第一篇　概述篇

第1章
金融机构信息安全特点

1.1　银行业信息安全背景

1.1.1　银行业信息安全特点

信息技术在国民经济中发挥着越来越重要的作用，信息安全问题也越发受到重视。银行业的信息安全问题是多元而复杂的问题，从层次上面划分，可以分为技术安全、管理安全、业务安全；从安全细节上划分，主要包括前台操作安全、后台系统安全、交易安全、支付安全、结算安全等。银行业除了直接涉及资金流动，关系国计民生外，相较其他行业又有一些独特的自身安全风险。

一是互联网经济犯罪活动居高不下。网络经济犯罪行为的趋利化特征日益明显，网络经济犯罪向规模化、综合化、集成化和智能化方向发展，给全球银行业带来了极大的威胁。此类威胁的特点在于利益驱使高、受害主体广、攻击方式多、社会危害大。

二是银行互联网面临的网络高级威胁不断加剧。随着黑客的攻击手段不断升级，新兴的高级持续性威胁[1]攻击层出不穷，恶意木马病毒持续泛滥，零日漏洞的精准突袭，网络安全的主要威胁已经从黑客攻击模式转化成为犯罪分子规模化敛财模式，呈现出明显的组织化、规模化、产业化趋势。

三是基础设施安全不可控。我们的基础设施并不完全可靠，也不是完全可控，近几年频发的通用软件漏洞导致全球服务器、网络设备、Web应用遭受影响就是典型的案例。

四是移动设备和支付安全问题凸显。银行业在互联网上的安全防御能力并没跟上互联网的发展。随着移动支付方式的普及，我们24小时都暴露在互联网攻击之下，安全威胁在不断增加。

五是泄露窃密性攻击步入“高发期”。除了要防范攻击外，更需防范数据的丢失和有组织的窃取，这关系到银行的声誉和品牌形象。

六是新技术、新应用带来的潜在风险。通过互联互通、大数据、跨界融合，银行业可以在方方面面与各行业合作，但其所带来的数据流转交换使银行业面临更多的技术挑战。

1.1.2　“互联网+”金融趋势与变化

“互联网+”金融是传统金融业与互联网概念相结合的新生产物，互联网“开放、平等、协作、分享”的精神正渗透至传统金融业态。“互联网+”金融借助大数据、云计算、社交网络和搜索引擎等信息技术优势，从商品流到企业的资金流、信息流，再延伸至银行支付、融资等核心业务领域，以数据驱动运营，实现了对市场、用户、产品、价值链的逐步重构，打破了传统的银行业界限和竞争格局。

1. 支付模式转变

随着互联网模式的兴起和用户对支付便捷性需求的提升，第三方支付应运而生并迅猛发展，简化了支付流程，即从（应用）—（银行）—（客户），简化为（应用）—（客户）模式，比如支付宝等已经能够为客户提供收付款、自动分账以及转账汇款、机票和火车票代购、水电费与保险代缴等结算服务。

2. 存款融资模式转变

近年来，以个人信用小贷、P2P与众筹为代表的网络融资模式快速兴起，风控管控在逐步从简单粗糙转向成熟健全，也从线下业务逐步转变为线上业务，从天量大户转向海量小户。

3. 业务渠道转变

总体趋势是从“互联网+”金融到“物联网金融”的过渡。目前“互联网+”金融还只是停留在结构化数据和非结构化数据的阶段，仅仅是由线下到线上的整合，缺乏用户体验。物联网是人与物的结合，对于用户习惯的收集与量化可以帮助金融机构设计出适合用户特性的个性化金融产品，也衍生出像供应链金融这类紧密结合物流信息、关联企业信息的逐步成熟的新金融业务渠道。

4. 价值载体转变

从“有形货币”到“电子货币”，货币电子化是指货币不再以纸币的形式存在，人们的交易将大量脱离纸币，而现实生活中的纸币也逐渐被电子货币所取代，至少在国内，日常购物、生活缴费、出行支付已逐步使用移动终端支付的方式。电子渠道终将形成统一市场，各个交易主体之间可以互通互兑，极大地方便人们的生活与交易行为。

1.1.3　安全新挑战

“互联网+”金融在给社会带来便利的同时，其自身所面临的安全风险和安全问题也有所增加，主要表现在以下十个方面。

1. 产业链攻击

攻击者由过去的单兵作战、无经济目的的攻击转为以竞争、经济或政治利益为目的、具有针对性的集团化攻击[2]。从公民个人敏感信息的收集与贩卖，到批量注册伪卡制卡，甚至网银、手机银行等木马的量身定制，在网络上都能找到相应的服务提供者，并且形成完整的以金融网络犯罪分子为中心的黑色产业链。

2. DDoS攻击

分布式拒绝服务（Distributed Deny of Service，DDoS）攻击是目前攻击成本最低、最高效的一种网络恶意攻击形式，近年的个案显示银行业正面临不同形式、不同规模的DDoS攻击，这包括传统SYN攻击、DNS泛洪攻击、DNS放大攻击以及针对银行业应用系统业务逻辑或代码缺陷，更加难以防御的应用层DDoS攻击。

3. 业务系统自身安全漏洞

当今的互联网，病毒、蠕虫、木马、僵尸网络、间谍软件犹如洪水般泛滥，所有的这一切都或多或少地利用了互联网业务支撑系统的漏洞。如Apache Struts2远程代码执行漏洞，漏洞的爆发直接导致多家银行遭受恶意攻击。

4. 业务逻辑安全隐患

目前针对网上银行和“互联网+”金融的在线交易系统业务逻辑漏洞的利用也是层出不穷，比较有代表性的有：用户注册及登录场景缺陷、密码重置缺陷、越权操作隐患、支付篡改中间人攻击等。

5. 信息泄露

在互联网环境下，交易信息通过网络传输，一些交易平台并没有在“传输、存储、使用、销毁”等环节上建立保护敏感信息的完整机制，大大加剧了信息泄露的风险。

6. 网络钓鱼

虽然金融机构对钓鱼网站带来的金融客户信息泄露、交易诈骗等危害极其重视，但大量钓鱼网站都建立在境外的网络空间，监管机构和运营商无法直接进行封禁，从而加大了安全监管的难度。

7. 移动安全威胁

移动金融信息风险日益增大，主要是由于移动应用软件的兴起（比如手机APP），加之信息安全隐患和用户的安全意识薄弱，给用户造成了严重的经济损失，同时也对移动金融的发展造成阻碍。

8. APT攻击

由于其利益驱动特性，与交易和金钱直接相关的银行业成了黑客进攻“首选”，从初始阶段的渗透到内网木马的长期驻留潜伏、伺机利用业务系统逻辑隐患、敏感数据管理缺陷，使得银行业成为APT攻击重灾区。

9. 外包风险

由于银行业的业务系统在自主开发的过程中会部分使用外包团队来协助完成，外包团队的开发水平参差不齐，代码编写不规范，外包管理机制的不健全，造成代码后门、漏洞的隐患可能通过银行系统变更带入、潜伏至生产系统中，由此带来业务系统安全问题。

10. 内控风险

“互联网+”金融服务内控风险通常与不适当的操作和内部控制程序、研发过程隐藏后门、信息系统失败和人工失误密切相关，该风险可能在内部控制和信息系统存在缺陷时导致不可预期的损失。