摘 要：金融服務(wù)業(yè)高度依賴網(wǎng)絡(luò)，使服務(wù)效率獲得極大提升。隨著人們對數(shù)字金融服務(wù)依賴性日益增強(qiáng)，網(wǎng)絡(luò)安全成為金融服務(wù)業(yè)關(guān)注的焦點(diǎn)。與此同時，受利益驅(qū)使，金融服務(wù)業(yè)成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。首先，分析了金融服務(wù)業(yè)網(wǎng)絡(luò)安全面臨的風(fēng)險挑戰(zhàn)；其次，總結(jié)了金融服務(wù)業(yè)網(wǎng)絡(luò)安全遭受威脅的攻擊類型；最后，針對相關(guān)風(fēng)險挑戰(zhàn)和威脅提出總體應(yīng)對策略思考。

內(nèi)容目錄：

1 金融服務(wù)業(yè)網(wǎng)絡(luò)安全面臨的風(fēng)險挑戰(zhàn)
1.1 持續(xù)數(shù)字化轉(zhuǎn)型和技術(shù)創(chuàng)新帶來的風(fēng)險
1.2 復(fù)雜的法律法規(guī)與遵從合規(guī)性制約的風(fēng)險
1.3 面臨第三方風(fēng)險管理和供應(yīng)鏈生態(tài)系統(tǒng)的風(fēng)險
1.4 區(qū)塊鏈技術(shù)衍生出金融創(chuàng)新活動的風(fēng)險
1.5 混合工作場所的環(huán)境變化增加 IT 系統(tǒng)復(fù)雜性的風(fēng)險
2 金融服務(wù)業(yè)網(wǎng)絡(luò)安全面臨的威脅攻擊類型
2.1 勒索軟件攻擊
2.2 網(wǎng)絡(luò)釣魚攻擊
2.3 Web 應(yīng)用程序攻擊
2.4 漏洞利用攻擊
2.5 DDoS 攻擊
2.6 APT 攻擊
2.7 內(nèi)部攻擊
3 金融服務(wù)業(yè)網(wǎng)絡(luò)安全風(fēng)險威脅應(yīng)對策略思考
3.1 樹立以威脅為中心的策略方法
3.2 建立可靠的訪問管理策略
3.3 保護(hù)分布式企業(yè)的安全性
3.4 確保端點(diǎn)安全和用戶安全可信
3.5 強(qiáng)化威脅檢測和響應(yīng)能力
3.6 設(shè)計合規(guī)性的安全計劃
3.7 提升網(wǎng)絡(luò)安全彈性和威懾力
4 結(jié) 語

金融服務(wù)業(yè)掌握、處理和存儲著個人和機(jī)構(gòu)極其敏感和有價值的數(shù)據(jù)信息，受利益驅(qū)動成為網(wǎng)絡(luò)攻擊者的重要目標(biāo)之一。以信息技術(shù)為代表的新一輪科技革命，推動了金融服務(wù)業(yè)向移動化、數(shù)字化、智能化和云端化加速發(fā)展。當(dāng)前，金融服務(wù)業(yè)網(wǎng)絡(luò)安全面臨各種風(fēng)險挑戰(zhàn)和威脅，給網(wǎng)絡(luò)攻擊者獲取可貨幣化的可乘之機(jī)，網(wǎng)絡(luò)攻擊數(shù)量在過去十年中呈持續(xù)增長態(tài)勢。隨著金融服務(wù)業(yè)網(wǎng)絡(luò)威脅的日益增加，增強(qiáng)網(wǎng)絡(luò)安全持續(xù)保障能力，有效規(guī)避網(wǎng)絡(luò)安全風(fēng)險威脅成為一項長期而艱巨的任務(wù)。

1 金融服務(wù)業(yè)網(wǎng)絡(luò)安全面臨的風(fēng)險挑戰(zhàn)

金融服務(wù)業(yè)即從事金融服務(wù)業(yè)務(wù)的行業(yè)。目前，我國金融服務(wù)業(yè)包括銀行、證券、保險、信托、基金等多個分支。網(wǎng)絡(luò)安全風(fēng)險是指敏感數(shù)據(jù)、關(guān)鍵資產(chǎn)、財務(wù)或聲譽(yù)受損的可能性，這些損害通常是由網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露造成的。從 2015 年到 2021 年，銀行和保險是全球網(wǎng)絡(luò)攻擊者針對性最強(qiáng)的目標(biāo)行業(yè)。國際商業(yè)機(jī)器公司（International Business Machines Corporation，IBM）研究顯示，2022 年針對金融服務(wù)業(yè)的攻擊中有 70% 針對銀行、16% 針對保險公司、14%針對其他金融機(jī)構(gòu)。波士頓咨詢公司（Boston Consulting Group，BCG）的報告顯示，金融服務(wù)業(yè)成為網(wǎng)絡(luò)攻擊受害者的可能性是其他行業(yè)的300 倍，金融服務(wù)業(yè)網(wǎng)絡(luò)犯罪的平均成本比所有其他行業(yè)高出40%。IBM《2023年數(shù)據(jù)泄露成本》報告顯示，2023 年全球數(shù)據(jù)泄露的平均成本為445 萬美元，其中金融服務(wù)業(yè)數(shù)據(jù)泄露的平均成本位居總平均值之上。金融服務(wù)業(yè)組織者高度關(guān)注網(wǎng)絡(luò)威脅，根據(jù)美國州級銀行監(jiān)管者會議（Conference of State Bank Supervisors，CSBS）在2021 年 9 月進(jìn)行的一項調(diào)查可知，超過 80% 的銀行家將網(wǎng)絡(luò)安全風(fēng)險評為“極其重要”的內(nèi)部風(fēng)險，是任何其他類別操作風(fēng)險的兩倍多，超過上一年報告的 60%。

1.1　持續(xù)數(shù)字化轉(zhuǎn)型和技術(shù)創(chuàng)新帶來的風(fēng)險

近年來，互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能、區(qū)塊鏈等技術(shù)加速創(chuàng)新，逐漸融入經(jīng)濟(jì)社會發(fā)展各領(lǐng)域全過程。金融服務(wù)業(yè)也廣泛利用數(shù)字技術(shù)、大數(shù)據(jù)等進(jìn)行決策服務(wù)行動，以實(shí)現(xiàn)經(jīng)濟(jì)快速增長和生活質(zhì)量改善。金融機(jī)構(gòu)采用云計算、人工智能、數(shù)字服務(wù)等新興技術(shù)，滿足其數(shù)字技術(shù)的創(chuàng)新。大多數(shù)金融機(jī)構(gòu)利用基于云的服務(wù)提高信息處理、欺詐檢測和財務(wù)分析能力。但同時，從本地到云的轉(zhuǎn)變使得傳統(tǒng)基于邊界的防御不再有效，給機(jī)構(gòu)帶來了新的安全挑戰(zhàn)。由于數(shù)字化轉(zhuǎn)型，以及虛擬銀行和數(shù)字金融服務(wù)的出現(xiàn)，使得金融服務(wù)業(yè)開始運(yùn)用更多新應(yīng)用程序、設(shè)備和基礎(chǔ)架構(gòu)組件，攻擊面擴(kuò)大。上述因素導(dǎo)致金融服務(wù)業(yè)及其客戶的網(wǎng)絡(luò)安全風(fēng)險上升。

1.2　復(fù)雜的法律法規(guī)與遵從合規(guī)性制約的風(fēng)險

金融機(jī)構(gòu)越來越依賴技術(shù)和數(shù)據(jù)向客戶提供產(chǎn)品和服務(wù)，因此面臨著不斷變化的監(jiān)管環(huán)境。由于金融服務(wù)業(yè)客戶來自全球各地，因此其業(yè)務(wù)通常受到當(dāng)?shù)卣蛧H監(jiān)管機(jī)構(gòu)監(jiān)管。金融服務(wù)業(yè)除了需遵守中央政府和地方部門的規(guī)定，還應(yīng)遵守國際法規(guī)，不僅需要確保數(shù)據(jù)得到適當(dāng)保護(hù)，還需要確保數(shù)據(jù)符合《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）等法規(guī)定義的管轄范圍以外的數(shù)據(jù)傳輸限制。金融服務(wù)業(yè)被委托處理大量敏感數(shù)據(jù)，這些數(shù)據(jù)必須按照多樣化的法規(guī)要求進(jìn)行保護(hù)。同時，金融機(jī)構(gòu)越來越依賴技術(shù)和數(shù)據(jù)向客戶提供產(chǎn)品和服務(wù)，所面臨的監(jiān)管環(huán)境在不斷變化。隨著金融機(jī)構(gòu)監(jiān)管范圍擴(kuò)大，有關(guān)數(shù)據(jù)保護(hù)、隱私標(biāo)準(zhǔn)及網(wǎng)絡(luò)安全的要求也隨之變化。復(fù)雜的監(jiān)管環(huán)境導(dǎo)致執(zhí)法更嚴(yán)格，監(jiān)管費(fèi)用和罰款隨之增加，給金融服務(wù)業(yè)造成一定的資金損失。2020 年 8 月，第一資本金融公司（Capital One）因未能識別和管理網(wǎng)絡(luò)風(fēng)險導(dǎo)致了 2019 年的大規(guī)模數(shù)據(jù)泄露，被美國政府罰款 8 000 萬美元。

1.3　面臨第三方風(fēng)險管理和供應(yīng)鏈生態(tài)系統(tǒng)的風(fēng)險

金融服務(wù)業(yè)大多依靠第三方服務(wù)商實(shí)現(xiàn)其數(shù)字化運(yùn)營，因此對網(wǎng)絡(luò)安全幾乎沒有控制權(quán)，即使自己的安全系統(tǒng)對網(wǎng)絡(luò)攻擊具有很強(qiáng)的彈性，第三方服務(wù)商也有可能成為網(wǎng)絡(luò)安全鏈中的薄弱環(huán)節(jié)，為網(wǎng)絡(luò)攻擊者提供訪問數(shù)據(jù)的通道，很容易受到網(wǎng)絡(luò)攻擊和破壞。軟件供應(yīng)鏈攻擊是指在合法軟件正常傳播和升級過程中，利用軟件供應(yīng)商的各種疏忽和漏洞劫持或篡改合法軟件，從而繞過傳統(tǒng)的安全檢查，達(dá)到非法目的的一種攻擊類型。網(wǎng)絡(luò)攻擊者更多地針對軟件供應(yīng)商，通過看似合法的產(chǎn)品下載或更新，向供應(yīng)鏈中的客戶提供惡意代碼，2020 年底全球發(fā)生的太陽風(fēng)（Solar Winds）供應(yīng)鏈攻擊事件就是最典型的例證。

1.4　區(qū)塊鏈技術(shù)衍生出金融創(chuàng)新活動的風(fēng)險

區(qū)塊鏈?zhǔn)且粋€分布式存儲數(shù)據(jù)庫，通過建立“機(jī)器信任”解決傳統(tǒng)金融服務(wù)中存在的各種痛點(diǎn)問題，成為金融創(chuàng)新的新興技術(shù)。與此同時，區(qū)塊鏈技術(shù)衍生出的各種金融形態(tài)，產(chǎn)生了復(fù)雜性更強(qiáng)、傳播性更廣的風(fēng)險因素，針對這些演化而來的新型風(fēng)險，使用傳統(tǒng)的方法難以控制，給金融風(fēng)險管理研究與監(jiān)管制度設(shè)計帶來新挑戰(zhàn)。例如，以比特幣為首的加密貨幣存在沖擊傳統(tǒng)貨幣體系、投機(jī)炒作、金融犯罪等諸多風(fēng)險。隨著比特幣、以太坊等數(shù)字貨幣的興起，數(shù)字貨幣的投機(jī)行為帶來了套利問題，若加密貨幣在流通過程中因沒有辦法受到監(jiān)管部門審核監(jiān)督，則存在被洗錢、恐怖融資等非法利用的風(fēng)險。

1.5　混合工作場所的環(huán)境變化增加 IT 系統(tǒng)復(fù)雜性的風(fēng)險

自新冠疫情以后，遠(yuǎn)程工作、混合勞動力和基于云的軟件技術(shù)已經(jīng)無處不在。包括金融服務(wù)業(yè)在內(nèi)的各個行業(yè)都在采用支持遠(yuǎn)程訪問、通信和協(xié)作的新技術(shù)?；旌瞎ぷ鲌鏊沫h(huán)境變化增加了信息技術(shù)（Information Technology，IT）系統(tǒng)的復(fù)雜性，由此帶來新的網(wǎng)絡(luò)風(fēng)險。金融服務(wù)業(yè)從基本服務(wù)轉(zhuǎn)向使用云服務(wù)展開業(yè)務(wù)活動，而云服務(wù)協(xié)議需要各種數(shù)據(jù)共享法規(guī)，這為網(wǎng)絡(luò)攻擊者打開了一扇門，方便其在財務(wù)數(shù)據(jù)上設(shè)置陷阱。線上遠(yuǎn)程辦公環(huán)境給金融服務(wù)業(yè)帶來數(shù)據(jù)安全和法規(guī)遵從性等風(fēng)險。

２ 金融服務(wù)業(yè)網(wǎng)絡(luò)安全面臨的威脅攻擊類型

全球金融服務(wù)業(yè)網(wǎng)絡(luò)安全威脅態(tài)勢在不斷發(fā)生變化，影響網(wǎng)絡(luò)安全的威脅攻擊類型主要包括：勒索軟件攻擊、網(wǎng)絡(luò)釣魚攻擊、Web 應(yīng)用程序攻擊、漏洞利用攻擊、分布式拒絕服務(wù)（Distributed Denial of Service，DDoS） 攻 擊、高 級 持 續(xù) 性 威 脅（Advanced Persistent Threat，APT）攻擊、內(nèi)部攻擊等。金融服務(wù)業(yè)已成為國內(nèi)外敵對勢力、黑客組織、不法分子實(shí)施網(wǎng)絡(luò)攻擊、電信詐騙和滲透竊密的重點(diǎn)目標(biāo)。

2.1　勒索軟件攻擊

勒索軟件是一種惡意軟件，它阻止或限制用戶訪問其系統(tǒng)或數(shù)據(jù)，向受害者聲稱要對外公布或出售被盜的數(shù)據(jù)，直到受害者向攻擊者支付贖金。雖然任何組織都可能成為勒索軟件攻擊的對象，但金融服務(wù)業(yè)仍是勒索軟件攻擊的主要目標(biāo)。NordLocker 的一項研究表明，金融業(yè)在 2022 年遭受的勒索軟件攻擊次數(shù)激增，修復(fù)成本也在不斷增長，對于金融服務(wù)業(yè)而言，修復(fù)勒索軟件攻擊的平均成本為 210 萬美元，這些成本包括業(yè)務(wù)中斷、數(shù)據(jù)丟失、生產(chǎn)力損失、聲譽(yù)受損、員工培訓(xùn)和災(zāi)難恢復(fù)等。

2.2　網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚是指通過網(wǎng)絡(luò)釣魚工具包，在電子交互過程中隱藏并為攻擊者獲取機(jī)密數(shù)據(jù)、收集除電子郵件地址和密碼以外的敏感信息。例如銀行卡、信用卡、身份證號碼和家庭住址等信息，并進(jìn)行以營利為目的的惡意操作。如今，網(wǎng)絡(luò)攻擊者能夠通過托管解決方案使用網(wǎng)絡(luò)釣魚即服務(wù)（Phishing as a Service，PhaaS），向運(yùn)營商支付在 PhaaS 模型中運(yùn)行網(wǎng)絡(luò)釣魚活動的費(fèi)用，包括欺騙性登錄頁面、網(wǎng)站托管、網(wǎng)絡(luò)釣魚郵件模板創(chuàng)建、網(wǎng)絡(luò)釣魚電子郵件分發(fā)、憑據(jù)解析和整體編排。相關(guān)報告顯示，2022 年第三季度，金融服務(wù)業(yè)是受惡意電子郵件影響最大的行業(yè)，網(wǎng)絡(luò)攻擊者針對金融服務(wù)業(yè)的網(wǎng)絡(luò)釣魚攻擊中，成功獲得初始訪問權(quán)限占比 46%。

2.3 Web 應(yīng)用程序攻擊

Web 應(yīng)用程序攻擊是針對用戶上網(wǎng)行為或網(wǎng)站服務(wù)器等設(shè)備進(jìn)行攻擊的行為，如植入惡意代碼、修改網(wǎng)站權(quán)限、獲取網(wǎng)站用戶隱私信息等，常見的 Web 攻擊方式有跨站腳本（Cross Site Scripting，CSS）攻擊、跨站請求偽造（Cross Site Request Forgery，CSRF）攻擊和SQL注入（SQL Injection）攻擊等。金融服務(wù)業(yè)許多機(jī)構(gòu)都在使用Web應(yīng)用程序共享數(shù)據(jù)文件和協(xié)同線上工作，可能面臨攻擊者誘導(dǎo)員工點(diǎn)擊進(jìn)入不明鏈接，從而引發(fā)網(wǎng)絡(luò)安全問題。Web 應(yīng)用程序中的錯誤配置會使組織容易受到網(wǎng)絡(luò)攻擊?！?022 年互聯(lián)網(wǎng)現(xiàn)狀 / 安全》報告顯示，Akamai 公司在 2020 年觀察到全球發(fā)生了 63 億次 Web 攻擊，其中金融服務(wù)業(yè)遭受的攻擊占比 12%。針對金融服務(wù)最常見的 Web 攻擊類型是本地文件包含（占比 52%），其次是 SQL 注入（占比 33%）和跨站點(diǎn)腳本（占比 9%）。

2.4 　漏洞利用攻擊

漏洞是計算機(jī)軟件、硬件或服務(wù)組件中的弱點(diǎn)。網(wǎng)絡(luò)攻擊者通過漏洞利用攻擊能夠訪問目標(biāo)網(wǎng)絡(luò)，獲取更高的權(quán)限執(zhí)行其他惡意操作。在金融服務(wù)業(yè)，31% 的攻擊是由漏洞利用造成的，網(wǎng)絡(luò)攻擊者在 2021 年針對美國金融機(jī)構(gòu)的 3 次攻擊中使用漏洞利用攻擊作為初始訪問的媒介，利用包括 Java 反序列化（CVE-2021-35464）和 Citrix 路徑遍歷（CVE-2019-19781）漏洞在內(nèi)的多個已知漏洞，獲得對受害者網(wǎng)絡(luò)的初始訪問權(quán)限。攻擊者通過攻擊中的零日漏洞訪問目標(biāo)網(wǎng)絡(luò)，例如 Kaseya 供應(yīng)鏈勒索軟件攻擊和 Microsoft Exchange Server 事件（CVE-2021-26857、CVE-2021-26858、CVE-2021-27065 和CVE-2021-26855）。2021 年 被 利 用 的 5 大 漏洞中有 4 個是新的，其中包括 Log4j 漏洞 CVE-2021-44228。

2.5 DDoS 攻擊

DDoS 攻擊會使網(wǎng)站的流量過載，導(dǎo)致其無法運(yùn)行。網(wǎng)絡(luò)攻擊者使用 DDoS 攻擊時，利用流量淹沒目標(biāo)網(wǎng)站使其崩潰。網(wǎng)絡(luò)攻擊者利用各種受感染的計算機(jī)系統(tǒng)生成攻擊流量，并利用現(xiàn)成的工具包和 DDoS 出租網(wǎng)站執(zhí)行 DDoS 攻擊。DDoS 攻擊中斷業(yè)務(wù)運(yùn)營，給受害者帶來重大的經(jīng)濟(jì)損失，對金融機(jī)構(gòu)構(gòu)成重大威脅。2021 年 6 月，負(fù)責(zé)運(yùn)營德國合作銀行技術(shù)的德國組織 Fiducia&GADIT 成為 DDoS 攻擊的目標(biāo)，影響了全國 800 多家金融機(jī)構(gòu)；2022 年 2 月，烏克蘭政府和銀行網(wǎng)站連遭兩波大規(guī)模 DDoS 攻擊，導(dǎo)致政府和銀行網(wǎng)站服務(wù)受限；同年 5 月，俄羅斯最大銀行 Sberbank 遭到有史以來規(guī)模最大的 DDoS 攻擊，峰值流量最高達(dá) 450 GB/s。

2.6 APT 攻擊

金融服務(wù)業(yè)面臨 APT 攻擊。其中，發(fā)起高級持續(xù)性威脅的團(tuán)體通常由國家暗中贊助，它們未經(jīng)授權(quán)訪問計算機(jī)網(wǎng)絡(luò)，且能在很長一段時間內(nèi)不被發(fā)現(xiàn)。這些復(fù)雜而隱蔽的威脅，結(jié)合了先進(jìn)的入侵和欺騙技術(shù)，使網(wǎng)絡(luò)攻擊者能夠訪問賬戶管理應(yīng)用程序。這類對特定機(jī)構(gòu)或行業(yè)的攻擊，都是有預(yù)謀的、有組織的攻擊行為，其攻擊方法復(fù)雜多變，能夠?qū)裟繕?biāo)造成嚴(yán)重的數(shù)據(jù)泄露或破壞。相關(guān)報告顯示，2021 年第三季度，檢測發(fā)生在銀行 / 金融部門的 APT攻擊占比 37%。有些網(wǎng)絡(luò)犯罪集團(tuán)會在網(wǎng)絡(luò)上共享攻擊策略、技術(shù)、程序、工具和資源，以破壞金融機(jī)構(gòu)，從而導(dǎo)致網(wǎng)絡(luò)攻擊增加。

2.7　內(nèi)部攻擊

金融服務(wù)業(yè)內(nèi)控風(fēng)險通常與不恰當(dāng)操作和內(nèi)部控制程序、信息系統(tǒng)出錯和人工失誤等密切相關(guān)，該風(fēng)險在內(nèi)部控制和信息系統(tǒng)存在缺陷時容易導(dǎo)致不可預(yù)期的損失。常見的內(nèi)部威脅包括：心懷不滿的員工；員工的錯誤操作；個人濫用敏感信息謀取私利，通過竊取機(jī)密客戶數(shù)據(jù)或知識產(chǎn)權(quán)以獲取經(jīng)濟(jì)利益等。近年來，內(nèi)部攻擊越來越普遍，該攻擊不僅較難檢測而且危害巨大，造成系統(tǒng)服務(wù)中斷甚至關(guān)鍵數(shù)據(jù)丟失。在 2020 年至 2022 年的短短兩年內(nèi)，全球內(nèi)部威脅事件數(shù)量增加了 44%。2021 年 9 月，紐約一家信用合作社的內(nèi)部人員造成了數(shù)據(jù)泄露，據(jù)稱是被解雇后的一名前員工進(jìn)入公司系統(tǒng)，在 40 分鐘內(nèi)刪除了 21.3 GB 的公司數(shù)據(jù)和文件。

３ 金融服務(wù)業(yè)網(wǎng)絡(luò)安全風(fēng)險威脅應(yīng)對策略思考

隨著網(wǎng)絡(luò)威脅的不斷升級和監(jiān)管需求的增加，金融機(jī)構(gòu)亟須建立全面的網(wǎng)絡(luò)安全應(yīng)對策略，以保護(hù)其系統(tǒng)和受委托的數(shù)據(jù)免受網(wǎng)絡(luò)攻擊者攻擊。

3.1　樹立以威脅為中心的策略方法

隨著網(wǎng)絡(luò)攻擊者策略變化和技術(shù)迭代升級，金融服務(wù)業(yè)必須對有價值的數(shù)據(jù)和服務(wù)的防御措施進(jìn)行改進(jìn)，以應(yīng)對不斷變化的威脅形勢。為實(shí)現(xiàn)這一目標(biāo)，金融服務(wù)業(yè)機(jī)構(gòu)需要建立包括人員、流程、技術(shù)在內(nèi)的安全策略框架，從威脅中學(xué)習(xí)并適應(yīng)針對威脅的防御措施——一種以威脅為中心的方法。大多數(shù)金融服務(wù)業(yè)機(jī)構(gòu)已經(jīng)在其基礎(chǔ)設(shè)施中部署了多級防御系統(tǒng)，包括網(wǎng)絡(luò)攻擊防御和檢測解決方案。德勤《2021 年金融網(wǎng)絡(luò)調(diào)查》的 3 個關(guān)鍵發(fā)現(xiàn)之一是“企業(yè)可能有虛假的安全感”。為了確保在網(wǎng)絡(luò)犯罪情況下的最大安全性，金融服務(wù)業(yè)機(jī)構(gòu)在抵御網(wǎng)絡(luò)攻擊時，不僅要將影響和損失降到最小，還要保持這種彈性，以應(yīng)對新出現(xiàn)的威脅。

3.2　建立可靠的訪問管理策略

訪問管理策略對金融服務(wù)業(yè)數(shù)據(jù)安全性和法規(guī)遵從性至關(guān)重要。金融服務(wù)業(yè)面臨著勒索軟件、數(shù)據(jù)泄露等各種威脅，攻擊者利用受損的憑據(jù)和特權(quán)訪問實(shí)現(xiàn)攻擊。如何對敏感客戶數(shù)據(jù)的訪問權(quán)限進(jìn)行管理是金融行業(yè)大多數(shù)法規(guī)的主要關(guān)注點(diǎn)，金融服務(wù)業(yè)可以通過各種方式對數(shù)據(jù)和系統(tǒng)的訪問權(quán)限進(jìn)行管理。訪問管理策略的主要組件包括：一是云訪問安全代理（Cloud Access Security Broker，CASB）。CASB解決方案監(jiān)視和管理對組織的基于云的應(yīng)用程序的訪問。隨著金融服務(wù)業(yè)追求數(shù)字化轉(zhuǎn)型并將核心應(yīng)用程序轉(zhuǎn)移到云端，CASB 解決方案對于保護(hù)敏感客戶數(shù)據(jù)免受未經(jīng)授權(quán)的訪問變得至關(guān)重要。二是多重身份驗證（Multi-Factor Authentication，MFA）。MFA 要求用戶使用多因素（如密碼和物理令牌）的組合向賬戶進(jìn)行身份驗證。MFA 通常根據(jù)支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)等法規(guī)強(qiáng)制要求訪問客戶財務(wù)數(shù)據(jù)。三是特權(quán)訪問管理（Privileged Access Management，PAM）。Verizon 發(fā)布的《2023 數(shù)據(jù)泄露報告》顯示，74% 的安全事件被證明存在人為因素，包括錯誤使用權(quán)限、濫用特權(quán)、釣魚攻擊、身份泄露等。由于開放式銀行和數(shù)字化轉(zhuǎn)型計劃，金融服務(wù)擴(kuò)展了第三方關(guān)系。PAM 解決方案對于具有更高訪問權(quán)限來監(jiān)控、管理敏感系統(tǒng)和數(shù)據(jù)的賬戶至關(guān)重要。四是零信任網(wǎng)絡(luò)訪問（Zero Trust Network Access，ZTNA）。由 于遠(yuǎn)程辦公的需求，安全的遠(yuǎn)程訪問解決方案變得必不可少，以便員工可以遠(yuǎn)程訪問公司數(shù)據(jù)和系統(tǒng)。ZTNA 解決方案可以通過提供對數(shù)據(jù)的訪問，使金融機(jī)構(gòu)能夠管理數(shù)據(jù)安全風(fēng)險，并符合法規(guī)遵從性要求。

3.3 　保護(hù)分布式企業(yè)的安全性

隨著金融服務(wù)業(yè)采用更加分散的 IT 基礎(chǔ)架構(gòu)，可以通過現(xiàn)代安全解決方案增強(qiáng)網(wǎng)絡(luò)性能和安全性。一是軟件定義廣域網(wǎng)絡(luò)（Software Defined Wide Area Network，SD-WAN）。SD-WAN 是一種網(wǎng)絡(luò)優(yōu)化工具，旨在通過各種網(wǎng)絡(luò)媒體識別 SD-WAN 接入點(diǎn)之間的最佳路由。這可以確保延遲敏感型應(yīng)用程序具有所需的網(wǎng)絡(luò)性能，并且可以利用與 SD-WAN 解決方案一起部署或集成的安全解決方案來保護(hù)流經(jīng)企業(yè)網(wǎng)的所有流量。二是防火墻即服務(wù)（FireWall as a Service，F(xiàn)WaaS）。與其他基于云的云托管解決方案一樣，F(xiàn)WaaS 為金融服務(wù)提供更高的靈活性和可擴(kuò)展性。FWaaS 可以與組織的基于云的應(yīng)用程序一起部署保護(hù)網(wǎng)絡(luò)安全，還可為本地IT 資源提供高性能和可擴(kuò)展保護(hù)。

3.4　確保端點(diǎn)安全和用戶安全可信

隨著遠(yuǎn)程工作興起，端點(diǎn)安全對于金融機(jī)構(gòu)來說比以往任何時候都更加重要。由于員工在家工作，傳統(tǒng)網(wǎng)絡(luò)邊界之外的設(shè)備可以訪問敏感的企業(yè)和客戶數(shù)據(jù)以及企業(yè)資源。如果這些設(shè)備感染了惡意軟件，攻擊者可以利用遠(yuǎn)程訪問直接進(jìn)行攻擊。因此，金融服務(wù)需要能夠預(yù)防、檢測和應(yīng)對員工設(shè)備上潛在的、受感染的解決方案。一些適用的網(wǎng)絡(luò)安全解決方案包括：一是擴(kuò)展檢測和響應(yīng)（Extended Detection and Response，XDR）。隨著惡意軟件和其他網(wǎng)絡(luò)攻擊日益復(fù)雜化，傳統(tǒng)的獨(dú)立端點(diǎn)安全解決方案變得逐漸無效。XDR 解決方案旨在采用更全面的方法來檢測和修復(fù)威脅，從多個來源（端點(diǎn)、電子郵件、網(wǎng)絡(luò)流量等）收集數(shù)據(jù)，并對其進(jìn)行分析以識別這些攻擊。二是安全網(wǎng)絡(luò)網(wǎng)關(guān)（Secure Web Gateway，SWG）。員工面臨的許多安全威脅都來自互聯(lián)網(wǎng)。用戶可能會意外瀏覽到惡意或受感染的網(wǎng)站，或者被網(wǎng)絡(luò)釣魚電子郵件定向誘導(dǎo)。SWG 位于用戶和互聯(lián)網(wǎng)之間并代理所有連接，使組織能夠阻止對不適當(dāng)或危險站點(diǎn)的訪問并監(jiān)視惡意內(nèi)容。

3.5　強(qiáng)化威脅檢測和響應(yīng)能力

隨著網(wǎng)絡(luò)攻擊變得越來越普遍，金融服務(wù)業(yè)需要在面對攻擊時做出快速響應(yīng)、恢復(fù)運(yùn)營，以維護(hù)系統(tǒng)的穩(wěn)定。在金融服務(wù)業(yè)，網(wǎng)絡(luò)攻擊者訪問系統(tǒng)的時間越長，竊取或加密有價值數(shù)據(jù)、泄露用戶憑據(jù)、部署持久性機(jī)制以加深其對系統(tǒng)控制的機(jī)會就越多，因此 7×24 h 全天候威脅監(jiān)控至關(guān)重要。越早檢測到入侵指標(biāo)，就能越快地采取措施防止對金融機(jī)構(gòu)造成傷害。為了結(jié)束網(wǎng)絡(luò)攻擊者干預(yù)，安全團(tuán)隊必須監(jiān)控財務(wù)數(shù)據(jù)變化情況并確定其優(yōu)先級。為此，金融服務(wù)業(yè)需要了解相關(guān)威脅，培養(yǎng)能夠應(yīng)對這些威脅的安全人員，加大對黑灰產(chǎn)組織及網(wǎng)絡(luò)攻擊者的防范力度，通過建立黑灰產(chǎn)組織畫像的方法，有力提升威脅事件的響應(yīng)速度。

3.6　設(shè)計合規(guī)性的安全計劃

金融服務(wù)業(yè)是受政府和行業(yè)監(jiān)管的、最嚴(yán)格的行業(yè)之一，每個組織都有監(jiān)管合規(guī)的責(zé)任和義務(wù)，遵守網(wǎng)絡(luò)安全法規(guī)對防止網(wǎng)絡(luò)安全漏洞至關(guān)重要。不同的組織會受到各種法規(guī)約束，每個法規(guī)都有自己的要求和強(qiáng)制性的安全控制措施，不同的銀行根據(jù)其經(jīng)營范圍監(jiān)管相應(yīng)內(nèi)容。例如，在美國，金融業(yè)監(jiān)管局（Financial Industry Regulatory Authority，F(xiàn)INRA）在跨國層面運(yùn)作，貨幣監(jiān)理署（Office of the Comptroller of the Currency，OCC）在國家層面運(yùn)作，紐約州金融服務(wù)部（New York Department of Financial Services，NYDFS）在州一級運(yùn)作。金融服務(wù)業(yè)應(yīng)符合國際的監(jiān)管和監(jiān)督降低合規(guī)成本，因此必須制訂全面的網(wǎng)絡(luò)安全計劃，實(shí)施強(qiáng)大的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，創(chuàng)建內(nèi)部報告系統(tǒng)。當(dāng)前，制訂安全計劃時必須考慮的法規(guī)包括：一是 GDPR。歐盟 GDPR 是對個人數(shù)據(jù)保護(hù)具有深遠(yuǎn)影響的法規(guī)之一，在其合規(guī)性要求中內(nèi)置了安全性。任何處理歐盟公民數(shù)據(jù)的公司均受 GDPR 的約束。二是《薩班斯 - 奧克斯利法案》（Sarbanes-Oxley Act，SOX）。SOX 是一項美國法規(guī)，旨在保護(hù)上市公司的股東。它側(cè)重于規(guī)范企業(yè)透明度，以防止金融欺詐。三是《支付卡行業(yè)數(shù)據(jù)安全 標(biāo) 準(zhǔn)》（Payment Card Industry Data Security Standard，PCI DSS）。PCI DSS 由主要支付卡品牌開發(fā)，用于保護(hù)持卡人數(shù)據(jù)。所有處理支付卡交易的商戶均須受 PCI DSS 約束。四是《銀行保密法》（Bank Secrecy Act，BSA）。BSA 是美國的一項法規(guī)，也稱為貨幣和外匯交易報告法。其重點(diǎn)是防止洗錢和資助恐怖主義。五是《格雷姆 - 里奇 - 布里利法案》（Gramm-Leach-Bliley Act，GLBA）。GLBA 是一項美國聯(lián)邦法規(guī)，旨在保護(hù)金融機(jī)構(gòu)的客戶。

3.7　提升網(wǎng)絡(luò)安全彈性和威懾力

網(wǎng)絡(luò)威脅在任何國家擴(kuò)散都會使世界變得不安全，彌合這些差距需要標(biāo)準(zhǔn)制定機(jī)構(gòu)、各國監(jiān)管機(jī)構(gòu)、行業(yè)協(xié)會、私營部門、執(zhí)法機(jī)構(gòu)、國際組織及其他能力建設(shè)者共同合作努力。通過采取沒收網(wǎng)絡(luò)犯罪者收益、法律程序起訴罪犯等有效措施，加重網(wǎng)絡(luò)攻擊者攻擊成本及其所要承擔(dān)的法律后果。進(jìn)一步加強(qiáng)國際合作，防止、破壞和威懾攻擊者，從源頭上遏阻金融服務(wù)業(yè)網(wǎng)絡(luò)安全威脅的發(fā)生。例如，2021 年 3 月5 日，歐盟網(wǎng)絡(luò)安全局（European Union Agency for Cybersecurity，ENISA）發(fā)布《歐盟金融領(lǐng)域網(wǎng)絡(luò)安全倡議》，闡述歐洲在金融領(lǐng)域部署的與網(wǎng)絡(luò)安全有關(guān)的政策舉措，實(shí)現(xiàn)了金融部門間的協(xié)調(diào)合作，提升了網(wǎng)絡(luò)彈性。

４ 結(jié)　語

金融服務(wù)業(yè)的業(yè)務(wù)開展高度依賴金融網(wǎng)絡(luò)和信息系統(tǒng)支撐。同時，由于其涉及大量敏感數(shù)據(jù)和資金流動，具有極高的回報潛力，因此成為黑客組織和不法分子實(shí)施網(wǎng)絡(luò)攻擊、電信詐騙和滲透竊密的重點(diǎn)目標(biāo)。隨著針對金融服務(wù)業(yè)機(jī)構(gòu)的 APT 攻擊、精準(zhǔn)式網(wǎng)絡(luò)攻擊日益猖獗，網(wǎng)絡(luò)安全威脅不斷飆升。近幾年，金融服務(wù)業(yè)對數(shù)字環(huán)境依賴程度日益擴(kuò)大，對此，監(jiān)管部門及金融機(jī)構(gòu)需要不斷考慮和完善網(wǎng)絡(luò)安全的期望，重視金融服務(wù)業(yè)網(wǎng)絡(luò)安全，守住不發(fā)生重大風(fēng)險和安全事件底線，做好應(yīng)對風(fēng)險挑戰(zhàn)和威脅的準(zhǔn)備。

引用格式：嵇海麗周 . 金融服務(wù)業(yè)網(wǎng)絡(luò)安全風(fēng)險威脅分析和應(yīng)對策略 [J]. 信息安全與通信保密 ,2023(12):105-113.
作者簡介 >>>
嵇海麗周，女，碩士，產(chǎn)品營銷經(jīng)理，主要研究方向為網(wǎng)絡(luò)信息技術(shù)安全的產(chǎn)品管理和技術(shù)品牌創(chuàng)新等。
選自《信息安全與通信保密》2023年第12期（為便于排版，已省去原文參考文獻(xiàn)）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識和信息。

相關(guān)閱讀：
什么是DDoS攻擊?怎么防御DDoS攻擊?
安全防御產(chǎn)品—銳安盾重磅上線，助力更安全、更流暢的業(yè)務(wù)體驗
金融銀行業(yè)更適合申請哪種SSL證書？