當金融成為資料安全“致命”產業 企業應該做什麼？

摘要： 90%的全球金融企業認為自己存在資料安全風險……在上雲的大幕後下，金融產業用戶會碰到什麼安全問題？應該怎麼做？

90%的全球金融企業認為自己存在資料安全風險……

2014年，165家國內P2P互連網金融平臺由於駭客惡意探索，資金被洗劫一空……

2015年，駭人聽聞的Carbanak犯罪團夥金融惡意惡意探索活動讓網路金融犯罪變得眾所周知。這家犯罪團夥的惡意探索目標包括超過30個國家的100多家銀行及其他金融機構。自2013年以來，該犯罪團夥所竊取的金額或將高達10億美元。

資料是金融產業的命脈。而內部資料安全管理的不慎，和針對金融企業的網路惡意探索，則是架在命脈上的一把尖刀，隨時可能引起“大出血”。

資料既貨幣

多數網路惡意探索都是以“劫持資料”的方式牟利。

本期在黑色產業形成鏈條的大幕後下，駭客對金融企業覬覦已久，通過弱點獲得相關的個人資訊、敏感資訊，他們就可以把相關資料在黑產中進行售賣，達到非法牟利的目的。資料洩露、丟失給金融產業所造成的後果，不僅是商務損失，更是品牌和名譽上的打擊。

全球範圍內，越來越多的“高危”產業——金融、醫學、電商——已經開始將資料安全防護作為企業的首要安防物件，並開始採取行動。Vormetric的《金融產業資料威脅報告》指出，有70%的企業已經或計劃在資料安全上增加資金投入，其中，網路防護（65%）和端防護58%）增量最大。

安全規劃不全，漏洞百出
在國內，金融這一“高危”產業與安全威脅賽跑的速度還不夠快。
DDoS惡意探索，駭客入侵，APP安全，商務欺詐，這是國內金融產業用戶面對的四大安全難題。而外部的惡意探索，只是資料安全威脅的“半壁江山”，另一半隱患，往往來自於企業自身。
很多金融企業，包括大型的銀行，對資料安全的管理和防禦還處於“頭疼醫頭，腳疼醫腳”的階段。舉個例子，2014年，協力廠商安全機構對400家網貸平臺進行安全評定，其中65%的網貸平臺存在安全性漏洞，35%有嚴重高危弱點。 由於商務發佈、推廣的反覆運算週期短：以月、甚至以周為單位，導致金融產業用戶無暇顧及內部安全的管理。“商務能正常上線發佈就很好了，哪還線上考慮安全”，一人套用開發從業人員無耐的表示。

研究還發現，企業安全最大的“敵人”，是自己的員工。企業員工存在大量安全隱患，包括將密碼貼在座位上、弱密碼／無密碼、隨意下載和使用雲套用等（Softchoice）。

上雲之勢，安全之路

在金融決策者制定企業安全性原則時，需要將雲端運算的大幕後考慮在內。

銀監會日前透露，2020年，國內60%的金融產業將構建在雲上。對於金融企業來說，越來越需要把安全，尤其是雲上安全，納入商務發展的基礎環節。選擇一家強固雲端服務商，是未來金融企業許諾資料安全、商務安全的基礎。

企業可以從這幾個維度去衡量雲端服務商的安全性：包括（但不限於）是否能許諾用戶的商務持續性、資料安全的防護機制、安全能力(每天成功防禦的DDoS數量、暴力破解數量和Web惡意探索數量)、安全團隊、還有就是合規項目，等等。

同時，隨著金融企業上雲的熱潮逐漸升溫，企業也應當讓自身的安全性原則更契合“雲上環境”——與以往的“頭疼醫頭、腳疼醫腳”不同，雲上防護更需要全面的部署。
以金融的商務系統基本的拓撲結構為例，通過APP安全進行APP端加固和弱點辨識，把APP的安全風險控制在套用裡面，然後在雲端的出口部署DDoS高防和WAF（網路套用防火牆），把網路惡意探索阻斷在網路出口置放，防止內部負載平衡、路由交換、伺服器和套用受到影響。
在伺服器層面，通過主機安全產品對主機側進行加固，對一些弱點進行第一時間修復，同時，從APP到套用系統之間，在整個鏈路的傳輸程序都採用HTTPS進行加密，再隱藏到資料庫裡。
在雲上，金融產業也非常需要巨量資料安全剖析的工具，能夠即時看見和回應正在發生，甚至即將發生的惡意探索。這一工具要做的工作就是把全網所有相關的安全產品都收集起來，包括用戶動作記錄、資料庫的行為、安全防護日誌，進行全網的安全巨量資料積存剖析和感知，做到未知威脅的發現或者駭客溯源等。

此外，將系統、商務在雲上，金融產業更加需要加強人員的權限管理，各系統密碼最好統一由金鑰管理系統統一進行管理。並進一步增加人員的安全意識及安全商務開發意識。

相關產品：

1. 金融解決方案
2. 阿裡聚安全
3. 伺服器安全(安騎士)
4. 雲端服務器ECS