探索中国CIO人才现状 | 第四季调研报告
平安金融安全研究院发布 《2017金融科技安全分析报告》“金融安全3.0”时代的安全生态圈构建初拾硕果
2018-04-04  作者:安安 来源:平安科技金融安全研究院

唐·德里罗曾说,“技术的意义在于一边创造对不朽的渴望,一边威胁着毁灭世界”。今天,新技术的发展颠覆了整个时代,大数据、云计算、人工智能、区块链等新兴科技创造出新金融,金融与技术的深度融合促使金融科技进一步演变,与此同时,威胁、隐患、风险等高敏因素也随着技术革新跃升至新高度,金融安全事件频繁发生且愈演愈烈,在进化与威胁的激烈冲击下,金融安全迈入3.0时代,探索及构建“金融安全3.0”时代的安全生态圈于发展而言势在必行。

3月29日,由平安集团金融安全研究院、CISO发展中心联合主办,绿盟科技协办的“金融安全3.0”时代的安全生态圈构建暨《2017金融科技安全分析报告》发布会在深召开,标志着平安集团自2017年成立平安金融安全研究院及首次提出“金融安全3.0”理论以来,在“金融安全3.0”推广落地及安全生态圈构建方面初获丰收。

平安集团信息安全运营部&专家服务部总经理、平安科技首席安全官、平安金融安全研究院执行副院长李洋博士携平安金融安全研究院、平安集团信息安全运营团队、平安集团信息安全专家服务团队出席此次会议,CISO发展中心秘书处主任严冬梅、绿盟科技高级副总裁叶晓虎、Cloudera大中华区技术总监刘隶放等近140余位安全行业及金融行业人士与会。会上大家积极探讨了金融科技新时代的安全发展,并共同见证由平安金融安全研究院及绿盟科技合作撰写的《2017金融科技安全分析报告》的正式发布。

2017年大规模爆发了网络安全事件,金融行业被大肆攻击,《2017金融科技安全分析报告》以1591份覆盖到金融行业和安全行业的调查数据及真实案例分析了当前金融安全的现状以及态势,详细解说了金融科技主要面临的网络安全、数据安全、业务安全等方面的威胁,除传统威胁之外,报告中对新技术带来的新威胁进行了深入分析,提到人员安全成为威胁因素之一。

李洋

平安集团信息安全运营部&专家服务部总经理/平安科技首席安全官/平安金融安全研究院执行副院长 李洋博士

在金融科技领域,A(Artificial Intelligence人工智能)、B(Blockchain区块链)、C(Cloud云)、D(Big Data大数据)作为四大革命性技术,为金融科技提供基础服务功能,因此ABCD的安全是金融行业防范风险的核心所在。李洋博士介绍,平安集团以ABCDES模式构建“金融安全3.0”生态,以金融业务安全为导向,以底层的金融信息基础设施安全保障为基石,为金融科技ABCD提供立体化安全保障,并结合产学研生态体系构建金融安全生态E(Ecosystem安全生态),促进行业金融安全S(Security安全)健康大环境的形成。

自平安金融安全研究院提出“金融安全3.0”理论以来,其实践落实到平安集团安全运营的保障、安全专家服务的赋能以及安全创新的研究三大层次中。安全运营支撑金融安全,实现技术平台与机制的无缝衔接,是保障金融信息安全的核心。在金融安全实践成果中,其最具代表性、最基础、最核心的是平安金融云。会上,平安集团信息安全运营部经理王军旺展开了平安金融云安全架构、云安全建设、云安全合规等方面的分享。

王军旺.png

平安集团信息安全运营部经理 王军旺

《2017金融科技安全分析报告》表明,在金融行业中,60%的机构使用了各类云服务,大部分使用的是私有云,超过20%使用公有云或混合云。金融行业使用云业务时最关心的风险除了数据及隐私保护外,还有业务的访问权限控制。因此,云安全架构设计之时,需要纵观考虑云平台自身安全和云平台服务安全。王军旺指出,云平台自身安全涉及到物理安全、虚拟化平台与管理层安全、应用安全、数据安全以及业务安全等层面,符合最高安全合规标准的平安金融云的安全能力全方位涵盖事前主动防御,事中态势感知、应急响应和事后全面检查,覆盖了云平台自身安全90%以上的安全层面。而云平台服务安全包括租户安全层面和网络安全层面,入驻的租户在平安金融云平台安全服务目录里可选择与其业务需求相适应的云安全服务。

云安全建设以云安全架构为基础,最终是为租户输出云安全服务。网络安全层面的DDoS高防、主机安全层面的主机入侵检测(HIDS)、应用安全层的WEB应用防火墙(WAF)、数据安全层面的云加密是平安金融云有效防控云业务风险的实践成果,且租户能够在安全态势感知平台掌握网络、主机、应用、数据等多层面的安全状态,切实把控金融业务安全。

唐秀江.png

平安集团信息安全运营部经理 唐秀江

2017年安全威胁规模持续扩大,平安集团信息安全运营部经理唐秀江以WannaCry为例分析得出,勒索病毒具有目的性地攻击金融服务业务,且攻击时效越来越快,从感染到发出勒索赎金需求只需要15分钟,金融安全的外部环境正在恶化,而企业内部安全受人员、系统、业务等因素影响,在这种内外环境都存在威胁的局面中,企业安全运营面临严峻挑战。

安全运营整体架构的设计对信息安全、业务安全、企业安全的影响是直接性的,平安安全运营中心PASOC(Ping An Security Operation Center)整体框架设计从安全规划、建设运维、安全防护、监控分析以及响应处置等方面着手安全运营部门的人员配置,从实时监控威胁、防护阻断威胁、威胁发现时进行应急响应以及日常安全运维等方面进行流程规划,从数据采集、数据处理、数据综合分析、综合展现等方面要求技术保障。

唐秀江介绍到,平安安全运营中心PASOC(Ping An Security Operation Center)不是一个单一平台,而是由人员、流程和技术构成的有机体。并且在整体方案构成上,由以前只关注传统安全日志延展到网络实时流量日志分析,从只关心内部安全开始关注外部威胁情报,由只关注威胁特征到开始关注用户行为。

王金锭.png

平安集团信息安全专家服务部经理 王金锭

安全建设的关键在于人,金融科技引入的各方面不确定风险仍需研究,这些不确定风险加剧了信息安全的威胁,面对网络攻击、黑灰产、系统及应用漏洞攻击,金融企业需要专业的安全团队支撑应急及防御,监管部门亦提出金融行业需要快速建立企业安全能力的要求。平安集团信息安全专家服务部经理王金锭分享了金融企业专业安全团队的实践。

平安积累多年丰富的全牌照金融安全运营经验,已建设成成熟的专业安全团队,除了为平安集团及其子公司的金融安全赋能外,对外亦输出安全专家服务。平安金融安全专家服务团队由三种类型专家组成,一是提供安全风险、安全管理体系咨询服务的安全咨询专家,二是解决业务实际安全需求的安全技术专家,三是提供基础安全研究支撑的安全方案专家。安全专家需要深入了解客户实际需求,在安全方案设计、安全加固防御、风险规避、安全体系建设、监管合规落地以及前沿方案输出等方面实现服务价值能力,帮助客户提升安全。

在具体操作上,企业金融安全规划及治理的方向首先要输入需求,如监管要求、外部威胁、内部需求等信息,而人、流程和技术是支撑企业开展安全工作的三大要素,纵深于底层技术安全、业务安全及企业信息安全治理的各个环节。目前,平安金融安全专家团队已在银行、保险、智慧城市等众多领域输出了服务价值。

叶晓虎.png

绿盟科技高级副总裁 叶晓虎博士

“安全应该成为业务自身的属性,而不只是业务保障的属性。”这是绿盟科技高级副总裁叶晓虎博士在会上提出的观点,他认为,一方面金融科技新时代下的安全使命转变为协助企业开发安全的业务,另一方面为应对业务快速增长的情况和业务弹性需求,资源配置方式转变为弹性架构配置安全资源。

如今,网络安全形势愈发严峻,金融行业频繁遭遇大规模数据泄露、盗刷资损、薅羊毛、安全漏洞攻击等攻击。叶晓虎博士指出,当前攻击方强度愈来愈大且攻击成本低,而作为防守方的防守成本却很高,面对攻防发展不平衡的局面,尤其是在业务快速增长的情况下,防守方在技术层面以及安全协作层面需要进一步改进。以大数据安全技术作为支撑,以企业、监管机构、专业安全厂商之间的社会化威胁安全情报信息共享作为协同,以智能的安全态势感知平台、流程、框架增强企业安全团队管理能力,增强业务的自身安全能力和安全保障能力。

刘隶放.png

Cloudera大中国区技术总监 刘隶放

大数据于企业而言,一方面即希望通过大数据的有效利用更好地把握市场变化,拓展业务发展渠道,提高企业效益,另一方面又担心严峻的数据风险,如数据湖变成数据沼泽、数据泄露引发企业负面新闻、违反数据合规等风险,再者,企业在解决这些风险问题时,又担心系统性能、部署机制、用户生产力和管理受到影响。针对这些情况,Cloudera大中国区技术总监刘隶放提出“不妥协的安全”,即在必须的安全管控下,在安全平台中合理有效利用安全机制,这个安全机制首先要保证到企业数据如何能够不被恶意访问,其次是如何控制好平台的访问,还要掌握事后信息,这需要从认证、授权、审计以及合规等方面综合考虑。

王晓箴.png

平安金融安全研究院网络安全研究所所长 王晓箴博士

会上,各个分享者从网络安全、数据安全、业务安全、人员安全等方面讲解了金融安全所面临的问题,我们已经了解到新科技对大金融的冲击是极具颠覆性和利害性的,正如《2017金融科技安全分析报告》里所诉,天下熙熙皆为利来,天天嚷嚷皆为利往。平安金融安全研究院网络安全研究所所长王晓箴博士对报告进一步解说,金融行业的特殊属性吸引了众多攻击者,其核心诉求即是获利。

从1591份《2017中国企业金融科技安全调查问卷》的数据反馈以及对攻击者获利的思考中,《2017金融科技安全分析报告》得出了一些结论:

在网络安全威胁层面,金融行业主要受DDOS攻击、僵尸网络、网络勒索攻击、APT攻击。2017年的DDOS攻击总流量大幅上升,攻击总流量达到64万TBytes。由于物联网的广泛应用,僵尸网络的数量和规模不断扩大,2017年8月份全球受控主机数量比上月的增长高达320%。网络勒索成攻击趋势,报告指出,平均每天有4000起勒索软件攻击,危及金融机构网站安全,导致敏感数据泄露,亚洲则成为2017年遭遇勒索软件攻击最多的地区。

在数据安全威胁层面,主要涉及数据库漏洞、内部数据泄露和云上数据窃取。黑客常利用数据库暴露的漏洞勒索金融业,其中MySQL漏洞暴露最为严重,且漏洞数量增长较快。金融行业是数据泄露高发的行业,内部人员管控是重要成因,王博士表示,在调查中,有35%的员工认为如果筹码足够会考虑出卖公司数据。因此,数据泄露这方面已经不止是技术问题,需要安全管理团队采取控制机制的措施。此外,调查反馈有61.3%的人认为,数据及隐私保护是云计算安全最需要关注的安全问题。

业务安全威胁是金融业的关注重点,风险来源有许多,如使用不安全的函数或协议,继承了有缺陷的SDK、Web插件、服务器程序或者业务流程上的逻辑缺陷等。金融企业机构面对互联网业务风险聚焦在三方面,一是自身资产是否存在漏洞,二是自有资产开放高危端口与服务情况,三是是否存在信息泄露风险。

最后王博士表示,金融科技风险的未来关注点将聚焦在监管合规新要求、内部安全培训、新技术应用风险、开发安全管控、高风险网络攻击、数据安全等六个方面。王博士强调,金融科技的可持续发展必须注重安全建设,需从安全意识教育、安全设备部署、安全服务引入、安全人才储备、安全预算投入等方面全面提升整体安全能力。