近兩年來，網(wǎng)絡(luò)與信息安全領(lǐng)域大的背景，猶如一個(gè)萬花筒，復(fù)雜多變，令人眼花繚亂，很難用一句話來概括，尤其是隨著大數(shù)據(jù)時(shí)代的到來，數(shù)據(jù)安全更是受到前所未有的重視。

而互聯(lián)網(wǎng)金融也席卷中國熱潮，從之前的網(wǎng)上購物到現(xiàn)在手機(jī)支付、微信支付、滴滴打車等，越來越方便了我們的生活，為更多的人所接受，為我們帶來無限商機(jī)的同時(shí)，也要考慮到金融風(fēng)險(xiǎn)的防范。

那么在互聯(lián)網(wǎng)時(shí)代的今天，金融安全的現(xiàn)狀如何呢?我們應(yīng)該怎樣看待金融安全呢?今天，51cto記者采訪了國家信息技術(shù)安全研究院副處長曹宇，讓我們來聽聽曹老師對(duì)當(dāng)前網(wǎng)絡(luò)金融安全如何看!

[[167612]]

金融安全現(xiàn)狀

一、是從銀行機(jī)構(gòu)抽查情況來看，安全性同比其他行業(yè)較好。

1. 認(rèn)證體系基本完善，技術(shù)應(yīng)用世界領(lǐng)先(電子銀行的安全一直是技術(shù)在引領(lǐng)，中國硬件身份認(rèn)證技術(shù)走在世界的前列，網(wǎng)上銀行基本實(shí)現(xiàn)了雙因子證書認(rèn)證);
2. 系統(tǒng)防護(hù)體系趨于成熟，防護(hù)能力較高;
3. 風(fēng)險(xiǎn)控制體系逐漸形成，安全防護(hù)緯度多;
4. 政策監(jiān)管在加強(qiáng)，管理層安全意識(shí)強(qiáng)。

二、是從高強(qiáng)度滲透測試來看，金融系統(tǒng)應(yīng)對(duì)大規(guī)模網(wǎng)絡(luò)攻擊任然存在風(fēng)險(xiǎn)。

1. 遠(yuǎn)程監(jiān)測20%金融機(jī)構(gòu)官方網(wǎng)站存在高危漏洞。
2. 邏輯錯(cuò)誤、權(quán)限繞過、信息泄漏等業(yè)務(wù)系統(tǒng)高危漏洞時(shí)有發(fā)生。
3. 移動(dòng)互聯(lián)網(wǎng)、互聯(lián)網(wǎng)金融迅速發(fā)展，安全問題變得無處不在。

三、是從國家的戰(zhàn)略層面來看，網(wǎng)絡(luò)安全挑戰(zhàn)依然嚴(yán)峻。

1. 國產(chǎn)率較低，自主可控壓力較大;
2. 系統(tǒng)復(fù)雜、防護(hù)滯后、安全動(dòng)態(tài)變化、科技風(fēng)險(xiǎn)集中;
3. 黑色產(chǎn)業(yè)趨利化、集團(tuán)化、跨境化(如一次跨境網(wǎng)絡(luò)釣魚攻擊，黑客從騙取用戶的信息到國外的ATM取現(xiàn)只需要2小時(shí)，而立案最快得6小時(shí));
4. 相關(guān)法律法規(guī)、信用體系仍待完善。

曹老師認(rèn)為，網(wǎng)絡(luò)金融在給消費(fèi)者帶來便利體驗(yàn)的同時(shí)，其安全性問題也日益顯現(xiàn)。網(wǎng)絡(luò)金融安全問題的發(fā)生，通常是跨平臺(tái)、跨地域、覆蓋存、貸、流通的各個(gè)層面，對(duì)金融機(jī)構(gòu)、電商、安全企業(yè)都構(gòu)成挑戰(zhàn)，單獨(dú)從一個(gè)環(huán)節(jié)去入手，往往困難重重。只有通過網(wǎng)絡(luò)金融產(chǎn)業(yè)鏈的合作，打造由政府、銀行、商家、安全服務(wù)商等全面協(xié)同參與的網(wǎng)絡(luò)金融保護(hù)鏈條，提供系統(tǒng)性的安全解決方案，才能切實(shí)保護(hù)消費(fèi)者利益。

• 從網(wǎng)絡(luò)威脅的角度來看：網(wǎng)絡(luò)金融系統(tǒng)復(fù)雜，漏洞隨時(shí)可能出現(xiàn);與此同時(shí)網(wǎng)絡(luò)環(huán)境日益惡化，大規(guī)模攻擊時(shí)有發(fā)生;現(xiàn)有的安全防護(hù)體系難以防范大規(guī)模高強(qiáng)度滲透攻擊
• 從技術(shù)發(fā)展來看：云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)的等新技術(shù)、新應(yīng)用的快速應(yīng)用給網(wǎng)絡(luò)金融帶來較大沖擊
• 從人才隊(duì)伍建設(shè)來看：網(wǎng)絡(luò)金融安全的范疇在延伸，網(wǎng)絡(luò)安全工作人員比例不足，特別是網(wǎng)絡(luò)攻防分析隊(duì)伍人員緊缺
• 從安全可控角度來看：關(guān)鍵技術(shù)產(chǎn)品過度依賴少數(shù)廠商，安全可控能力不強(qiáng);云計(jì)算以及互聯(lián)網(wǎng)金融的規(guī)?；l(fā)展，整體架構(gòu)的遷移有望自主可控獲得突破性進(jìn)展。

金融系統(tǒng)的APT攻防之道

金融系統(tǒng)的APT攻防之道，從技術(shù)防控和業(yè)務(wù)防控兩方面淺談攻防演進(jìn)的趨勢。新一代的防御體系，至少具備四個(gè)能力。

• 應(yīng)該具有智能的威脅感知能力，
• 需要加強(qiáng)知彼的能力，
• 應(yīng)該具有高強(qiáng)度攻擊抵御能力、快速應(yīng)急響應(yīng)能力，
• 是大數(shù)據(jù)分析能力，

從業(yè)務(wù)防控的演進(jìn)來看，2006年到2014年的電子銀行認(rèn)證體系的發(fā)展，就是不斷的加鎖的過程。

曹老師表示，總體來看，國產(chǎn)信息科技產(chǎn)業(yè)鏈發(fā)展仍不平衡，特別是在一些關(guān)鍵技術(shù)領(lǐng)域，國外產(chǎn)品仍處在領(lǐng)先地位。銀行業(yè)在核心技術(shù)領(lǐng)域仍存在對(duì)于國外信息技術(shù)產(chǎn)品的依賴，銀行業(yè)全面提高信息系統(tǒng)自主可控能力仍是一項(xiàng)長期、復(fù)雜、艱巨的工作，需要在國家、行業(yè)、銀行自身等多個(gè)層面持續(xù)完善、相互促進(jìn)。