輕輕的我走了，正如我輕輕的來(lái)；我輕輕的招手，作別數(shù)據(jù)的苦海。

那主機(jī)的一隅，是夢(mèng)寐以求的溫床；備份里的數(shù)據(jù)，在我的心頭蕩漾。

尋找？撐一支長(zhǎng)篙，向網(wǎng)絡(luò)更深處漫溯；滿(mǎn)載一路奔波，在滿(mǎn)天的絆腳石里哪敢放歌~
悄悄是別離的笙簫；爬蟲(chóng)也為我沉默，沉默才是今晚的悲歌。

悄悄的我走了，正如我悄悄的來(lái)；我揮一揮衣袖，帶不走一片云彩~日后我再來(lái)。

——黑產(chǎn)“語(yǔ)錄集”（要真有的話）

在網(wǎng)絡(luò)安全的對(duì)壘中，黑產(chǎn)們?nèi)缃褚彩强嗖豢把?，但仍舊有一批又一批的“黑手”深入各行各業(yè)的腹地，使出渾身解數(shù)，即便深入云端的數(shù)據(jù)，他們也企圖帶走一片“云彩”，編織出一個(gè)多彩的夢(mèng)。

在金融領(lǐng)域，這樣的“云彩”更值錢(qián)。隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的全面發(fā)展，推動(dòng)了金融行業(yè)的變革，這一變革帶動(dòng)了產(chǎn)業(yè)升級(jí)的同時(shí)也帶來(lái)諸多新的信息安全問(wèn)題，這給黑產(chǎn)們創(chuàng)造了新的滋長(zhǎng)空間。

信息安全隱患可以讓一家銀行頃刻之間傾覆，這并不是危言聳聽(tīng)，實(shí)際上各大金融機(jī)構(gòu)每天都在面臨漏洞、劫持等問(wèn)題。

從國(guó)家層面來(lái)看，金融安全事關(guān)國(guó)家安全， 如何確保各處產(chǎn)線數(shù)據(jù)的安全，成為金融領(lǐng)域的重大問(wèn)題。為了深入了解金融信息安全現(xiàn)狀，中國(guó)郵政儲(chǔ)蓄銀行深圳灣支行行長(zhǎng)李昭為我們分享金融行業(yè)基礎(chǔ)安全遇到的突出問(wèn)題及如何構(gòu)筑安全的底層“代碼”。

▲中國(guó)郵政儲(chǔ)蓄銀行深圳灣支行行長(zhǎng)李昭

認(rèn)知問(wèn)題引發(fā)的金融安全矛盾

產(chǎn)業(yè)互聯(lián)網(wǎng)迅猛崛起，金融行業(yè)成為其中發(fā)展最快的領(lǐng)域之一，伴隨而來(lái)的問(wèn)題也將越發(fā)嚴(yán)重。在李昭看來(lái)，金融行業(yè)基礎(chǔ)安全中著實(shí)存在很多突出的問(wèn)題，大致可以歸納為認(rèn)知、技術(shù)和保障機(jī)制三個(gè)層面。

在三個(gè)方面中“認(rèn)知”是金融行業(yè)基礎(chǔ)安全中存在的基本問(wèn)題?！皣?guó)內(nèi)大多數(shù)金融機(jī)構(gòu)對(duì)網(wǎng)絡(luò)信息安全的意識(shí)都很薄弱，最常見(jiàn)的就是大家認(rèn)為，技術(shù)崗位人員負(fù)責(zé)信息安全，業(yè)務(wù)人員只負(fù)責(zé)使用，沒(méi)有從整體上意識(shí)到信息安全的重要性，導(dǎo)致了認(rèn)知差距，大家對(duì)信息安全的理解層次不一樣?！?/p>

由于不同崗位人員對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)水平不一致，反應(yīng)出來(lái)就是“矛”和“盾”的關(guān)系。其引發(fā)的問(wèn)題存在于各層面之間——總行和支行之間，以及支行與支行之間的矛盾，時(shí)常導(dǎo)致沖突，最終釀成安全大錯(cuò)。

“大家的認(rèn)知水平不在同一個(gè)層面，比如業(yè)務(wù)側(cè)的工作人員希望一個(gè)月或者兩個(gè)月上線安全系統(tǒng)，而安全側(cè)的人員則認(rèn)為不可行，因?yàn)橄到y(tǒng)本身存在很多漏洞，匆忙上線將導(dǎo)致很多安全問(wèn)題。一個(gè)機(jī)構(gòu)內(nèi)還會(huì)有產(chǎn)品設(shè)計(jì)團(tuán)隊(duì)、開(kāi)發(fā)團(tuán)隊(duì)，甚至到支行操作層面，這一系列的環(huán)節(jié)中安全問(wèn)題很多。”

由協(xié)作問(wèn)題導(dǎo)致的安全事故時(shí)常發(fā)生，這往往不會(huì)是高級(jí)安全隱患。因?yàn)榇蠹叶己茏⒅亍按箢^”，卻反而忽略了低級(jí)錯(cuò)誤同樣可以導(dǎo)致嚴(yán)重后果。于是，其暴露出的短板就為黑產(chǎn)‘薅羊毛’鑄造了問(wèn)題的源頭。

除了認(rèn)知和意識(shí)薄弱外，金融行業(yè)對(duì)于安全技術(shù)環(huán)節(jié)的把控也相對(duì)薄弱，而技術(shù)是信息安全中的核心問(wèn)題。技術(shù)人員對(duì)于安全、漏洞、架構(gòu)、實(shí)現(xiàn)安全設(shè)計(jì)等概念的意識(shí)并不是很強(qiáng)，開(kāi)發(fā)時(shí)間較短，經(jīng)驗(yàn)不足。導(dǎo)致設(shè)計(jì)出來(lái)的系統(tǒng)本身存在就存在安全隱患，需要二次修補(bǔ)后，進(jìn)行滲透、漏洞掃描等，拖延了整個(gè)應(yīng)用上線的時(shí)間。

此外，在開(kāi)發(fā)時(shí)對(duì)于功能和安全的權(quán)衡中，往往會(huì)側(cè)重于前者。李昭分析，產(chǎn)業(yè)升級(jí)前沒(méi)有那么多并行業(yè)務(wù)的情況下，這種考量是可行的；而產(chǎn)業(yè)升級(jí)后，就要求產(chǎn)品在開(kāi)始系統(tǒng)設(shè)計(jì)時(shí)就把安全保障嵌入其中，但是這一點(diǎn)在金融行業(yè)還是欠缺的。

此外，安全保障機(jī)制不健全也是金融行業(yè)基礎(chǔ)安全中的一大盲點(diǎn)。“很多機(jī)構(gòu)重視信息安全的投入，而忽視管理運(yùn)維的投入，前期投入大量人力、物力、財(cái)力去保障信息安全，卻缺乏日常運(yùn)營(yíng)和后續(xù)管理的能力?！?nbsp;這是銀行信息安全中的一大現(xiàn)狀。

在李昭看來(lái)，這些基礎(chǔ)問(wèn)題存在的關(guān)鍵在于“人員思想不統(tǒng)一”，導(dǎo)致相關(guān)制度執(zhí)行不到位，這需要行業(yè)內(nèi)所有人的共同努力，加強(qiáng)安全教育、提升安全意識(shí)，加強(qiáng)內(nèi)部協(xié)作，將安全意識(shí)固化到日常的運(yùn)營(yíng)和管理中。

構(gòu)建AR模型深入云安全防護(hù)

隨著金融行業(yè)的安全問(wèn)題日益突出，用戶(hù)對(duì)服務(wù)的要求也越來(lái)越高，尤其是在5G到來(lái)的情況下，很多機(jī)構(gòu)都在做升級(jí)，將自身的業(yè)務(wù)系統(tǒng)放在云端，做標(biāo)準(zhǔn)化的推廣，因而網(wǎng)絡(luò)信息安全更加重要。

“在搭載云端服務(wù)器應(yīng)用的時(shí)候，從最開(kāi)始的線上互聯(lián)網(wǎng)營(yíng)銷(xiāo)服務(wù)，到后面的AR小程序，我們發(fā)現(xiàn)這些‘羊毛黨’真是無(wú)孔不入，也導(dǎo)致我們出現(xiàn)了很多壞賬情況，這應(yīng)該是很多銀行出現(xiàn)的普遍現(xiàn)象?！?/p>

在金融行業(yè)基礎(chǔ)安全中存在的漏洞給黑產(chǎn)們提供了滋長(zhǎng)的空間，在李昭看來(lái)，網(wǎng)絡(luò)信息安全的防護(hù)要考慮到方方面面，尤其是在云端的安全防護(hù)，要注重構(gòu)建安全的底層代碼。

在主機(jī)方面，要注重基礎(chǔ)化服務(wù)，對(duì)黑客的入侵檢測(cè)，包括一些木馬、高危漏洞都是非常重要的部分，絕大部分的安全問(wèn)題都由漏洞產(chǎn)生，銀行不可能天天去掃漏洞，但是云端可以做到每天掃描，及時(shí)發(fā)現(xiàn)“薅羊毛”的問(wèn)題。

在數(shù)據(jù)庫(kù)安全審計(jì)方面，以堡壘機(jī)為例，涵蓋了銀行的線上服務(wù)和線下物理機(jī)服務(wù)，通過(guò)專(zhuān)家服務(wù)，按季度定期開(kāi)展對(duì)抗演練，將AR基于每種業(yè)務(wù)的深層次理解加入到Web應(yīng)用防火墻的AR規(guī)則里面去。

李昭舉了一個(gè)例子，“面對(duì)黑客無(wú)休止的攻擊行為，我們將業(yè)務(wù)部門(mén)的特征值輸出到AR模型庫(kù)，并輸出一套假值。當(dāng)黑產(chǎn)企圖進(jìn)行攻擊時(shí)，模型庫(kù)就會(huì)輸出虛假數(shù)據(jù)，也就是給他的是馬甲，而真正的數(shù)據(jù)還是停留在內(nèi)部，這種偽裝辦法是為保護(hù)數(shù)據(jù)資產(chǎn)定制的特殊防御機(jī)制。”

事實(shí)上，這種防護(hù)的核心在于制定適當(dāng)?shù)腁R策略，在理解自身系統(tǒng)的情況下，從底層入手，構(gòu)建AR規(guī)則和AR模型，深度模擬、布局可能出現(xiàn)的安全場(chǎng)景。

基于“技術(shù)+業(yè)務(wù)”的安全嘗試

除了云端的安全防護(hù)，移動(dòng)端的安全隱患也不容忽視。

尤其在移動(dòng)收單中，都是通過(guò)網(wǎng)絡(luò)支付的業(yè)務(wù)，每天都使用線下條碼支付業(yè)務(wù)，而這個(gè)業(yè)務(wù)本身依托于網(wǎng)絡(luò)，存在安全隱患。那么，當(dāng)有商戶(hù)用手機(jī)來(lái)掃支付應(yīng)用時(shí)，黑客是否也能通過(guò)網(wǎng)絡(luò)訪問(wèn)服務(wù)器做一些操作呢？

李昭表示，“基于對(duì)業(yè)務(wù)的理解，事實(shí)上的商戶(hù)都是本地化管理。”

也就是說(shuō)，在北京的商戶(hù)，只允許北京的IP來(lái)訪問(wèn)，而國(guó)內(nèi)其他城市，以及國(guó)外的IP就可以全部封禁。這需要銀行對(duì)所有商戶(hù)進(jìn)行定期巡檢，實(shí)行“互聯(lián)網(wǎng)封禁”，所以說(shuō)POS機(jī)直接拿到銀行所在地之外是用不了的。

隨著5G的出現(xiàn)，李昭指出，在種方式可以更加精細(xì)化，以北京為例，可以細(xì)化到西城區(qū)的某個(gè)街道，目前4G可以定位到基站，一個(gè)地方的POS機(jī)只有在本地區(qū)可以用，大大增強(qiáng)了網(wǎng)絡(luò)的安全性。

“互聯(lián)網(wǎng)封禁”還可以實(shí)現(xiàn)對(duì)線上大部分的流量進(jìn)行部署，由此打破了高峰時(shí)段的10萬(wàn)次，下降至了近1千次，因而有效將一些非法的訪問(wèn)絕之門(mén)外。

李昭稱(chēng)，這是一種基于“技術(shù)+業(yè)務(wù)”的安全防護(hù)模式，是對(duì)金融領(lǐng)域內(nèi)信息安全的一種新的嘗試，這種嘗試意味著金融領(lǐng)域更加注重業(yè)務(wù)與技術(shù)的聯(lián)結(jié)，也表明網(wǎng)絡(luò)安全技術(shù)在基于業(yè)務(wù)的落地，金融行業(yè)正在打通安全的底層“代碼”，緩解日益凸顯的基礎(chǔ)安全問(wèn)題。

金融安全的發(fā)展，基于安全人員對(duì)金融行業(yè)技術(shù)和業(yè)務(wù)防護(hù)模式的深刻理解之上。唯有圍繞金融行業(yè)的諸多業(yè)務(wù)場(chǎng)景，制定可控的安全策略，突破只做安全防護(hù)套路的傳統(tǒng)理念才能獲得突破性進(jìn)展。

但就目前金融行業(yè)發(fā)展的現(xiàn)狀來(lái)看，金融領(lǐng)域從業(yè)者對(duì)技術(shù)和業(yè)務(wù)的深度理解仍有很大程度的欠缺，尤其對(duì)于基層工作人員來(lái)講，很難從宏觀和微觀兩方面有全面而深入的理解金融安全的重要性，因而解決網(wǎng)絡(luò)信息安全的問(wèn)題不僅存在于技術(shù)層面，更重要的是逐步提升人員的信息安全認(rèn)知水平，才能逐步擺脫金融安全“矛”和“盾”的對(duì)立關(guān)系。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷鋒網(wǎng)注：引用了中國(guó)郵政儲(chǔ)蓄銀行深圳灣支行行長(zhǎng)李昭在第五屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)（簡(jiǎn)稱(chēng)CSS2019）上的發(fā)言，該公司與騰訊安全團(tuán)隊(duì)在進(jìn)行儲(chǔ)蓄銀行安全系統(tǒng)的全面升級(jí)中有合作。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。