jù)泄露的目標(biāo)除了政府機(jī)構(gòu)和金融機(jī)構(gòu)，已經(jīng)擴(kuò)大到第三方承包商、數(shù)據(jù)集成商、以及安全廠商和解決方案提供商自身，越來越多企業(yè)和個(gè)人將可能因數(shù)據(jù)泄露而處于危險(xiǎn)之中。

4.1 數(shù)據(jù)庫漏洞與利用

2017年1 月至2月其間發(fā)生了多起知名的數(shù)據(jù)庫勒索事件。很多數(shù)據(jù)庫的讀取接口直接暴露在互聯(lián)網(wǎng)上，并且沒有設(shè)置完整的訪問控制策略，通過弱密碼甚至空密碼就可以直接獲取數(shù)據(jù)庫的控制權(quán)限。數(shù)據(jù)庫勒索主要通過黑客手段獲取數(shù)據(jù)庫控制權(quán)，加密或破壞數(shù)據(jù)，以此要挾受害者支付贖金。

數(shù)據(jù)庫安全成為2017年的安全熱點(diǎn)，我們針對(duì)涉及到的數(shù)據(jù)庫近三年來中、高危漏洞進(jìn)行了統(tǒng)計(jì)。

圖12 高、中危漏洞統(tǒng)計(jì)

其中MySQL的漏洞暴露最嚴(yán)重，從增速方面看，除了MySQL，PostgreSQL在過去三年里的漏洞也有較快的增長(zhǎng)。相比之下，MongoDB、Elasticsearch、Redis、Hadoop 等數(shù)據(jù)庫則相對(duì)安全性，不過仍有一定程度的增長(zhǎng)從數(shù)據(jù)庫漏洞的發(fā)展態(tài)勢(shì)上看，數(shù)據(jù)庫的安全問題也越來越受到關(guān)注，也許基于基于漏洞利用的數(shù)據(jù)庫劫持事件將在不遠(yuǎn)的將來出現(xiàn)。

4.2 內(nèi)部人員數(shù)據(jù)倒賣

根 據(jù)Identity Theft Resource Center和CyberScout發(fā)布的報(bào)告①“At Mid-Year, U.S.Data Breaches Increase at Record Pace”，CyberScout, 2017年7月18日.http://cyberscout.com/company/press-center/press-release/at-mid-year-us-data-breaches-increase-at-record-pace?title=&type=press_release.，預(yù)計(jì)2017年全年將會(huì)有多達(dá)1500起數(shù)據(jù)泄露事件發(fā)，相比2016年發(fā)生的1093起增加37%。Loudhouse曾發(fā)布的企業(yè)安全調(diào)查報(bào)告②“What's your employees' price?”, clearswift.https://www.clearswift.com/sites/default/files/documents/Infographics/Clearswift_What_is_your_employees_price_infographic_US.PDF.也顯示，如果價(jià)格到位，35%的員工會(huì)倒賣包括公司專利、財(cái)務(wù)記錄和客戶信用卡等敏感數(shù)據(jù)。

2017年6 月，Verizon證實(shí)有600萬用戶的數(shù)據(jù)被泄露，并表示此次數(shù)據(jù)泄漏是由該公司供應(yīng)商的一名員工造成的，他因操作失誤導(dǎo)致外部可進(jìn)入云存儲(chǔ)區(qū)域訪問信息。同年，Verizon發(fā)布數(shù)據(jù)泄露調(diào)查報(bào)告指出，已發(fā)生的數(shù)據(jù)泄露事件中，有25%是由內(nèi)部人員造成的。因此，金融行業(yè)作為信息泄露高發(fā)的行業(yè)，應(yīng)完善敏感信息保護(hù)措施，加強(qiáng)內(nèi)部管理，建立必要的制約與控制機(jī)制。

圖13 數(shù)據(jù)泄露成因③ “Mitigate the cyber risks with the Verizon 2017 Data Breach Investigations Report.”，Verizon.http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/.

4.3 云上數(shù)據(jù)竊取

2017年中國(guó)私有云市場(chǎng)規(guī)模達(dá)預(yù)估已達(dá)425億元左右，到2020年市場(chǎng)規(guī)模將達(dá)到762.4億元④《2018-2024年中國(guó)私有云行業(yè)運(yùn)營(yíng)態(tài)勢(shì)及發(fā)展趨勢(shì)研究報(bào)告》，智妍咨詢集團(tuán)，2017年11月.。而本次問卷調(diào)查顯示，我國(guó)金融行業(yè)約60%的機(jī)構(gòu)使用了各類的云服務(wù)，大部分使用的是私有云，也有超過20%的機(jī)構(gòu)使用公有云或者混合云。金融行業(yè)使用云業(yè)務(wù)最關(guān)心的風(fēng)險(xiǎn)除了數(shù)據(jù)及隱私保護(hù)外，也十分關(guān)注業(yè)務(wù)的訪問權(quán)限控制。

圖14 企業(yè)使用云計(jì)算服務(wù)比例

圖15 云計(jì)算服務(wù)安全風(fēng)險(xiǎn)點(diǎn)

個(gè)人數(shù)據(jù)及隱私安全不僅是企業(yè)自身的安全要求，也是國(guó)家監(jiān)管者越來越重視的方面。如歐盟頒布的《一般數(shù)據(jù)保護(hù)條例》，將于2018年5月25日起實(shí)施，要求加強(qiáng)對(duì)歐盟所有人的隱私權(quán)保護(hù)、物聯(lián)網(wǎng)的隱私權(quán)保護(hù)，并簡(jiǎn)化數(shù)據(jù)保護(hù)的管理。而在國(guó)內(nèi)，新頒布的《網(wǎng)絡(luò)安全法》和正在制訂的《個(gè)人信息保護(hù)法》也突出了國(guó)家監(jiān)管者對(duì)數(shù)據(jù)及隱私安全的重視。

5 業(yè)務(wù)安全威脅介紹

業(yè)務(wù)安全威脅來源有很多，如使用不安全的函數(shù)或協(xié)議，集成了有缺陷的SDK、Web插件、服務(wù)器程序，或者業(yè)務(wù)流程上的邏輯缺陷等。

依據(jù)本次問卷收集數(shù)據(jù)統(tǒng)計(jì)，金融行業(yè)已經(jīng)大幅度互聯(lián)網(wǎng)化，83.5%的機(jī)構(gòu)或企業(yè)都開展了互聯(lián)網(wǎng)業(yè)務(wù)。在互聯(lián)網(wǎng)業(yè)務(wù)中，Web類的攻擊顯得非常突出，在安全管理中，企業(yè)機(jī)構(gòu)非常關(guān)注三方面的問題：1、自身資產(chǎn)是否存在漏洞 2、自有資產(chǎn)開放高危端口與服務(wù)情況 3、是否存在信息泄露風(fēng)險(xiǎn)。結(jié)合金融行業(yè)業(yè)務(wù)發(fā)展現(xiàn)狀，業(yè)務(wù)安全威脅重點(diǎn)梳理了Web攻擊、銀行機(jī)構(gòu)ATM與SWIFT攻擊威脅、金融欺詐威脅、移動(dòng)支付威脅、區(qū)塊鏈安全威脅。

在金融行業(yè)的信息系統(tǒng)開發(fā)環(huán)節(jié)，僅有32.9%的機(jī)構(gòu)采用SDL管理，而且調(diào)查顯示，大部分安全管理工作集中在運(yùn)維、上線、測(cè)試階段，在需求、設(shè)計(jì)、編碼階段對(duì)安全考慮十分欠缺。

5.1 Web攻擊與代碼缺陷

Web攻擊是常見的攻擊類型。根據(jù)綠盟防護(hù)數(shù)據(jù)統(tǒng)計(jì)，73.6%的網(wǎng)站遭遇過不同程度的Web類型的攻擊，65.9%的網(wǎng)站遭遇了利用特定程序漏洞進(jìn)行的攻擊。

圖16 Web類攻擊分布

在金融行業(yè)中，針對(duì)Web服務(wù)器的攻擊中，攻擊次數(shù)最多的仍然是一些最常規(guī)的攻擊手段，包括SQL注入、XPATH注入、跨站、路徑穿越、命令注入等，這部分攻擊占比超過60%。Web攻擊已經(jīng)成為一個(gè)基本的攻擊手段，也是各類攻擊中相對(duì)容易實(shí)施的。此外針對(duì)特定的Web插件、服務(wù)器程序的攻擊比例也相對(duì)較高，企業(yè)應(yīng)該定期維護(hù)系統(tǒng)，升級(jí)相關(guān)的服務(wù)器應(yīng)用。

圖17 Web類攻擊類型細(xì)分

從服務(wù)器類型上來看，在金融行業(yè)中Nginx、IIS、Tomcat服務(wù)器是遭受攻擊最為頻繁的資產(chǎn)類型，在使用這類服務(wù)器時(shí)應(yīng)該仔細(xì)防護(hù)。

圖18 受攻擊的Web服務(wù)器類型

從服務(wù)器系統(tǒng)應(yīng)用程序的角度，針對(duì)金融行業(yè)的攻擊中普遍針對(duì)的漏洞類型是關(guān)鍵信息泄露，這類漏洞通常是由于服務(wù)器軟件配置上的錯(cuò)誤造成，這些信息包括文件在服務(wù)器磁盤系統(tǒng)中位置、系統(tǒng)版本號(hào)等不一而同，能夠提供進(jìn)一步入侵所需的各種資料。此外，文件類型過濾錯(cuò)誤導(dǎo)致的文件執(zhí)行也是經(jīng)常出現(xiàn)的漏洞類型，這類攻擊造成的危害更為嚴(yán)重，直接可以獲取高權(quán)限webshell，為黑客提權(quán)控制創(chuàng)造了條件。

圖19 Web服務(wù)器最常被利用的漏洞類型分布

代碼存在缺陷是Web攻擊事件逐年增加的主因。參考Fortify官方的表述，根據(jù)代碼缺陷形成的原因、被利用的可能性和表現(xiàn)出的安全問題等因素進(jìn)行分析，將代碼缺陷分為八類：

圖20 常見的代碼缺陷分類

5.2 業(yè)務(wù)欺詐

隨著消費(fèi)金融的快速發(fā)展，各類金融機(jī)構(gòu)都面臨著一個(gè)嚴(yán)峻的問題：欺詐。在全球風(fēng)險(xiǎn)管理咨詢公司Kroll發(fā)表的《2017/18年度全球反欺詐及風(fēng)險(xiǎn)報(bào)告》①“Global Fraud & Risk Report”， Kroll.https://www.kroll.com/en-us/global-fraud-and-risk-report-2018.中，中國(guó)有86%的受訪企業(yè)表示2017年曾遭受欺詐，較全球平均值的84%略高2個(gè)百分點(diǎn)。

《中國(guó)金融反欺詐技術(shù)應(yīng)用報(bào)告》②《中國(guó)金融反欺詐技術(shù)應(yīng)用報(bào)告》，零壹智庫，猛犸，2017年8月.指出，2017年第一季度，金融服務(wù)領(lǐng)域被拒絕的交易相較于2016年增長(zhǎng)了40%，相關(guān)僵尸攻擊的年同比增長(zhǎng)幅度為180%；預(yù)計(jì)到2020年，在線支付欺詐將達(dá)256億美元，而預(yù)計(jì)到2019年因數(shù)據(jù)泄露造成的經(jīng)濟(jì)損失在全球范圍內(nèi)將達(dá)到2.1萬億美元。金融欺詐設(shè)計(jì)的業(yè)務(wù)環(huán)節(jié)多、手段多樣、隱蔽性強(qiáng)，金融欺詐移動(dòng)化、組織化程度不斷增加，新型金融科技公司愈漸成為欺詐者的目標(biāo)。

圖21 2017年各行業(yè)發(fā)生欺詐事件比例 ③ 同腳注①

5.3 ATM與SWIFT攻擊

2017年度，針對(duì)銀行ATM設(shè)備的攻擊方式有了新發(fā)展，利用紅外插入式卡槽器展開網(wǎng)絡(luò)攻擊活動(dòng)。據(jù)悉，插入式卡槽器是一款采用短距離紅外通信技術(shù)的超薄微型設(shè)備，隱藏在ATM 機(jī)卡槽內(nèi)捕獲信用卡數(shù)據(jù)并存儲(chǔ)在嵌入式閃存中。雖然該設(shè)備構(gòu)造簡(jiǎn)單，但主要通過天線將竊取的私人數(shù)據(jù)傳輸至隱藏在 ATM 機(jī)外部的微型攝像頭中，進(jìn)而收集信用卡或借記卡數(shù)據(jù)，之后極有可能被用于偽造信用卡或借記卡后獲取用戶資金。

2017年10 月份，臺(tái)灣遠(yuǎn)東銀行SWIFT事件遭盜領(lǐng)6000萬美元，警方介入追回大部分臟款，損失約50萬美元。同期，泊爾 NIC 亞洲銀行沒有那么好的運(yùn)氣，在類似的SWIFT事件中損失約500萬美元。而且，這并非銀行機(jī)構(gòu)首次遭受黑客攻擊，充分說明銀行業(yè)金融機(jī)構(gòu)對(duì)于反復(fù)發(fā)生的此類安全事件沒有足夠重視，且沒有有效的控制措施。信息安全管理不能只靠運(yùn)氣，建立健全的安全管理體系和有經(jīng)驗(yàn)的安全團(tuán)隊(duì)才是降低風(fēng)險(xiǎn)的正確道路。

5.4 移動(dòng)支付安全

中國(guó)支付清算協(xié)會(huì)移動(dòng)支付和網(wǎng)絡(luò)支付應(yīng)用工作委員會(huì)發(fā)布了《2017年移動(dòng)支付用戶調(diào)研報(bào)告④《2017年移動(dòng)支付用戶調(diào)研報(bào)告》，中國(guó)支付清算協(xié)會(huì)，2018年1月2日.http://www.pcac.org.cn/index.php/focus/list_details/ids/457/id/50/topicid/3.html.中指出：有59.0%用戶擔(dān)心移動(dòng)支付安全問題。用戶在使用生物識(shí)別技術(shù)進(jìn)行移動(dòng)支付身份識(shí)別和交易驗(yàn)證時(shí)，首要擔(dān)心的問題是個(gè)人隱私泄露和存在安全隱患，占比分別為77.1%和70.2%。

根據(jù)中國(guó)銀聯(lián)發(fā)布的《2017移動(dòng)互聯(lián)網(wǎng)支付安全調(diào)查報(bào)告》⑤“中國(guó)銀聯(lián)發(fā)布2017移動(dòng)支付安全調(diào)查分析報(bào)告”, 2018年1月17日.http://corporate.unionpay.com/infonewsCenter/infoCompany News/file_140100747.html.，移動(dòng)支付安全存在的5大風(fēng)險(xiǎn)是：隨意掃碼；刪除手機(jī)應(yīng)用APP時(shí)不解除銀行卡綁定；上網(wǎng)時(shí)如實(shí)填寫各類支付信息；看有鏈接的短信或郵件；安裝跳出來的不明文件。因此，作為移動(dòng)支付的使用者，需要時(shí)刻提高警惕，防范各種支付風(fēng)險(xiǎn)。中國(guó)銀聯(lián)的報(bào)告還指出，被調(diào)查者中，超過6成被訪者在使用手機(jī)時(shí)，存在不安全行為，對(duì)個(gè)人信息或支付賬號(hào)安全產(chǎn)生威脅。如，49%的用戶在刪除手機(jī)應(yīng)用程序時(shí)，不解除銀行卡綁定。因此，作為移動(dòng)支付的使用者，需要時(shí)刻提高警惕，防范各種支付風(fēng)險(xiǎn)。

圖22 支付方式 ①“中國(guó)銀聯(lián)發(fā)布2017移動(dòng)支付安全調(diào)查分析報(bào)告”, 2018年1月17日.http://corporate.unionpay.com/infonewsCenter/infoCompany News/file_140100747.html.

5.5 區(qū)塊鏈安全

區(qū)塊鏈?zhǔn)且环N分布式網(wǎng)絡(luò)交易記賬系統(tǒng)。它具有的開放性、全球性的特點(diǎn)，保證了交易活動(dòng)可以在任何時(shí)間、任何地點(diǎn)進(jìn)行，突破了傳統(tǒng)貿(mào)易在時(shí)空上的限制。因此被認(rèn)為在金融、征信、物聯(lián)網(wǎng)、經(jīng)濟(jì)貿(mào)易結(jié)算、資產(chǎn)管理等眾多領(lǐng)域都擁有廣泛的應(yīng)用前景。2017年，隨著國(guó)務(wù)院把區(qū)塊鏈技術(shù)列入在“十三五”規(guī)劃②“What’s the future of blockchain in China?”， World Economic Forum, 2018年1月11日.https://www.weforum.org/agenda/2018/01/what-s-the-future-of-blockchain-in-china.，中國(guó)的加密貨幣市場(chǎng)總值也增長(zhǎng)了30倍。

在ENISA發(fā) 布 的《Distributed Ledger Technology & Cybersecurity》③“ENISA report on blockchain technology and security”，ENISA，2018年1月18日.https://www.enisa.europa.eu/news/enisa-news/enisa-report-on-blockchain-technology-and-security.報(bào)告中分析了區(qū)塊鏈技術(shù)，同時(shí)也明示了它所帶來的一些挑戰(zhàn)：如密鑰管理，隱私，智能合約等。報(bào)告指出，傳統(tǒng)系統(tǒng)和區(qū)塊鏈中使用的一些安全原則雖然是相同的，但是它仍然帶來了新的挑戰(zhàn)值得我們?nèi)リP(guān)注，比如共識(shí)劫持和智能合約管理。

然而，在區(qū)塊鏈不斷得到研究、應(yīng)用的同時(shí)，在技術(shù)層面和應(yīng)用層面依舊存在一定的安全局限，在共識(shí)機(jī)制、私鑰防盜等方面仍需提高安全意識(shí)和加強(qiáng)防范措施。2018年2月，132名投資者向日本加密交易所Coincheck提起訴訟，要求其賠償2.28億萬日元（約200萬美元）損失，原因是Coincheck在1月下旬曾遭受黑客重大攻擊，導(dǎo)致價(jià)值超過5.23億美元的NEM被盜。有投資者認(rèn)為事件是Coincheck對(duì)“安全措施的忽視”造成的④“132名投資者起訴Coincheck交易所，尋求超400萬美元賠償”，雷鋒網(wǎng)，2018年3月2日.https://www.leiphone.com/news/201803/WKxzAD1Eg93mNwr9.html.。

6 總結(jié)與展望

6.1 總結(jié)

金融科技是金融業(yè)務(wù)創(chuàng)新的一個(gè)模式，在這個(gè)模式中，通過科技的力量極大的改變和提升了金融業(yè)務(wù)在普惠性、便捷性、差異性、靈活性等方面的發(fā)展和建設(shè)程度。回顧人類的歷史，科學(xué)技術(shù)通常帶有創(chuàng)造和毀滅的兩面性，對(duì)于金融業(yè)這樣一個(gè)特殊的行業(yè)，必須實(shí)時(shí)保持對(duì)風(fēng)險(xiǎn)的警惕和防范控制。在2017年的“全國(guó)金融工作會(huì)議“上，習(xí)近平主席特別強(qiáng)調(diào)防控金融風(fēng)險(xiǎn)是當(dāng)前的一項(xiàng)主要工作任務(wù)。因此在金融科技這樣一個(gè)創(chuàng)新模式中行業(yè)機(jī)構(gòu)必須重視科技本身以及在其利用和使用過程中所攜帶和面對(duì)的安全隱患。

本報(bào)告結(jié)合最新的案例和豐富的情報(bào)來源，以金融科技面臨網(wǎng)絡(luò)安全威脅、數(shù)據(jù)安全威脅和業(yè)務(wù)安全威脅作為切入點(diǎn)，直觀地分析了各類威脅的現(xiàn)狀及趨勢(shì)，在分析DDOS、web類攻擊和數(shù)據(jù)庫漏洞利用等傳統(tǒng)威脅的同時(shí)，更加著重對(duì)移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、區(qū)塊鏈等新技術(shù)所帶來安全威脅進(jìn)行分析。從分析中可見，金融科技要持續(xù)、健康地發(fā)展，安全問題必不可忽視，需要從安全意識(shí)教育、安全設(shè)備部署、安全服務(wù)引入、安全人才儲(chǔ)備、安全預(yù)算投入等方面提升整體安全能力。

6.2 展望

按照2017年的“全國(guó)金融工作會(huì)議“的要求，一切金融業(yè)務(wù)都要納入監(jiān)管，因此金融機(jī)構(gòu)在發(fā)展和應(yīng)用金融科技的同時(shí)必須嚴(yán)格依據(jù)和滿足國(guó)家監(jiān)管要求，不能一味追求追求創(chuàng)新。金融科技的風(fēng)險(xiǎn)誠(chéng)如前面報(bào)告分析所示，包括了諸多的方面，既有持續(xù)出現(xiàn)的傳統(tǒng)網(wǎng)絡(luò)安全威脅也有新興的網(wǎng)絡(luò)安全威脅。綜合考慮這些風(fēng)險(xiǎn)的危害范圍、危害程度以及金融機(jī)構(gòu)的應(yīng)對(duì)防護(hù)現(xiàn)狀，我們認(rèn)為針對(duì)金融科技風(fēng)險(xiǎn)，金融機(jī)構(gòu)需要在未來關(guān)注以下六個(gè)方面：

- 新的監(jiān)管合規(guī)要求

重視自身風(fēng)險(xiǎn)管控能力與風(fēng)險(xiǎn)之間的匹配和差距程度。

- 內(nèi)部的安全培訓(xùn)

提高內(nèi)部人員安全意識(shí)，加強(qiáng)開發(fā)安全標(biāo)準(zhǔn)、安全部署與管理等方面的意識(shí)和技能培養(yǎng)。

- 新技術(shù)應(yīng)用風(fēng)險(xiǎn)

應(yīng)對(duì)物聯(lián)網(wǎng)，區(qū)塊鏈，移動(dòng)支付等潛在安全風(fēng)險(xiǎn)。

- 開發(fā)安全管控

系統(tǒng)地識(shí)別和消除各個(gè)階段可能出現(xiàn)的由于人員知識(shí)和技能、開發(fā)環(huán)境、業(yè)務(wù)邏輯等所造成的信息安全風(fēng)險(xiǎn)。

- 高風(fēng)險(xiǎn)網(wǎng)絡(luò)攻擊

應(yīng)對(duì)DDOS攻擊、WEB攻擊、有組織的APT攻擊、欺詐與勒索等潛在安全威脅。

- 數(shù)據(jù)安全

一方面要切實(shí)遵循國(guó)內(nèi)外數(shù)據(jù)及隱私安全監(jiān)管條例，另一方面加強(qiáng)企業(yè)數(shù)據(jù)保護(hù)及防范數(shù)據(jù)倒賣風(fēng)險(xiǎn)的能力。

作者介紹：

平安金融安全研究院是由平安集團(tuán)旗下的全資子公司平安科技成立的業(yè)界首家綜合性的金融安全研究及創(chuàng)新機(jī)構(gòu)，為平安集團(tuán)、行業(yè)、國(guó)家提供強(qiáng)有力的金融安全技術(shù)支撐，推動(dòng)和引領(lǐng)我國(guó)在金融安全方面的科學(xué)技術(shù)進(jìn)步，打造金融安全品牌。

北京神州綠盟科技有限公司（以下簡(jiǎn)稱綠盟科技）成立于2000年4月，總部位于北京。在國(guó)內(nèi)外設(shè)有40多個(gè)分支機(jī)構(gòu)，為金融、政府、運(yùn)營(yíng)商、能源、互聯(lián)網(wǎng)以及教育、醫(yī)療等行業(yè)用戶，提供具有核心競(jìng)爭(zhēng)力的安全產(chǎn)品及解決方案，幫助客戶實(shí)現(xiàn)業(yè)務(wù)的安全順暢運(yùn)行。

參考資料介紹：

《2017中國(guó)企業(yè)金融科技安全調(diào)查問卷》

本問卷由平安金融安全研究院和北京神州綠盟信息安全科技股份有限公司共同發(fā)起，主要用于統(tǒng)計(jì)2017年度行業(yè)信息安全現(xiàn)狀，便于更好地設(shè)計(jì)安全的金融科技產(chǎn)品。本問卷共發(fā)出1591份，覆蓋安全行業(yè)及金融行業(yè)。