金融業是國家重要的基礎設施之一。近年來,人工智慧、大數據、雲計算、物聯網等前沿技術加速落地應用,金融業所面臨的網絡安全環境也開始變得日趨複雜。有關金融業遭受攻擊的報導屢屢見諸報端,從數據洩漏到APT攻擊,技術手段花樣多,令人防不勝防。
為深入推進網際網路金融支付產業各方在風險聯防聯控等領域的合作與交流,11月24日,「2020 年度網際網路金融支付產業安全聯盟大會」在湖南長沙召開。大會以「擁抱產業科技新變革 共築支付安全新格局」為主題,匯聚了公安部、中國銀聯、商業銀行、非銀行支付機構、通信運營商、安全廠商相關負責人,圍繞打擊支付領域新型犯罪、治理網絡賭博、智能風控技術應用、支付風險變化趨勢等行業熱點話題,逐一展開探討。
中國金融認證中心(CFCA)信息安全網絡攻防團隊負責人宋鑫磊受邀出席,並就金融業攻防演練實戰項目中的經驗進行了重點分享,以供防守防禦建設參考。
CFCA信息安全網絡攻防團隊負責人宋鑫磊
網絡安全的本質是對抗,對抗的本質是攻防兩端能力的較量。宋鑫磊表示,自國家啟動「護網行動」以來,防禦效果顯著,通過實網攻防對抗,很多隱藏的漏洞被及時發掘出來,一定程度上加強了企業內各部門間的合作,安全人員的業務水平也變向獲得歷練。
攻防演練的形式,大致可分為全盤演練、專項演練及假設演練,聚焦到金融行業,幾種演練方式都有相關實踐。但是金融行業因具有一定的特殊性,其攻防演練與常規攻防略有不同,主要表現為:
限定範圍:通常會從金融機構內部選擇某一或幾個部分作為一次攻防演練的目標;限定結果:通常不能在生產系統中使用有潛在風險的技術、工具;有所側重:通常比較重視邊界安全、辦公網安全、無線網安全及員工個人安全意識。
會議現場,宋鑫磊舉了四起真實的金融機構攻防演練案例,分別以無線網絡安全、VPN安全、員工個人安全意識、WIFI及辦公網安全為目標,對用到的攻擊方法、攻擊路徑等進行了具體分析。
「儘管這四起案例的關注點不一樣,但我們的測試結果均顯示,網絡中沒有絕對的安全。」宋鑫磊建議到,永遠有不曾見識過的力量,我們要始終保持敬畏之心;安全沒有一勞永逸、邊界一定會被突破,所以要正視風險,做好打持久戰的準備;攻防的本質是與人的對抗,應在人才、設備等安全方面有合理投入;日常工作聽起來瑣碎,但真正遇到攻擊時才體現出極大用處,有必要做好基礎工作與自我監督。
多年來,CFCA作為國家重要的金融信息安全基礎設施,積累了豐富的信息安全實施和攻防實戰經驗,將以終為始,繼續加大網絡安全人才的投入,協同產業各方之間的合作,共同應對金融業安全風險新挑戰。
責任編輯:韓希宇