TMT观察网_独特视角观察TMT行业

2018年3月29日，深圳—今日，金融安全3.0時代安全生態圈構建暨《2017金融科技安全分析報告》發布會在深圳四季酒店召開。會上正式發布了《2017金融科技安全分析報告》。這份由平安金融安全研究院和綠盟科技共同合作撰寫的報告認為，隨著金融和科技融合，金融科技日漸成為金融產品的重要支撐手段，安全威脅手段也隨之推陳出新，攻防發展的不對稱導致金融安全事件層出不窮。在金融科技這樣一個創新模式中，行業機構必須重視科技本身以及在其利用和使用過程中所攜帶和面對的安全隱患，多方協作合力構建金融安全3.0時代的安全生態圈。

報告利用外部大數據的方法，結合最新的案例和豐富的情報來源，以金融科技面臨網絡安全威脅、數據安全威脅和業務安全威脅作為切入點，直觀地分析了各類威脅的現狀及趨勢，著重對移動互聯網、云計算、區塊鏈等新技術所帶來安全威脅進行分析。從分析中可見，金融科技要持續、健康地發展，安全問題必不可忽視，需要從安全意識教育、安全設備部署、安全服務引入、安全人才儲備、安全預算投入等方面提升整體安全能力。

平安金融安全研究院執行副院長李洋博士

平安金融安全研究院執行副院長李洋博士指出：“金融安全是國家關鍵信息基礎設施有機組成部分。在金融科技蓬勃發展的同時，金融安全亦不容忽視。在2017年，平安科技成立了業內首家金融安全研究院，提出了金融安全3.0理念。平安集團以金融安全3.0為理論基礎，通過三部分支撐，即保障平安集團安全運營、通過安全專家服務賦能金融等行業、通過創新推動安全的前沿技術的發展及落地實踐。平安科技希望攜手更多如綠盟科技一樣的合作伙伴，保障金融信息基礎設施安全，推動金融科技安全研究的創新和落地實踐，為金融科技及創新金融業務提供立體化的安全保障。”

綠盟科技高級副總裁葉曉虎博士

綠盟科技高級副總裁葉曉虎博士表示：“近幾年來， IT技術已經逐步成為幫助金融行業進行模式創新和市場開拓的核心驅動力之一，金融和科技技術的融合發展大力推動了金融服務領域的拓展和維度，其面臨的安全威脅也與日俱增。互聯網金融安全事件頻發，如大規模數據泄露、盜刷資損、薅羊毛、安全漏洞攻擊等，將對業務造成資金損失和極大的負面影響，值得深思和重視。”

“眾所周知，金融行業是我國網絡安全重點行業之一，因其行業特殊性金融機構一直是網絡犯罪的主要目標。那么相較2016年，2017年網絡安全態勢更為嚴峻。”葉曉虎博士說道：“從綠盟科技威脅情報監測結果顯示，2017年金融行業DDOS攻擊總流量和攻擊規模大幅上升，單次攻擊峰值高達1.4Tbps（是2016年的近2倍）；2017年Botnet的數量和規模不斷擴大，網絡勒索時間頻發，MySQL、PostgreSQL的漏洞也有較快的增長，以Web應用為目標的攻擊中針對框架（例如Struts、ThinkPHP）的攻擊占比高達54%。”

基于上述，報告從網絡安全、數據安全、業務安全三個方面提供了解決思路，包含安全設備部署和安全服務引入。另外，報告中建議在企業安全管理方面，需要從上至下、環環相扣的整體規劃，從開發管理、運維等各個生產環節進行規劃，還要有配套的管理流程、防護方案，才能更好地確保企業在科技的加持下更健康更安全地發展。

報告提出，針對金融科技風險，企業需要在未來關注以下六個方面：

1. 新的監管合規要求

重視自身風險管控能力與風險之間的匹配和差距程度。

2. 內部的安全培訓

提高內部人員安全意識，加強開發安全標準、安全部署與管理等方面的意識和技能培養。

3. 新技術應用風險

應對物聯網，區塊鏈，移動支付等潛在安全風險。

4. 開發安全管控

系統地識別和消除各個階段可能出現的由于人員知識和技能、開發環境、業務邏輯等所造成的信息安全風險。

5. 高風險網絡攻擊

應對DDOS攻擊、WEB攻擊、有組織的APT攻擊、欺詐與勒索等潛在安全威脅。

6. 數據安全

一方面要切實遵循國內外數據及隱私安全監管條例，另一方面加強企業數據保護及防范數據倒賣風險的能力。

最后，在IT技術迅猛發展的今天，企業持續、健康地發展，必定不可忽視安全問題。作為報告的編纂方，平安科技與綠盟科技希望本報告能為我國金融業從業機構提供一個可參考的安全視角，為我國金融業的健康發展貢獻一份薄力。