资源描述
2020-2021年 2020-2021 Financial Industry Cybersecurity Research Report 致谢 慎始而敬终,终以不困。特于开篇感谢对本报告予以内容支持的金融单位,在报 告编写阶段,基于其丰富的安全实践经验,为业界输出真知灼见。 联合发布单位 内容合作方 某城商行 数据支持方 (按照首字母顺序排列) 出品方: FreeBuf是斗象科技旗下国内领先的网络安全行业门户,每日发布专业的安全资讯、技术剖析,分享国内外安全资源与行业洞见,是 深受安全从业者与爱好者关注的网络安全网站与社区。 FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最 专业的研究与咨询服务。 Editor And Think Tank Team Introduction 曾获上海CSO首席安全官、科技进步奖等荣誉,持CISSP、CISA、CISP等相关安全认证。专注于企业安全体系建设、产品设计研发、攻防对抗 研究、AI安全前沿技术研究等领域。 徐钟豪 / 斗象科技CTO;信安标委专家委员 曾获上海浦东新区学技术奖。长期从事乙方安全服务工作,在攻防演练、渗透测试、应急响应、安全培训、风险评估、安全咨询等安全服务领域 具备丰富的实践经验。 曾裕智 / 漏洞盒子平台负责人;CNNVD特聘专家 网络安全行业门户FreeBuf负责人,国内最具影响力的大会之一CIS网络安全创新大会负责人,FreeBuf咨询品牌创立人,牵头发起多份重量级 行业深度研究报告,汇聚多方安全能力向行业共享。 尤培骏(尤文) / 网络安全行业门户FreeBuf负责人 参与数十份安全研究报告调研工作,能够根据客户需求偏好,提供定制化咨询建议,善于从市场角度入手,挖掘价值及需求。承办数场安全行 业2000人以上大会,紧密联系数百人安全生态圈。 宋丹丹 / FreeBuf资深行业咨询顾问 主导并参与编写多份网络安全行业研究报告,多次担任WitAwards网络安全年度评选评委,Python安全攻防等多部优秀书籍书评作者,长期 致力于国内外网络安全研究工作。 鲍弘捷 / 资深行业专家;高级咨询经理 曾主导并编写国内网络安全信息和事件管理类产品研究与测试报告(2021年)、2020 DevSecOps 企业实践白皮书等多份安全研究报告, 专注于网络安全前沿技术跟踪及研究,具备丰富的安全行业研究经验。 武文婧 / FreeBuf资深信息安全分析师 曾主导完成CCSIP网络安全行业全景图、中国网络流量监测与分析产品研究报告等多个项目,具备丰富的行业研究与采编报道经验。 周雪静 / FreeBuf副主编;高级信息安全分析师 编者暨智库团队介绍 内容合作方介绍 Introduction Of Content Partners 平安信托 平安信托有限责任公司成立于1996年4月9日,经过六次增资扩股,注册资本增加到目前的人民币130亿元,是国内资本实力最雄厚的信托公司之一。 平安信托依托平安集团“金融+科技”、“金融+生态”战略优势, 聚焦“特殊资产投资、基建投资、金融服务、私募股权投资”四大核心业务,致力于打造中 国信托业第一品牌。 工商银行金融科技研究院安全攻防实验室 工商银行金融科技研究院安全攻防实验室于2019年成立,承担信息安全框架体系研究、安全防护体系趋势研究、安全攻防体系建设等工作。 嘉实基金 嘉实基金成立于1999年3月,是国内最早成立的十家基金管理公司之一。嘉实的愿景是服务财富增长助力产业腾飞,成为中国领先的国际化资产 管理集团。 网商银行 网商银行安全团队致力于通过创新安全技术守护用户的数据与资金安全,为银行业务数字化转型保驾护航,期待与金融行业同行一起探索数字银行 的最佳安全实践。 海通证券 海通证券股份有限公司成立于1988年,始终坚持“务实、开拓、稳健、卓越”的经营理念、“稳健乃至保守”的风控品牌,三十余年行稳致远。公司拥有卓 越的综合性业务平台和成熟的海外业务平台,经营网点遍及全球5大洲14个国家和地区,覆盖“纽、伦、东、沪、新、港”六大国际金融中心;在境内拥有 343家证券及期货营业部,正式员工过万人;在境内外拥有近1800万名客户,托管及管理客户资产总额超5.3万亿元。 FreeBuf咨询安全智库 Introduction Of Content Partners 部分智库专家 安全专家聚集区 安全技术无碍交流 思维碰撞、经验共享 企业技术品牌力强化 与智者同行 为行业赋能 FreeBuf咨询TTSP智库旨在聚合每一份安全中坚力量,以促进网络安全行业技术创新和知识布道为价值导向,凝聚智者力量,思维碰 撞、经验共享,共创安全聚合新力量。 (按姓名首字母排序) 庄飞 华泰证券应用安全团队负责人 剑思庭 国际工控厂商网络安全负责人 IRTeam 工控安全红队创始人 凌云 携程信息安全高级总监 李洋 雪松控股集团首席信息官首 席数字官(CIO/CDO) 胡珀(lake2) 腾讯安全平台部总监,腾讯安 全应急响应中心(TSRC)、 Blade Team 和腾讯蓝军负责人 耿志峰 京东集团信息安全部 技术总监 大超 FreeBuf 资深专栏作者 兜哥 蚂蚁集团资深安全专家 天堑实验室负责人 飞鸟 FreeBuf 资深专栏作者 魏敏敏 上汽集团赤霄网络空间信息安全实 验室 & 网络安全应急响应中心技术 平台负责人 张祖优(Fooying) 腾讯云产品安全负责人 腾讯安全云鼎实验室安全总监 宋文宽 小米安全合规总监 王童 国汽智联车联网安全测 试技术负责人 高级渗透测试工程师 卢明樊 爱奇艺云服务高级总监 和安全团队负责人 李广林 同程艺龙安全负责人 姜政伟 中科院信工所威胁情报与 威胁发现团队负责人 孔一童 诺亚控股业务安全中心 高级总监 李华峰 Kali Linux 2 网络渗透测 试实践指南作者 刘志诚 乐信集团信息 安全中心总监 张欧 网商银行 CISO 何艺 完美世界资深安全总监 赵锐 DevOps 标准工作组 核心编写专家 朱模卿 VIPKID 安全负责人 宇宸 FreeBuf 资深专栏作者 腾讯资深安全研究员 邢骁 国内某支付公司信息 安全负责人 马金龙 FreeBuf 资深专栏作者 新浪资深网络安全经理 陈昺润 FreeBuf 资深专栏作者 天道金科资深安全工程师 谢文博 阳光信用保证保险信息 安全部负责人 宋子烨 FreeBuf 资深专栏作者 某互金支付资深安全专家 赵海锋 白帽子安全开发实战作者 秦波 滴滴网络安全部负责人 首席安全工程师 孙琦 某上市公司信息安全负责人 聂君 企业安全建设实践倡导 者、安全运营践行者 杨超 车联网领域资深安全 研究员 盛洋 墨守之道 -Web 服务安 全架构与实践作者 (一) 2020-2021年重大网络安全事件回顾 (一) 研究方法 (二) 重要发现 02 02 (二) 数据安全备受关注 (三) 实战与合规并重:攻防演练常态化 06 (三) 2020-2021年金融行业漏洞趋势 1. 热门漏洞TOP10 2. 漏洞趋势 3. 金融行业细分领域的漏洞分布情况 (二) 金融行业风险特点 1. 金融行业面临的主要风险点 2. 金融行业业务场景风险分析 3. 整体风险变化趋势 1. 监管粒度越来越细、覆盖范围越来越广 2. 惩处力度越来越大、重视程度越来越高 1. 实战是检验金融安全的有效标准 2. 攻防演练常态化发展 12 19 19 19 20 13 16 18 07 07 08 08 08 (四) 安全建设现状:金融信息技术体系的重要组成职能 1. 6.3%的金融企业已具备安全团队或设置安全职能 2. 33%的金融企业已具备11人以上的安全团队 3. 近半数企业安全投入占据IT总预算的3%-10% 4. 企业安全建设的困难点 5. 企业安全建设的重点方向 09 09 09 09 10 10 13 目 录 CATALOG CHAPTER ONE 第一章 概述 3 (一) 金融行业等级保护规范日益严格 04 1. 金融行业等级保护发展历程 2. 简析金融行业等保基本要求 04 04 2 CHAPTER TWO 第二章 金融行业网络 安全现状总结 CHAPTER THREE 第三章 金融行业网络安全 风险特点及趋势 (一) ATT&CK框架在金融行业网络安全建设 中的实践与思考 (二) 证券行业网络安全体系建设思路 24 29 (一) 以信托行业为代表的安全建议 55 1. 网络安全体系化建设思路 2. 网络安全实战化对抗 3. 网络安全常态化运营 29 31 32 1. 以智能安全态势感知平台建设为“大脑” 2. 以四大防护能力体系建设为“四肢” 3. 以基于五层防护体系建设为 “五脏” 35 37 37 1. 背景 2. ATT&CK适用场景 3. 金融应用场景研究 4. 总结 24 25 26 29 1. 对自身风险的评估 2. 对外部安全态势的理解 3. 对安全项目效用的分析 4. 总结 33 33 33 34 1. 信托业整体信息安全现状 2. 信托业面临的信息安全挑战 3. 银行业信息安全体系建设经验借鉴 4. 信托业信息安全架构及管理体系设计 5. 信息安全体系预期效果与展望 38 39 39 40 44 CHAPTER FOUR 第四章 金融行业典型 网络安全实践 (三) 风险驱动的安全规划与设计 33 (四) 基于纵深防御体系的网络安全建设实践 34 38 1. 零信任架构发展 2. 零信任架构方案对比 3. 金融行业落地实践 45 47 49 (六) 金融行业零信任落地实践 44 (五) 互联网金融行业的数据安全建设分享 (二) 金融行业网络安全发展趋势预测 56 5 4 CHAPTER FIVE 第五章 金融行业网络安全 能力提升对策及建议 CHAPTER ONE 第一章 概述 问卷调研 资料整合 专家分析 企业定向走访 第一章 概述 2021年,十四五时代的大幕缓缓拉开,国内金融安全建设之路进入下半 场。国内外网络安全形势不断演变,金融行业面临诸多新的风险和挑 战。 金融科技大量采用新技术实现业务创新的同时,也给网络安全带来了 更多隐性风险,提出了更高要求。事件型漏洞和高危0Day漏洞威胁的持 续走高,网络攻击的种类、规模和方式也不断增加,隐蔽性更强的APT攻 击成为常态。 金融行业数字化转型的进一步普及,大量个人隐私及资产信息等重要 数据呈指数级上升,金融业务的复杂性使得数据安全保护体系的建设 难度不断加大。与此同时,随着国内加快网络安全相关政策的出台落 实,数据安全法和个人信息保护法等法律法规多管齐下,数据安全 将成为金融行业未来的建设重点。 一 、概 述 人工智能、大数据、数字货币等新一轮技术革命加速发展,消化技术红 利的同时,员工、客户、服务合作伙伴之间的界限也越来越模糊,用户、 负载、数据、网络和设备无处不在,金融机构面临的威胁愈发多元化 、复 杂化。 金融行业作为传统的重监管机构,普遍形成了较为完善的网络安全组 织与制度管理体系。但由于信息化水平、顶层设计、人才储备、技术实力 等多方面原因,中小型金融机构整体安全防护能力与大型机构相比,仍 存在较大差距;在网络安全投入上,平均来看,国内机构网络安全投入 约占总营收的0.1%,与国外的平均水平0.4%相比,同样差距明显。 针对上述威胁和风险,结合目前存在的困难与挑战,企业需要进行充分 总结并优化安全策略。FreeBuf咨询与合作伙伴旨在通过调研与分析, 借由2020-2021金融行业网络安全研究报告来反映行业的真实现状 与趋势,分享建设思路与案例,协助金融机构持续完善网络安全体系化 建设,加强金融业网络安全和信息化统筹指导,筑牢金融网络安全屏 障。 (一) 研究方法 (二) 重要发现 2020-2021年金融行业网络安全研究报告 02 结合定量分析与定性分析方法,对调研资料进行归纳与概括,对数据进行分析与综合,从而展现2020-2021年金融行业网络安全整体发展状态。 1.从安全建设现状来看,86.3%的金融企业已具备安全团队或设置安全职能 2.91%的企业由信息科技分管领导安全部门 3.安全预算方面,近半数企业安全投入占据IT总预算的3%-10% 4.近一年来,19%的金融企业出现过重大安全事故 5.外包安全风险居高不下,数据安全问题持续保持高热度 6.从漏洞数量上来看,XSS排名靠前,而最主流的漏洞类型依旧是Web安全漏洞 7.零信任技术备受国内金融机构关注,并且已有相对成熟的实践案例 2 CHAPTER TWO 第二章 金融行业网络 安全现状总结 2020-2021年金融行业网络安全研究报告 04 第二章 金融行业网络安全现状总结 2020年贯穿金融行业的关键词仍旧是监管,在健全监管基本规则和标 准的同时,愈发成熟体系化的监管系统进一步细化了金融科技网络安 全的发展规划。 2020年11月11日, 中国人民银行发布金融行业网络安全等级保护实 施指引 系列标准,以及金融行业网络安全等级保护测评指南。该标 (一)金融行业等级保护规范日益严格 准依据国家网络安全等级保护2.0 相关要求,规范了金融行业网络安全 保障框架和不同安全等级对应的安全要求、金融行业网络安全等级保 护工作的基础框架和术语定义、金融机构网络安全岗位设置要求、网络 安全岗位能力要求以及网络安全人员能力评价要求、金融机构网络安 全培训相关要求、金融机构网络安全等级保护工作实施审计的要求等。 在最新发布的等保条规中,对金融行业的等保建设提供了更为清晰的 方法论、建设措施及技术指导。与国家网络安全等级保护基本要求相 比,整体结构保持了一致性,但是在细分领域更具有实用性及实践指导 意义。在此根据JR/T 0071 金融行业网络安全等级保护实施指引,对 金融行业等保建设基本要求做简单梳理与解析。 1.金融行业等级保护发展历程 2.简析金融行业等保基本要求 网络安全等级保护是国家网络安全保障工作的一项基本制度。随着云 计算、移动互联、物联网、大数据等新技术的广泛应用,金融机构需要不 断推进IT架构转型。 从1994年国务院147号令首次提出“安全等级保护”至今,等级保护制度 已经发展了25个年头,历经等保1.0、等保2.0两个建设阶段,法律地位也 不断提高。中华人民共和国网络安全法也规定,国家对公共通信和信 息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领 域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国 家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保 护制度的基础上,实行重点保护。 金融行业等级保护标准的发展历程如下表: 标准号 标准内容 (银发2006123号) 中国人民银行 关于进一步加强银行业金融机构信息安全保障工作的指导意见 (银办发200642号) 中国人民银行办公厅转发 信息安全等级保护管理办法(试行)的通知 (JR/T 0072-2012) 金融行业信息系统信息安全等级保护测评指南 (JR/T 0073-2012) 金融行业信息安全等级保护测评服务安全指引 (JR/T 0071-2016) 金融行业信息系统信息安全等级保护实施指引 (JR/T 00722020) 金融行业网络安全等级保护测评指南 (JR/T 00712020) 金融行业网络安全等级保护实施指引 *金融行业等级保护标准历程 (1)标准适用范围 实施指引:基本要求规范了金融行业网络安全保障框架和不同安全 等级对应的安全要求,适用于指导金融机构、测评机构和金融行业网络 安全等级保护的主管部门实施网络安全等级保护工作: 开展金融行业网络和信息系统的测评机构; 金融行业主管部门开展等级保护工作,进行监督、检查和指导的依 据。 部门、系统运行部门、内部监察部门、安全管理部门、审计部门等; 金融机构(包含其分支机构)的系统规划建设部门(业务与技术):软 件开发中心(应用开发部门)、数据中心、系统使用 2020-2021年金融行业网络安全研究报告 CHAPTER TWO 05 (2)网络安全保障框架 金融行业等保基本要求以国家等级保护要求为原则,以金融行业特点 为基础,形成了兼顾技术与管理、遵循技管交互和综合保障原则的金融 行业网络安全保障总体框架【包含两项要求(技术要求、管理要求)和两 个体系(技术体系、管理体系)】,如右图所示。 图为 : 网络安全保障总体框架图 (3)技术体系 金融行业网络安全等级保护基本要求结合GB/T250702019中的安全 域模型,将“安全域纵深防护”“多层次立体防御”和“网络安全等级保 护”等安全防护思想相结合,建立金融行业网络安全保障技术体系模 型。依据金融行业的组织结构、网络架构将每个机构作为一个整体保护 对象,设计金融机构网络安全保障框架,如下图所示,总部和各个分支 机构都是独立的安全域,每个安全域又细分安全计算环境域、安全区域 边界、安全通信网络和安全支撑设施域,各金融机构根据本机构结构情 况参考执行。 图为 : 金融机构网络安全保障总体技术架构图 两项要求指由技术要求和管理要求综合形成的保障要求,技术要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五 方面要求;管理要求涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五方面要求。 两个体系指由技术体系和管理体系综合形成的保障体系。技术体系以“一个中心,三重防护”为核心理念,划分安全计算环境、安全区域边界、安全通信 网络与安全管理中心,并且结合金融行业的系统与业务现状,进行分区分域保护;管理体系遵从生命周期法则,从建立、实施和执行、监控和审计、保持 和改进四个过程进行科学化的管理,通过循环改进的思路形成“生命环”的管理方法。 技管交互指技术要求与管理要求的交融以及技术体系与管理体系的互补,从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。 综合保障指该框架通过对保障要求和保障方法的综合考虑,通过技术与管理的有效结合,在遵循国家等级保护要求的前提下,满足金融行业的业务特 殊性要求。 2020-2021年金融行业网络安全研究报告 06 (二)数据安全备受关注 金融行业是数据密集型行业,数据来源众多、体量庞大、结构各异、关系 复杂,同时,为谋求商业利益,一些金融机构过度采集数据、违规使用数 据、非法交易数据等问题也屡见不鲜。受信息泄露事件和数据安全 法、个人信息保护法等法规颁布的多重影响 ,数据安全与隐私保护 成为金融监管的重点领域,并呈现以下特点: (4)管理体系 要建成完善的安全管理体系,首先根据金融机构信息化建设进程的实 际需求,逐步建立起安全管理组织架构和各项安全管理制度,配备相应 的安全管理人员。其次通过对制度的执行,提高网络安全保障能力,后 续根据执行结果检查各项制度存在的问题并对制度进行改进。从而形 成建立、实施和执行、监控和审计、保持和改进的循环过程,形成完善的 管理体系。如右图所示。 (5)管理体系 金融行业网络安全等级保护基本要求包括通用要求、扩展要求和金融行业增强性要求。在此需要特别说明的是,在新版金融行业等保要求中,部分新 增“金融行业增强性安全要求(F类)”。金融行业增强性安全要求在结合金融行业相关规定的基础上对等级保护要求进行补充和完善,F2 表示二级增强 性安全要求,F3 表安全要求,F4表示四级增强性安全要求。 在此基础上,选择和使用金融行业网络安全等级保护基本要求的基本流程: 针对金融行业等级保护对象的特点,分析可能在某些方面的特殊安全保护能力要求,选择较高级别的安全要求或其他标准的增强性安全要求,F类要 求作为金融行业的增强性安全要求分布在S、A、G类的要求中 安全管理内容涵盖组织、人员、支撑设施三大类。其中,组织涉及机构与 制度管理;人员涉及人员管理;支撑设施涉及系统建设和系统运维管 理。 图为 : 网络安全管理体系框架图 明确定级系统应该具有的安全保护能力,根据等级保护对象的安全保护等级选择安全要求。 根据等级保护对象的定级结果,基于附录A表 A.1 和表 A.2 对安全要求进行调整。 根据等级保护对象采用新技术和新应用的情况,选用相应级别的安全扩展要求作为补充。 2020-2021年金融行业网络安全研究报告 1.监管粒度越来越细、覆盖范围越来越广 2.惩处力度越来越大、重视程度越来越高 在银行数据化转型过程中,数据是基础,银行业每创收100万美元平均 会产生820GB包含个人隐私信息在内的多样数据,其数据强度高居各 行业之首。在此背景下,强监管与多标准覆盖成为2020年的主要内容。 根据中国个人金融信息保护执法白皮书(2020)不完全统计:截至 2020年10月25日,中国人民银行总行及各地分支行开出的行政处罚罚 单里,涉及“个人金融信息”的共181张,罚款金额合计超过人民币1.8亿 元。处罚对象包括银行(含农信社,下同)、证券公司、支付机构、消费金 但同时也存在数据安全治理标准及数据滥用等相关违法违规惩处措施 细则有待完善的问题,而这项问题在2021年2月9日中国人民银行印发 的金融业数据能力建设指引(下称指引)中又得到了进一步的解 决。根据指引,明确了金融业数据能力建设遵循用户授权、安全合规、 分类施策、最小够用、可用不可见等五大基本原则。 时间 标准名称 2020年2月5日 网上银行系统信息安全通用规范 2020年2月5日 金融分布式账本技术安全规范 2020年2月13日 个人金融信息保护技术规范 2020年2月13日 商业银行营业程序接口安全管理规范 2020年7月10日 证券期货业移动互联网应用程序安全规范 2020年7月10日 证券期货业软件测试指南 软件安全测试 2020年7月10日 区块链技术金融应用 评估规则 2020年9月23日 金融数据安全 数据分级指南 *金融行业重要数据安全标准(2020) *金融业数据能力建设指引五大基本原则简介 用户授权 明确告知用户数据采集和使用的目的、方式以及范围,确保用户充分知情, 获取用户自愿授权后方可采集使用,严格保障用户知情权和自主选择权。 最小够用 在数据采集使用方面要求确保数据专事专用、最小够用,杜绝过度采集、误 用、滥用数据,切实保障数据主体的数据所有权和使用权。 安全合规 遵循国家法律法规、管理制度,符合国家及金融行业标准规范,建立健全数 据安全管理长效机制和防护措施,严控访问权限,严防数据泄露、篡改、损 毁与不当使用,依法依规保护数据主体隐私权不受侵害。 分类施策 综合考量国家安全、公众权益、个人隐私和企业合法利益等因素,根据保密 性、完整性、可用性等属性对数据进行分级分类管理。对不同级别数据进行 分类实施策,采取差异化控制措施,实现数据精细化管理。 可用 不可见 明确建立数据规范共享机制,在保障原始数据可用不可见的前提下,规范 开展数据共享与融合应用,保证跨行业、跨机构的数据使用合规、范围可 控,达到可用不可见,有效保护数据隐私安全,确保数据所有权不因共享应 用而发生让渡。 从监管及标准的发展趋势可以看出,对数据安全监管的粒度越来越细、 覆盖范围越来越广。 融公司等,以及对相关违规行为负有责任的具体人员。处罚的违法行为 类型包括未经审批查询个人金融信息、未按规定保存客户身份资料和 交易记录、侵害消费者个人信息依法得到保护的权利等。 CHAPTER TWO 07 在严格且细粒度的监管高压下,金融企业安全建设普遍重视数据安全 内容。根据FreeBuf咨询的金融行业调研显示,75%的金融企业最关注 的安全相关政策法规为数据安全法和个人信息保护法。 消费金融汽车金融 银行 支付机构 保险公司证券公司 2000 0 4000 15141.1 155 7 6000 8000 10000 12000 14000 16000 20 0 40 60 80 100 120 140 160 3384.81448 17 2 4 117.2 2 1 91 18 罚金 频次 图源:移动支付网 不同处罚对象涉“个人金融信息”罚单的金额(万元)和频次 *金融企业2020-2021最关注的安全相关政策法规 *图源:FreeBuf咨询 个人信息 保护法 38% 数据安全法 37% 等保 19% 其他 6% 2020-2021年金融行业网络安全研究报告 (三)实战与合规并重:攻防演练常态化 金融行业作为关键基础设施机构,一直都是网络攻击发生的重灾区。 2016年2月5日,孟加拉国央行被黑客攻击导致8100万美元被窃取。 2017年韩国多家银行遭黑客组织分布式拒绝服务(DDoS)攻击威胁。 2019年7月,美国银行第一资本金融公司遭黑客窃取逾1亿名顾客和潜 在顾客的个人信息。2017年金融行业已被列为仅次于政府、能源之后, 被高级持续性威胁(Advanced Persistent Threat,即APT)攻击组织关 注的第三大领域。 在此背景下,金融领域网络安全防护和处置能力成为国内金融机构和 监管部门关注的重点。中国人民银行印发的金融科技(FinTech)发展 规划(20192021年)提出增强金融风险技防能力,加强网络安全风险 管控和金融信息保护,坚决守住不发生系统性金融风险的底线。因此, 攻防演练作为有效的网络安全检验手段也越来越受到业界重视和关 注。 近年来,实战化的网络安全攻防演习在国家有关部门的推动下逐渐呈 现出常态化趋势,“实战是检验网络安全防护能力的唯一标准”、“网络 安全说千遍不如打一遍”等实战化理念已逐步在各个行业形成共识,金 融业在网络安全建设中也呈现出实战与合规并重的趋势。 1.实战是检验金融安全的有效标准 2.攻防演练常态化发展 自2016年网络安全法颁布,出台网络安全演练相关规定:关键信息基 础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。此 后,网络攻防演练专项行动成为一年一度的惯例。 数据显示,国家有关部门组织的全国性网络实战攻防演习从2016年仅 有几家参演单位,到2019年已扩展到上百家参演单位;行业领域由国家 电网,民航逐渐扩展至电信、金融、水利、能源等覆盖各类民生保障行 业,包括政府单位、事业单位、国企等众多机构。 *攻防演练行动简介 08 2016 2017 2018 2019 2020 攻防演练行动 规模 规则组织 网安公安 角色 防守方(蓝军) 攻击方(红军) 公安部 民航局 民航 国家电网 重点政府部门 重点企事业单位 广电 交通 公共事业 政府 能源 电信金融 公有云 物联网 获取权限 获取数据 远程控制等 发现攻击 消除威胁 应急响应等 (2)防守方 (1)攻击方 01 02 03 04 05 攻防演练的形式,大致可分为全盘演练、专项演练及假设演练,聚焦到 金融行业,几种演练方式都有相关实践。但是金融行业因具有一定的特 殊性,其攻防演练与常规演练略有不同,主要表现为: 限定结果:通常不能在生产系统中使用有潜在风险的技术、工具。 有所侧重:通常比较重视边界安全、办公网安全、无线网安全及员工 个人安全意识。 限定范围:通常会从金融机构内部选择某一或几个部分作为一次攻 防演练的目标。 随着近几年行业监管机构对网络安全管理体系要求的不断深入和细 化,各金融机构高度重视网络安全组织与制度体系建设工作。由于金融 行业的特殊性与重要性,一向走在网络安全建设或发展的前列。针对金 (四)安全建设现状:金融信息技术体系的重要组成职能 2020-2021年金融行业网络安全研究报告 1.86.3%的金融企业已具备安全团队或设置安全职能 2.33%的金融企业已具备11人以上的安全团队 CHAPTER TWO 09 *企业是否设立网络安全管理部门 *图源:FreeBuf咨询 *企业安全部门的分管领导 *图源:FreeBuf咨询 *企业安全团队规模 *图源:FreeBuf咨询 融行业安全建设现状,FreeBuf咨询进行了深入调研,可以看到,网络安 全已成为金融行业信息技术体系的重要组成职能。 调研结果显示,已有86%的金融企业具备安全团队或设置安全职能,其 中23%的企业不仅具备安全团队与安全职能,还设立了专门的网络安 全管理部门。 调研结果显示,已有86%的金融企业具备安全团队或设置安全职能,其 中23%的企业不仅具备安全团队与安全职能,还设立了专门的网络安 全管理部门。 3.近半数企业安全投入占据IT总预算的3%-10% 网络安全已融入到金融行业IT决策的每一个环节中。衍生于新场景、新 业态下的新安全威胁,正在考验着企业的安全技术、团队和能力储备。 与此同时关于加强网络安全建设的相关政策纷纷出台,促使企业在安 全局势严峻和合规政策紧缩的双重压力下,持续增加在网络安全方面 的投入。根据调研结果,近半数金融企业的安全投入占到了IT总预算的 3%-10%。 此外,调研结果还显示,九成的企业由信息科技分管领导安全部门,少 数由合规风险分管领导或其他领导牵头。由此可见,安全部门在企业 内部受到较高的重视。 暂无专门的网络安全管理部门、安 全团队,但设置了安全职能: 计划成立专门的网络安 全管理部门: 暂无专门的网络安全管理部门,但 具备安全团队: 40% 信息科技分管领导 91% 33% 17% 50% 14% 合规及风险分管领导 14% 已设立专门的网 络安全管理部门: 23% 23% 11人以上: 6-10人: 5人以下: 2% 24% 47% 27% 10%0% 20% 30% 40% 50% 3%以下 3%-10% 10%-15% 15%-20% *图:金融企业2021年安全投入IT占比 *图源:FreeBuf咨询 2020-2021年金融行业网络安全研究报告 安全厂商产品及服务 有待提高 企业安全预算有限 安全人员较少且专业 度欠缺 33% 28% 19% 安全建设在企业内不 受领导重视 20% 2% 3% 5% 5% 8% 10% 13% 14% 19% 21% 5%0% 10% 15% 20% 15% 管理制度体系建设 开发与运维安全建设 数据安全保护建设 安全运营体系建设 攻防对抗演练 隐私数据安全保护 漏洞管理与情报体现建设 身份认证与授权建设 资产安全管理建设 应急响应体系建设 4.企业安全建设的困难点 网络安全仍旧处于潜力发展阶段。根据调研数据,对于大部分金融企业 而言, 【企业安全预算有限】、【安全人员较少且专业度欠缺】、【安全厂商 产品及服务有待提高】及【安全建设在企业内不受领导重视】 成为企业 安全建设中的主要困难点。 5.企业安全建设的重点方向 针对金融企业2021年安全建设重点,调研发现:安全运营体系建设、数据安全保护建设、开发与运维安全建设、管理制度体系建设成为企业更加关注的 规划重点。 *图:金融企业安全建设的困难点 *图源:FreeBuf咨询 10 3 CHAPTER THREE 第三章 金融行业网络安 全风险特点及趋势 第三章 金融行业网络安全风险特点及趋势 2020-2021年金融行业网络安全研究报告 12 (一) 2020-2021年重大网络安全事件回顾 2020年以来,金融行业持续面临愈发严峻的网络威胁形势。随着金融行业业务数字化、开放程度加深,新技术与业务快速融合,金融行业所面临的网络 威胁不断增多,攻击面扩大。 危机是推动安全变革的重要原因。总结金融行业的风险变化特点及趋势,不仅能够映射攻击者和攻击手段的变化,同时能够全面了解金融行业的网络 安全发展趋势。 DDoS攻击 数据泄露 勒索软件 加密货币 内鬼 人为因素 APT 业务欺诈 钓鱼攻击 虚假账户 薅羊毛 撞库 系统入侵 勒索软件 人为因素 内鬼 业务欺诈 APT 数据泄露 DDoS攻击 加密货币 虚假账户钓鱼攻击 系统入侵 撞库 薅羊毛 时间 事件 攻击详情 关键词 2020年1月2日 加密货币交易所Poloniex数 据泄露 数据泄露;钓鱼攻击 据悉,用户收到一封来自 Poloniex 加密货币交易所的邮件,邮件信息表示该公司发生数据泄 露,包括用户名、密码等重要信息,可能导致用户遭受鱼叉式网络钓鱼攻击。 2020年3月 某银行APP遭00后黑客非法 入侵 虚假账户 黑客者通过软件抓包、PS身份证等非法手段,在某银行手机银行APP内使用虚假身份信息注册 银行、类账户,并将上述账户的身份证号、银行卡号、绑定的手机号等信息,贩卖给他人,可 证实获利金额为人民币22010元。 2020年5月 *信银行泄露脱口秀艺人池子 个人信息,银保监会立案调查 数据泄露 知名脱口秀演员池子在个人微博账号上发长文怒斥*信银行侵犯个人隐私,将他的个人流水信 息违法违规提供给第三方。后续*信银行就“脱口秀演员池子举报其未经授权向第三方提供个 人流水”一事作出回应并致歉,并表示已对相关员工予以处分,对支行行长予以撤职。随后,中 国银行保险监督管理委员会发布通报,对该事件进行立案调查。 2020年4月2日 A股惊现庄家“盗号接盘”:多 位股民账户异地清空 数据泄露;盗买盗卖 多地投资者表示在*顺的股票账户集体被盗,持仓股被清空后全仓买入了济民制药。第二天, 济民制药一字跌停,投资者蒙受了损失。多个投资者表示软件存在漏洞,异常登录未尽到核实、 提醒义务。后续*顺表示,部分投资者因为在炒股微信群里被骗或其他各种原因泄露了证券公 司的交易账号和密码,导致盗买盗卖的发生。 2020-2021年金融行业网络安全研究报告 CHAPTER THREE 13 时间 事件 攻击详情 关键词 2020年5月 Maze勒索软件运营者公开泄 露BancoBCR银行近4GB数据 数据泄露; 勒索软件 Maze勒索软件运营者在其网站上多次公开从哥斯达黎加银行(Banco BCR)窃取的信用卡数 据,据不完全统计已经泄露两个CSV文件(文件大小依次为1.9GB和2GB)。此外,Maze运营者声 称在过去的8个月里两次攻陷BancoBCR,并在加密勒索之前泄露了超过1100万张信用卡凭 证。对此,Banco BCR 否认遭到数据泄露。 2020年5月 某银行员工贩卖5万多条客户 信息 数据内鬼 江苏淮阴市淮安警方破获了一起特大贩卖公民个人信息案,共抓获26名嫌疑人,涉案金额 2000多万元,涉及公民个人信息5万多条。此次事件为银行“内鬼”将相关银行卡使用人的身份 信息、电话号码、余额甚至交易记录售卖给下家,进行牟利。 2020年6月 某企业研发的代付系统遭黑 客入侵盗走730万余元 系统入侵 某金融科技公司自主研发的“代付系统”由于使用弱口令被攻击者破解从而遭到非法入侵,黑 客向该公司所属银行账户发出汇款指令,先后向7个银行账户汇款共计人民币730万余元。 2020年8月25日 新西兰证交所连续一周遭受 DDoS攻击,交易中断 DDoS攻击新西兰证券交易所连续5天“宕机”。根据该交易所的声明,宕机与来自境外的DDoS攻击有关。 (二)金融行业风险特点 1.金融行业面临的主要风险点 随着越来越多金融机构“触网”、数字金融服务普及,信息化、网络化已成为现代金融行业的重要特征。与此同时,金融行业的网络安全风险不断累积, 金融安全防护面临前所未来的威胁挑战。 (1)风险内控问题凸显 (2)金融机构信息科技外包 2021年1月,银保监会公布2020年银行保险机构公司治理监管评估结果 总体情况。1792家参评机构中,评级结果在C级(合格)及以上的为78%。 趋严的合规需求以及金融行业对于网络安全的重视进一步推动了相关 企业及单位的安全建设工作,我国银行业和保险业的治理建设取得积 极成效。不过,值得注意的是,虽然大多数参评机构处于合格线及以上, 但A级(优秀)的比例仅为0.1%,B级(较好)为20.9%,距离合格以上的标 准还需进一步的策略。 从银保监会在评估过程中发现的问题来看,银行业和保险业的风险内 控问题凸显。主要体现在以下3个方面: 一是风险内控管理机制不健全。部分机构未构建独立的风险管理部门, 部分机构风险管理体系未覆盖所有业务流程和关键操作环节。 二是内审机制不健全。部分机构未构建独立的内部审计体系,内部审计 C级(合格) 1026/57.3% A级(优秀) 1/0.1% E级(
展开阅读全文