刘贵辉:网络攻击对金融安全的影响及对策分析
2017/12/13 17:25:42

近年来,在网络金融业务迅猛发展的同时,金融网络攻击问题频发,使金融网络安全成为焦点。本文阐述了金融网络攻击的行为动机、主要特征和发展趋势,深入分析了金融网络攻击给金融行业带来的新问题,在此基础上,总结了欧美国家和国际组织应对金融网络攻击的做法和经验,提出了我国应对金融网络攻击的建议。

一、金融网络攻击的行为动机、主要特征和发展趋势

(一)金融网络攻击的行为动机

1. 盗取资金。金融网络上集中保存有大量的资金账户和电子货币,自然成为网络攻击者的首选目标和最想攻破的堡垒。攻击者先采取各种方式控制电子账户,然后通过将账户里面的资金非法转移、直接套现、消费购物等方式盗取资金。这些资金包括金融机构客户的资金、金融机构自有资金、客户备付金等。

2. 盗取敏感信息。金融网络时时刻刻在产生、存储、传输、处理着海量的、种类繁多的信息,其中包括资金账户信息、银行卡信息、信用信息、金融机构本身的商业秘密、金融机构客户和员工个人隐私信息等一些内容敏感的信息。这些信息及信息的聚合,具有比较高的潜在价值,可以用来盗取账户资金,也可以在网络黑市上贩卖获得经济利益,从而成为网络攻击者的猎取目标。

3. 破坏系统连续性。金融网络连接着千家万户,关系着老百姓的切身利益和日常生活,在经济社会中有着非常重要的地位。一些具有扰乱社会经济秩序等政治动机、对金融行业或机构发泄不满等心理动机的攻击者正是看中金融网络在社会经济中的影响力,通过攻击服务器、干扰网络运行等方式,入侵重要金融机构网络,破坏金融流程和支付交易,篡改交易数据,导致金融业务系统运行异常或崩溃,影响金融业务的连续性。

(二)金融网络攻击的主要特征

攻击路径具有广泛性。

金融网络空间由四个部分组成:

一是底层的物理网络,为金融机构内部和金融机构之间的信息互联互通提供支撑;

二是运行于实体网络之上的众多主机系统,用于处理电子金融业务;

三是与网络和主机系统相连的客户端,包括金融客户以及金融机构技术维护人员和业务处理人员使用的客户端;

四是使用金融网络系统的众多客户。网络攻击者就是对这四个环节开展单独或组合攻击,以获得物理网络、主机系统、资金账户等的控制权。

随着金融网络技术和业务深入发展,物理网络、主机系统、客户端的种类和数量不断增加,客户群体也在不断扩大。

从物理网络来看,除了数据传输网络外,移动网络、电话语音网络、WiFi等无线网络、物联网都在为金融业务提供通信服务。

从主机系统来看,根据谢平教授的观点,互联网金融可以大致划分传统金融机构的互联网形态、移动支付和第三方支付、互联网货币、基于大数据的征信和网络贷款、P2P 网络借贷、众筹融资、金融产品的网络销售、网络金融交易平台这8 种主要类型。与这些业务类型相对应的主机系统的种类和数量都是非常巨大的。

从客户端来看,客户端的种类日渐趋多,数量更是快速增长,包括计算机、笔记本电脑、手机、iPad、ATM、固定POS、移动POS 等设备和运行在设备上的安全证书以及安全控件、APP 等处理软件。

从客户来看,由于网络金融的快捷性和便利性,越来越多的金融消费者通过网络办理金融业务,客户数量增长迅猛。

总之,随着网络金融业务的不断扩展和延伸,金融 IT 设施规模逐渐庞大,网络节点众多、 分支复杂、 数据流量大,存在多种异构网络环境和应用平台。此外,通信网络更加开放,为网络攻击提供了众多的入口和选项,尤其是安全防护薄弱的小型金融机构以及数量众多、分布广泛的客户端成为网络攻击的首选项,攻击环节点多面广,加上各种组合攻击,网络攻击的路径非常广泛。

2. 攻击手段具有多样性。从近年来的金融网络攻击案例来看,攻击手段形式多样,不断推陈出新,让人防不胜防。主要有以下几方面的手段:

一是暴力攻击。

如对系统管理员密码、资金账户密码等各类密码进行强力破解,开展分布式拒绝服务(DDoS)等流量攻击导致网络崩溃,等等。

二是利用系统中硬件、软件、协议的漏洞对系统开展攻击。漏洞包括操作系统、数据库等基础平台的漏洞,网络传输协议和加密技术方面的漏洞,自建业务系统在设计和使用的生命周期内由于安全设计、检测、代码审计不到位而出现的大量设计缺陷和逻辑错误;此外,还包括制度流程不规范、安全责任不明确、管理不到位造成的安全漏洞,比如操作员安全配置不当造成安全漏洞。

三是利用社会工程学技术对客户开展攻击。网络攻击者采取拨打诈骗电话、发送带木马程序的电子邮件、建立金融机构钓鱼网站、使用伪基站冒充金融机构发送短信、设置免费WiFi 等伎俩,利用人性脆弱、贪婪等心理表现以及部分金融消费者法律、金融、网络安全等专业常识缺乏和安全防范意识薄弱的情况,对受害人进行利诱、威胁等心理暗示,给客户端安装恶意软件,盗取银行卡、网银密码和支付验证码。

四是利用“后门”程序开展攻击。金融机构大量使用了第三方公司的IT 设备和软件,这些厂商可能在产品中预留一些具有系统最高控制权限的“后门”程序,从而被攻击者发现和利用。

五是通过第三方开展间接攻击。比如,通过攻击与电子支付紧密联系的电子商务网站获取相关信息,再利用这些信息攻击金融系统;通过攻击电信营业商的短信服务系统,获取网络银行身份鉴别的短信验证码。

六是利用业务、技术和内部人员日常管理漏洞开展攻击。

3. 攻击策略具有自适应性。近年来,金融监管部门和金融机构对网络攻击问题高度重视,不断采取新的加固和防御措施提升金融网络安全保障能力,但攻击者也有针对性地研究、分析网络系统中存在的新漏洞和缺陷,并在此基础上及时调整、改进攻击策略和方式。随着安全防御技术水平的提高,网络攻击的水平也在相应提升。

(三)金融网络攻击的发展趋势

1. 攻击的频率和数量越来越多。近年来实施网络攻击的技术和技能迅速扩散,掌握网络攻击的技术门槛降低,在利益的驱使下,金融系统受到攻击的频率和数量越来越多。

2. 大型金融机构、金融网络基础设施和新型支付方式逐渐成为攻击重点。近年来,金融网络攻击的重点呈现出从众多的存款客户向大型金融机构、金融网络基础设施等重要目标转移的发展趋势。此外,网上银行、移动支付、第三方支付、无卡支付等新型支付方式成为攻击重点,一些网络犯罪分子利用诈骗、木马程序等手段,辅之以“拖库”“撞库”等方式,获取大量客户的身份证号码、账户号码、支付密码、手机号码等相关信息,进而窃取客户的资金,给客户造成巨大损失。

3. 攻击复杂性不断增强。从近年发生的一些案例来看,黑客采用APT(Advanced Persistent Threat 高级持续性威胁)攻击方式,将木马程序长时间潜伏在系统中,在充分收集系统信息、全面掌握系统运行的情况下才发动攻击,对金融机构造成的损失非常巨大。

二、金融网络攻击给金融行业带来的新问题

(一)给金融稳定带来新威胁

一是影响金融消费者信心。金融业务是建立在信任的基础之上的。对数字化的金融业务,客户的信任首先依赖于他认可的网络安全性,而这种认可又是建立在其他客户的体验基础之上的。当越来越多的客户通过电子渠道成功办理了没有欺诈的交易,大家对金融业务的信任度会越来越高。相反,一旦客户遭遇网络攻击导致资金受损的案例发生太多,就会损害大家对高效率、快捷方便的网络金融业务的信心,网络金融业务会遭遇“信任危机”,严重影响金融运行效率和金融业务创新发展。

二是给金融机构带来诸多不利影响。如果对金融机构成功实施网络攻击,出现资金或数据被盗、网络和信息系统运行中断等情况,将给金融机构造成多方面的损失,主要包括无法为客户办理业务而损失经营收益、危机处置所花费的大量人力财力物力、未来与其他机构合作成本增加等直接经济损失,以及声誉受损、监管评级下降、员工思想波动、潜在客户减少、法律纠纷和诉讼事件增加等间接负面影响。

三是破坏金融系统向实体经济提供支持的重要功能。金融机构、金融基础设施(如支付系统、证券结算系统等)以及外部供应链通过网络连接成了一张高度关联、结构复杂的金融服务网,如果某个环节遭到黑客攻击,导致系统运行不稳定、崩溃、数据损害等情况,由于网络信息的快速传播和金融业务的关联性,这种风险可能产生由点向面扩散的“蝴蝶效应”,从而引发系统风险,破坏金融系统向实体经济提供支持的重要功能,严重影响金融和经济活动正常开展。

(二)给金融网络安全保障提出新挑战

网络攻击者无所不用其极,见缝就钻,其网络攻击策略还有针对性地发展演进,对金融网络安全保障提出了新要求、新挑战。

一是安全反应要更加灵敏。建立健全反应更加灵敏的安全内控机制,将网络脆弱性的管理纳入战略计划中,针对网络攻击和暴露出的风险,能及时科学地决定网络防护所需要的成熟度级别,制定适当的安全措施,并合理地调动和分配资源推进安全策略实施,有效快速地应对和消除风险和威胁。

二是安全管理要更加全面。除了抓好技术管理、落实好技术防护措施外,还要加强与生产系统安全紧密相关的各个环节的管理,尤其做好业务、人员管理,促进业务部门和相关人员认真履行防范网络风险和净化网络空间应肩负的责任,确保安全管理的全覆盖、高标准、严要求,提升安全保障的整体水平,避免管理的不到位或“空白”为网络攻击提供机会。

三是安全测试要更加有效。除了开展以控制抽样为基础的各类安全检查、审计、认证检测外,还要定期和有效地对人员、过程、技术开展全面测试和评估,确保内部漏洞能被及时识别和纠正,防止被网络攻击者利用。

(三)给金融消费者权益保护引发新课题

近年来,金融网络攻击事件屡屡发生,给不少金融消费者造成了个人财产损失和隐私信息泄露,使得金融消费者权益保护问题更加突出,同时引发了一些新的法律纠纷,产生了一些现有法律难以解决的新问题、新情况。进一步完善现有的法律法规,从法律上加强对金融消费者的权益保护,同时明确银行机构、经营者、消费者等相关各方的权利、义务以及纠纷发生后的赔偿责任、处理机制。尤其是确保没有任何过错的消费者无故遭受损失时能得到及时有效的法律支持和合理的损失赔偿,以保持大众对电子交易、金融网络业务的信心。为金融市场健康发展创造一个公平、良好的法制环境,是金融消费者权益保护面临的一个新课题。

三、欧美国家和国际组织应对金融网络攻击的典型做法

(一)高度关注网络攻击风险

自2007 年金融危机以来,欧美等国金融监管部门一方面认真整治危机中暴露出来的问题,另一方面积极关注各类潜在风险,防止再次爆发危机。近两年,网络攻击风险成为金融监管部门高度关注的操作风险之一。

(二)探索建立应对网络攻击的弹性框架

针对网络攻击威胁路径广泛、手段多样、自适应等特征,欧美等国以及国际金融组织认为应该跳出技术管理的局限性,从监管、管理、文化培育、信息沟通、各方合作、技术保障等方面形成一体化的网络弹性框架,提升网络系统防护弹性和恢复弹性,确保网络系统在遭受重大攻击时能存活下来并对攻击具有良好的吸收和缓冲弹性。美国国家标准与技术研究院、世界经济论坛、国际清算银行、英格兰银行近两年先后提出了“一体化网络安全弹性框架”并组织实施。其中,国际清算银行和英格兰银行的网络安全弹性框架对金融行业具有更多启发和参考,在此简单介绍一下。

国际清算银行框架包括三个维度:

一是场景范围,明确要解决的场景包括机密性破坏、可用性破坏、完整性破坏;二是网络治理,指出治理不仅包括技术架构,还涉及到人、业务处理流程、沟通等方面;三是措施目标,要积极采取广泛的控制措施,做到预防网络攻击发生,及时检测出未遂的或成功的攻击,当攻击发生后能在预先确定的水平上恢复服务。

一是提升识别和抵挡网络攻击的防御弹性能力。组织金融机构定期开展CBEST(Controlled,Bespoke,Intelligence-led Cyber Security Test)测试,即在全面掌握金融网络各种威胁情报的基础上,分析攻击者对付金融机构可能的部署方法和场景,制定出参与各方认可的可控制的测试流程,并由渗透测试商对每家金融机构关键系统和基本服务进行测试。

二是增强恢复弹性能力。网络攻击可以很容易扩展到相互连接的系统。常规的、针对物理威胁的灾难备份系统紧密连接、技术上高度一致,一旦主站点被攻破,备份站点也难逃厄运,这种安排难以适应网络攻击下的业务连续性要求。为了应对网络攻击,与常规的业务连续性安排不一样,主备系统需要足够的隔离。这种为了保护备份系统不受到网络攻击的隔离和执行恢复计划的速度之间需要权衡和折衷。

三是开展有效的治理。董事会应将网络风险作为公司核心策略对待,并在网络弹性薄弱之时,及时采取升级加固措施。

(三)完善金融消费者权益保护方面的相关法律法规

美国、欧盟等十分重视电子支付安全和个人信息保护方面的法律建设,形成了比较完善的法律体系。例如,美国《统一商法典》的4A 篇、联邦《电子资金划拨法》及联邦储备系统理事会颁布的E 条例、《借贷诚实法》等法律包含了对电子支付消费者的法律保护条款。2015 年 12月,欧盟执委会通过了《一般数据保护条例》,以法规的形式确定了对个人数据的保护原则和监管方式。

(四)开展国际合作

为了有效应对跨国金融网络攻击,欧美等国家还积极开展国际合作。例如,2016 年10 月,七国集团(G7)达成一项加强金融业网络安全合作的协议。该协议将网络安全纳入风险管理的范畴,虽然不具有约束力,但提出了加强金融基础设施、打击网络攻击以及协调减轻网络攻击影响的快速反应系统的策略,并建立了适当的治理、机制风险评估和恢复机制。G7 网络工作组后期还将定期评估该协议进展,并改进和调整相关措施。

四、中国应对金融网络攻击的思考和建议

(一)建立健全多层次的协同防控机制

1. 建立健全金融机构内部协同防控机制。金融机构应将网络攻击纳入操作风险管理范畴,既要抓好技术管理,又要明确和落实相关业务部门的职责,建立系统运行维护、风险控制和安全审计协同工作机制,形成职责明确、监督有力的安全生产责任体系;既要培养网络安全防御专家,又要在全机构培育网络安全风险意识、责任感和文化氛围。

2. 建立健全金融行业协同防控机制。人民银行、银监会、证监会、保监会应从维护金融稳定的高度出发,积极关注金融网络攻击风险。金融监管机构相互之间以及与清算支付协会、互联网金融协会等行业组织之间应加强信息共享和交流,全面收集金融行业网络安全信息,掌握金融行业网络安全整体情况,及时研究并提出有效的风险治理措施,加强风险全方位管控,避免引发金融稳定问题。

3. 建立健全跨行业协同防控机制。把金融网络安全纳入国家整体网络安全战略范畴,加强与电力、通信、消防等保障部门的密切配合,建立健全金融网络安全联合应急处置机制;与网信办、公安、工信等部门建立信息通报和协作机制,在安全情报、网络攻击事件处置、网络通信保障等领域加强协作和交流,联手防范和打击金融网络攻击事件。对系统的控件供应商、建设和运维外包公司、系统托管方等第三方技术服务商做好各环节的精细化管理,督促和指导对方认真落实风险管理要求,共同做好网络攻击防范工作。开展产学研合作,利用产业、高校、研究所的先进理念和技术手段,借助外部“脑力”,不断优化和强化安全保障体系。

(二)增强主动防御能力

1. 建设金融网络安全态势感知平台。借助大数据分析技术,利用大数据技术特有的海量存储、 并行计算、 高效查询等特点,建立金融行业网络安全态势感知平台,随时感知金融网络整体安全态势,及时发现网络中的异常事件,并对金融机构开展风险提示,让网络安全可见、可控、可管、可预测,对金融网络攻击尽量做到事前预判、事中防护和事后追踪。

2. 定期开展攻击模拟测试。可参照英国CBEST 测试做法,在全面收集网络安全威胁情报的基础上,定期组织重要金融机构开展安全可控的攻击模拟测试,重点对最新的和特定的威胁开展测试。在接近实战的场景中检验防御能力、检测系统的内部脆弱性,主动、及时地发现和掌握金融行业存在的安全漏洞、短板和薄弱环节。

3. 增强自主可控能力。目前,我国金融机构核心系统所使用的大中型机和小型机、操作系统、数据库系统等基础平台和设备严重依赖国外的技术、产品和服务。这些产品对我们而言完全是一个黑洞系统, 一旦产品植入“后门”、逻辑炸弹、记录信息装置等恶意程序,难以发现和清除,安全隐患较大。对此,要按照《中华人民共和国网络安全法》和国家网络安全审查制度的规定和要求,制定金融业网络安全审查工作方案,对进入中国金融市场的重要信息技术产品及提供者进行安全审查,从源头上提升产品的安全性和可控性;同时,积极推进安全可控产品的替代工程,大力推进安全可控密码应用,降低对国外技术和产品的依赖程度,从根本上扭转受制于人的被动局面,增强信息安全自主可控能力。

4. 提升金融消费者防范意识和技能。很多金融消费者在网络空间对密码等个人重要信息保护意识不强,在遭遇网络骗局时缺乏辨别能力,为网络攻击者提供了方便。利用每年的“网络安全宣传周”“金融宣传月”等活动,开展专题宣传活动,采取直观、生动的形式开展宣传,结合金融网络攻击案例,剖析案例中关键环节,揭露网络攻击常见手法和方法。提醒大家坚持不懈做好修复漏洞、保护个人信息数据等安全防护措施,谨慎进行电子交易、网上支付等涉及经济利益的操作,不断提升金融消费者的防范意识和技能。从根本上构筑起金融网络安全的保护墙,真正做到“网络安全为人民,网络安全靠人民”。

5. 建立异构灾备系统。2011 年,韩国“农协银行案”中大约540 万名信用卡客户的交易记录在主备系统同时被删除,警示我们技术同构而又紧密相连的生产和备份系统可能同时遭受网络攻击而发挥不了数据备份和灾难恢复的作用。建立相关技术标准,组织相关金融机构改造现有主备站点网络上紧密互联、架构和技术平台高度一致的灾备系统,建立主备站点在软硬件上具有差异化的异构灾备系统,防止主备系统同步遭受网络攻击的问题,确保遭受网络攻击后, 备份系统能在规定的服务水平恢复业务运行。

(三)完善金融消费者权益保护机制

1. 建立健全相关的法律法规。作为发展中国家,我国还需要进一步大力发展网络金融业务,建立健全相关法律法规,尤其是电子支付交易和个人金融信息保护方面的法律法规,提升消费者信心,防止“消费者信任度减弱”。当前我国法律在这方面缺少专门性规定,很多规定分散在不同法律中又相对滞后,难以有效解决法律纠纷中出现的新问题、新情况。结合我国的实际情况,借鉴欧美等发达国家在这方面的立法经验,制定新法律或修订完善现行法律,并尽快与国际接轨,建立健全保护电子交易安全和个人金融信息方面的法律体系。

2. 支持和发展网络安全保险业务。目前我国网络安全保险市场刚刚起步,还处于初级发展阶段,保险品种少,业务规模小。保监会应该积极鼓励、支持和推动网络安全保险业务的发展,在一定程度上减少网络攻击或网络中断给公司和个人带来的损失。积极发展针对第三方风险的保险产品,鼓励金融机构对他人的资产,尤其是客户的资产投保,当针对金融机构的网络攻击发生后,造成金融消费者财产损失、个人信息泄露等损失时,赔偿金融消费者;在理赔过程中,优化和简化流程,保险公司应先行赔付金融消费者,然后再与金融机构协商处理后续事宜。发展针对第一方风险的保险产品,对网络攻击造成的金融消费者信息资产、数据、软件损失,系统运行中断所造成的损失以及网络攻击后的危机管理费用,直接赔偿给投保的金融消费者本人。当然,由于历史数据贫乏,如何确定各方都可接受的保险费用是一个棘手的问题,要在市场的培育和发展中积极探索、不断尝试、积累经验,找到合理的解决方案。

3. 加强监管。金融监管部门要按照《国务院办公厅关于加强金融消费者权益保护工作的指导意见》提出的要求,指导和督促金融机构畅通投诉受理和处理渠道,对由网络攻击引发的金融消费者的投诉要及时受理,在查清事实、分清责任的基础上,依法依规妥善处理。加强监管和检查,对金融消费者投诉无门、投诉不受理和金融机构推卸责任、拒绝赔偿等情况,要及时查处,切实维护金融消费者的权益。(文章略有删减)

文:中国人民银行成都分行 刘贵辉

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消