90%的全球金融企业认为自己存在数据安全风险……

2014年,165家国内P2P互联网金融平台由于黑客攻击,资金被洗劫一空……

2015年,骇人听闻的Carbanak犯罪团伙金融恶意攻击活动让网络金融犯罪变得众所周知。这家犯罪团伙的攻击目标包括超过30个国家的100多家银行及其他金融机构。自2013年以来,该犯罪团伙所窃取的金额或将高达10亿美元。

数据是金融行业的命脉。而内部数据安全管理的不慎,和针对金融企业的网络攻击,则是架在命脉上的一把尖刀,随时可能引起“大出血”。

数据即金钱

多数网络攻击都是以“劫持数据”的方式牟利。

当前在黑色产业形成链条的大背景下,黑客对金融企业觊觎已久,通过漏洞获得相关的个人信息、敏感信息,他们就可以把相关数据在黑产中进行售卖,达到非法牟利的目的。数据泄露、丢失给金融行业所造成的后果,不仅是业务损失,更是品牌和名誉上的打击。

全球范围内,越来越多的“高危”行业——金融、医疗、电商——已经开始将数据安全防护作为企业的首要安防对象,并开始采取行动。Vormetric的《金融行业数据威胁报告》指出,有70%的企业已经或计划在数据安全上增加资金投入,其中,网络防护(65%)和端防护58%)增量最大。

jinrong

安全规划不全,漏洞百出

在国内,金融这一“高危”行业与安全威胁赛跑的速度还不够快。

DDoS攻击,黑客入侵,APP安全,业务欺诈,这是国内金融行业用户面对的四大安全难题。而外部的攻击,只是数据安全威胁的“半壁江山”,另一半隐患,往往来自于企业自身。

很多金融企业,包括大型的银行,对数据安全的管理和防御还处于“头疼医头,脚疼医脚”的阶段。举个例子,2014年,第三方安全机构对400家网贷平台进行安全评估,其中65%的网贷平台存在安全漏洞,35%有严重高危漏洞。 由于业务发布、推广的迭代周期短:以月、甚至以周为单位,导致金融行业用户无暇顾及内部安全的管理。“业务能正常上线发布就很好了,哪还有空考虑安全”,一人应用开发从业人员无耐的表示。

研究还发现,企业安全最大的“敌人”,是自己的员工。企业员工存在大量安全隐患,包括将密码贴在座位上、弱密码/无密码、随意下载和使用云应用等(Softchoice)。

上云之势,安全之路

在金融决策者制定企业安全策略时,需要将云计算的大背景考虑在内。

jinrong2

银监会日前透露,2020年,国内60%的金融行业将构建在云上。对于金融企业来说,越来越需要把安全,尤其是云上安全,纳入业务发展的基础环节。选择一家可靠的云服务商,是未来金融企业保证数据安全、业务安全的基础。

企业可以从这几个维度去衡量云服务商的安全性:包括(但不限于)是否能保证用户的业务连续性、数据安全的防护机制、安全能力(每天成功防御的DDoS数量、暴力破解数量和Web攻击数量)、安全团队、还有就是合规项目,等等。

同时,随着金融企业上云的热潮逐渐升温,企业也应当让自身的安全策略更契合“云上环境”——与以往的“头疼医头、脚疼医脚”不同,云上防护更需要全面的部署。

以金融的业务系统基本的拓扑结构为例,通过APP安全进行APP端加固和漏洞识别,把APP的安全风险控制在应用里面,然后在云端的出口部署DDoS高防和WAF(网络应用防火墙),把网络攻击阻断在网络出口位置,防止内部负载均衡、路由交换、服务器和应用受到影响。

在服务器层面,通过主机安全产品对主机侧进行加固,对一些漏洞进行第一时间修复,同时,从APP到应用系统之间,在整个链路的传输过程都采用HTTPS进行加密,再存储到数据库里。

在云上,金融行业也非常需要大数据安全分析的工具,能够实时看见和响应正在发生,甚至即将发生的攻击。这一工具要做的工作就是把全网所有相关的安全产品都收集起来,包括用户操作日志、数据库的行为、安全防护日志,进行全网的安全大数据汇总分析和感知,做到未知威胁的发现或者黑客溯源等。

此外,将系统、业务在云上,金融行业更加需要加强人员的权限管理,各系统密码最好统一由密钥管理系统统一进行管理。并进一步增加人员的安全意识及安全业务开发意识。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-24 18:39:23
5G资讯 网络安全是5G时代不可忽视的底线
工信部副部长陈肇雄在出席IMT-2020峰会时指出,加快5G安全领域关键核心技术研发,建立健全5G安全风险态势感知和预警处置机制,确保5G在各行业领域应用安全。 <详情>
2019-07-23 20:27:23
边缘计算 工业4.0浪潮下,如何保护边缘网络安全?
随着新一代信息技术在工业领域的应用,例如物联网、大数据、人工智能等技术,将与先进的自动化生产技术结合,形成了一个信息物理系统,虚拟计算和现实设施连接是一个重要的 <详情>
2019-07-22 16:55:52
区块链 如何利用区块链加强网络安全
网络安全漏洞正变得越来越严重。许多新的威胁包括网络钓鱼,加密技术,物联网攻击,恶意软件,SQL注入,人工智能等更多的威胁,都是网络世界中任何人都非常关注的问题。 <详情>
2019-07-22 11:43:56
云资讯 阿里云当选CNCERT国家级网络安全应急服务支撑单位
近日,阿里云当选由国家互联网应急中心CNCERT颁发的国家级网络安全应急服务支撑单位。 <详情>
2019-07-17 16:17:39
云安全 狙击网络病毒,收藏这一篇干货就够了
对于病毒攻击者来说,核心诉求是利益获取。以往的病毒攻击事件,大部分以数据盗取为主,同时通过数据倒卖等手段进行变现。 <详情>