2016金融行业网络安全大事件 一首打油诗道出其中玄机 而且有图片有解读有建议

无独有偶， 绿盟科技金融事业部的2017年1月刊中 也弄了2016年金融安全大事件盘点，这篇文章通过分析整理2016年金融行业安全事件和热点事件，从8个方面来总结金融行业面临的行业现状、监管要求、安全风险等，也给金融行业的2017年信息安全建设给出可落地的参考建议。

监管文件抢头条  移动终端是热点
信息泄露成常态  钓鱼欺诈手段多
内网问题隐藏深  里应外合要警惕
外网防线待加强  应急机制需落地

2016年金融行业的信息科技继续蓬勃发展，技术创新层出不穷，大数据、云计算、区块链和移动互联等方方面面的技术摸索和尝试都在为提升公众服务体验做出贡献，而信息泄露、钓鱼诈骗、网络入侵、业务中断等安全事件的发生却一次次的给我们敲响了警钟。中国人民银行（以下简称“人行”）、中国银行业监督管理委员会（以下简称“银监会”）、中国保险监督管理委员会（以下简称“保监会”）、中共中央网络安全和信息化领导小组办公室（以下简称“网信办”）、中华人民共和国公安部（以下简称“公安部”）、中华人民共和国工业和信息化部（以下简称“工信部”）等多个监管机构在这一年对金融行业也开展了全面的网络安全检查工作。这一方面表明保障金融行业信息安全的重要性，另一方面也表明金融行业对自身信息安全需要提出更高的要求。

监管文件抢头条

关键词：107号文261号文网络安全法国家网络空间安全战略
概述：2014年被称为是中国网络安全元年,2015年是互联网金融野蛮生长的一年，而2016年可以被称为金融安全监管的一年，这一年不论从行业监管层面，还是从国家监管层面都密集的发布了相关的要求文件，中国人民银行、银监会、保监会、网信办、公安部、工信部等部门每月都有相关的文件要求或安全通告下发，而金融机构进行网络安全自查和配合网络安全检查或联合执法检查也贯穿了全年。监管文件在这一年也成功抢占了各大新闻媒体、公众号自媒体的头条位置。

事件回顾：

• ①银监办发[2016]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》
• ②人民银行《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》银发〔2016〕261号
• ③中共中央办公厅国务院办公厅发布《国家信息化发展战略纲要》
• ④全国人民代表大会常务委员会《中华人民共和国网络安全法》
• ⑤国家互联网信息办公室发布《国家网络空间安全战略》

监管要求：

近年，随着网络安全形势的日趋严峻，网络安全也逐步上升到国家层面，《中华人民共和国网络安全法》《国家网络空间安全战略》的接连发布，多部门联合网络安全专项整治大检查，这一切都表明我国网络安全从法制化到监管落地的实质性展开，金融机构作为关键信息基础设施的运营者，需认清自身的战略地位和价值，提升对网络安全工作的重视程度,在加强对信息安全的投入，有效推动行业信息安全建设，促进行业整体安全防护水平的提升，进一步推进习近平主席提出的“推进网络强国建设，让互联网更好造福国家和人民”。

解决建议：

绿盟科技作为绿盟科技作为安全领域的领军企业，深耕专注于专业领域，目前已与超过千余家金融机构建立商业合作，按照国家政策、监管部门及行业相关要求与标准，对信息科技管理现状进行评估，发现信息科技工作有待完善之处，提出改进策略、方案等，构建符合监管要求的信息科技体系，形成制度健全、管理规范、措施有力的信息科技管理体系。

移动终端是热点

关键词：交易劫持高危漏洞伪装篡改勒索病毒
概述：近年来，移动支付发展迅猛，手机银行作为各大银行推出的电子银行系统，一方面，极大地方便了客户业务办理，提升了消费体验；另一方面，由于前期发展过快，只重视业务覆盖，而对业务安全并没有足够的投入，导致安全问题频出。

事件回顾：

• ①XPwn2016安全专家：多数手机银行APP可被劫持
• ②88个金融类APP被曝10大隐患安全漏洞亟待打补丁
• ②黑客伪装手机银行应用实施攻击
• ③盗号木马伪装手机银行APP图标
• ④澳大利亚多银行手机APP遭黑客攻击
• ⑤勒索病毒盯上移动终端不交钱就变砖

监管要求：

随着移动终端逐渐已成为银行业业务推广重点的情况，为了应对日趋严重的移动终端安全风险，金融机构在移动终端支付系统的建设中参考了《电子银行安全评估指引》、《银行业金融机构安全评估办法》、
《网上银行系统信息安全通用规范》等行业标准，并借鉴了相关国家标准、国际标准的安全要求，并在上线前完成业务的安全评估和应用加固工作。当然也有监管机构发布了针对性的指导文件，深圳市市场监督管理局于2016年11月4日发布了《金融服务移动应用信息安全指南》，并自2016年12月1日起实施，该文件落地实施对加强金融服务移动应用安全水平具有积极意义。

解决建议：

绿盟科技基于多年的针对金融行业移动应用安全的体系建设的服务经验，结合满足监管合规要求和业务发展的全生命周期两方面进行综合考虑，推出了绿盟科技手机银行App交易安全防护解决方案。

信息泄露成常态

关键词：账号密码银行卡系统漏洞数据记录征信报告
概述：信息泄露在这几年的网络发展中是挥不去的阴影，在2016年，几乎每天都会看到信息泄露的新闻，从平凡百姓信息泄露导致经济损失到美国“邮件门”影响总统选举，足见信息泄露造成的影响是不堪设想的。而金融机构拥有用户个人真实信息及经济信息，这些信息一旦被泄露、盗取甚至售卖，不仅严重威胁了用户的资金安全，也为电信诈骗创造了条件。

事件回顾：

• ①某保险公司数百万保单记录和支付信息被爆有泄露风险
• ②员工倒卖征信报告200余万条涉案资金100余万元
• ③网曝京东电商12G的数据包在网络上流传
• ④网易过亿邮箱数据疑似泄露
• ⑤百度网盘遭遇撞库,50万账号被盗

监管要求：

2016年人民银行印发《中国人民银行金融消费者权益保护实施办法》，明确了金融机构在保护个人信息方面的责任和义务，不得非法使用个人信息，并采取有效措施保护个人金融信息安全。《网络安全法》中也明确了金融机构需建立、健全对数据进行分类分级，明确不同类型数据的保护级别，对个人信息和重要业务数据通过备份、加密等方式进行保护，防止个人信息和重要业务数据未经授权访问、篡改和泄密。

解决建议：

按照金融行业的安全体系要求，绿盟科技全资子公司亿赛通推出的NextGenerationDLP下一代数据泄露防护系统，完全可以满足行业需求。该系统是指融合机器学习、大数据、关联分析、密码、访问控制、数据标识技术，对结构化和非结构化数据进行数据治理、安全管控、态势感知，以达到数据泄露防护效果的解决方案。

钓鱼欺诈手段多

关键词：电话邮件短信链接U盘文件伪基站二维码
概述：2016年发生的“山东徐玉玉案”几乎家喻户晓，也打响了我国打击电信诈骗的号角，公安部门统计，2013年以来，全国共发生被骗千万元以上的电信诈骗案件104起，百万元以上的案件2392起。而金融机构作为打击电信诈骗的重要一环，应承担不可推卸的社会责任和义务。

事件回顾：

• ①“徐玉玉案”揭秘“诈骗黑色产业链”
• ②诈骗团伙发木马短信男子点链接11万不翼而飞
• ③诈骗团伙利用“伪基站”诈骗致使60万手机通讯中断
• ④偷换二维码盗刷百万以商业广场内的小食店奶茶店为目标
• ⑤澳洲警方警告居民小心信箱当中的不明U盘藏木马

监管要求：

2016年国家网络安全宣传周“金融日”期间，金融行业围绕“普及知识•防范诈骗•增强信任”为宣传重点，开展防范金融网络诈骗主题宣传。银监会印发《关于银行业打击治理电信网络新型违法犯罪有关工作事项的通知》，中国人民银行发布《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》，中国银监会、公安部正式对外发布《电信网络新型违法犯罪案件冻结资金返还若干规定》，对银行业打击治理电信网络新型违法犯罪工作进行了全面部署。

解决建议：

为了应对打击电信诈骗等监管要求，绿盟科技推出安全咨询与培训服务，从多个不同维度考虑来设计培训课程以满足企业客户获取安全知识和经验的需求，从而使客户最终达到理解监管要求，强化安全意识，掌握安全技术，获得安全实践经验，能够融会贯通并应用于所在企业的安全建设当中。

内网问题隐藏深

关键词：SWIFT ATM POS 勒索病毒 0day APT
概述：近些年发现的黑客组织攻击活动趋利性明显，金融机构作为与金钱直接相关的机构成为了攻击的主要目标。2016年出现了多起银行大劫案，通过对这些事件进行综合分析发现，黑客组织往往会使用新型的攻击手段，绕过传统安全机制的检测和防御，长期的潜伏进银行内部业务系统发起攻击，如SWIFT系统、ATM机等。这些事件给金融机构造成了严重的经济损失和信任危机。

事件回顾：

①孟加拉国央行被黑客攻击导致8100万美元被窃取
②SWIFT警告全球银行或遭新一轮网络攻击
③多家银行内部人员遭到勒索邮件攻击
④多家知名酒店集团POS系统感染恶意软件
⑤亚欧14国ATM机被攻击自动吐钱

监管要求：

针对日趋严峻的金融安全威胁形势，2016年银监办发[2016]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》，文件明确要求开展高级持续性威胁专项评估工作，政策性银行、大型银行、股份制银行、邮储银行还要针对高级持续性威胁、精准式网络攻击进行安全评估，对威胁和攻击进行分类场景设定，有针对性的排查系统漏洞、分析脆弱性；形成应对此类攻击的防护措施专项评估报告。

解决建议：

针对金融行业安全运维应对新型攻击的防御需求，绿盟科技推出下一代威胁防御（NGTP）解决方案可以有效的从网络、邮件和终端层面抵御安全威胁的侵入，可针对包括APT攻击在内的威胁进行检测和防御。方案以检测未知威胁为核心，通过智能网管和大数据分析技术，对来自终端、安全网关、操作系统的告警信息进行综合分析、可视化呈现和管控，极大的提升了企业安全防护能力。

里应外合要警惕

关键词：征信报告 银行职员 银行行长 倒卖获利 外包风险
概述：2016年震惊全国的“5•26侵犯公民个人信息案”,抓获包括银行管理层在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元，也将征信产业乱象公之于众，折射出征信监管的严重缺失。

事件回顾：

①监守自盗广西来宾一银行员工倒卖9300多人信用报告
②湖北多名银行职员倒卖储户信息非法获利近20万
③银行员工倒卖征信报告泄露信息200余万份资金100余万
④257万条公民银行个人信息被泄露银行行长卖账号
⑤外包服务存隐患银监会提示银行信息泄露风险

监管要求：

人民银行发布《关于加强征信合规管理工作的通知》，银监会下发《关于银行业金融机构客户个人信息泄露案件风险提示的通知》，直指部分银行在内控方面存在严重问题，业务外包管控不力，缺乏有效制约，并且明确要求金融机构要充分认识保护客户个人信息安全工作的重要意义，切实落实主体责任，完善客户个人信息保护制度建设，强化执行管理。

解决建议：

绿盟科技通过对征信系统使用存在的威胁与风险分析，并挖掘金融机构的征信系统信息安全需求，推出商业银行个人征信系统安全托管平台解决方案，实现对征信系统访问的集中精细化操作管控与审计，有效规范征信系统的使用，满足监管部门的合规管理要求。

外网防线待加强

关键词：系统漏洞 逻辑漏洞 DDOS 弱口令 开发安全 第三方接入
概述：近年来，随着互联网的迅速发展，金融机构为了应对“互联网+”的冲击，纷纷推出各种依托互联网的业务系统来更好的满足用户的需求。据绿盟云网站安全监测数据显示：在监控的12728个网站中发现了611356个安全漏洞，其中高危漏洞24663个，并协助抵御数百万次黑客攻击。面对日益严峻的网络安全形势，金融机构需要加强外网防线以应对安全威胁的考验。

事件回顾：

• ①九成银行在线系统有安全漏洞
• ②某保险机构信息系统多次被曝存在高危漏洞
• ③某银行第三方接口漏洞导致严重经济损失
• ④银行系统升级出漏洞两人钻空子套现2000多万
• ⑤银行ETC联名卡盗刷事件折射产品设计漏洞

监管要求：

2016年人民银行、银监会、保监会等监管机构发布风险评估相关工作办法，明确要求进一步加强互联网安全风险应对，提升银行业整体防护能力。《网络安全法》也明确要求金融机构作为关键信息基础设施的运营者，需更进一步明确自身应当履行的责任和义务。在组织架构、安全管理、安全技术等多个方面做好工作落实，如等级保护、风险评估、数据保护、日志留存、应急响应等。

解决建议：

针对现在安全漏洞在互联网传播迅速，被利用时间短，对网络爆发式影响的特点，结合多年的安全研究和服务经验，绿盟科技提出了金融行业脆弱性管理平台，提供漏洞管理的全过程支撑，量化跟踪和分析流程执行情况，促进管理流程持续优化。同时充分利用漏洞情报信息，触发流程运转，帮助客户建立快速响应机制，及时有效完成漏洞修补工作。

应急机制需落地

关键词：供电中断 UPS故障 业务切换 网络中断 暴雨灾害 雷电灾害
概述：应急机制包含应急预案、应急演练和应急响应，是安全运维的重要工作。但是在现实生活中，大多数应急机制都停留在案头文件上，业务上线切换失败、UPS供电故障、数据丢失损坏、黑客网络攻击、勒索邮件传播等安全事件发生导致的银行业务中断还是屡见不鲜。

事件回顾：

• ①北京亦庄某数据中心供电中断致数十家银行业务中断
• ②匿名者开始行动:攻击至少导致4家银行网站关闭
• ③汇丰网银遭网络攻击不到一个月瘫痪两次
• ④英国乐购银行数万账户被盗被迫停止线上交易
• ⑤回顾韩国农信社“安全门”：数据清空备份失效

监管要求：

银监办发[2016]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》，文件明确要求开展网络安全应急预案评估和网络安全应急演练工作，对该项工作突出的单位，银监会将工作情况纳入监管评级结果中。《网络安全法》要求金融机构需建立、健全安全事件应急和响应、通报等安全风险全流程闭环管理机制，结合国家层面网络安全监测预警和信息通报制度，统筹加强各类网络安全事件和风险的监测、通报，协同联动国家力量共同处置互联网安全风险。

解决建议：

为了应对金融机构面临的诸多安全运维难题，绿盟科技推出企业安全平台解决方案，以大数据框架为基础，结合威胁情报系统，通过攻防场景模型的大数据分析及可视化展示等手段，协助企业建立和完善安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力。通过独有的自适应的体系架构，高效地结合情境上下文分析，协助安全专家快速发现和分析安全问题，并能通过运维手段实现全生命周期的安全闭环处理流程。