原标题:金融业成黑客头号目标360参与央行两项金融网安行业标准
日前,中国领先的网络安全研究机构360天枢智库获悉,VISA和IBM相继发出警告,黑客正大规模从在线商店客户窃取信用卡信息,金融业正成为黑客头号攻击目标。对此,中国人民银行、证监会高度重视,近期相继出台相关指导文件,并与360政企安全集团推出金融业网络安全标准规范。
金融业正成为黑客攻击头号目标
据360天枢智库《全球网络安全要闻》显示,全球支付处理商VISA发布公开警告,称黑客越正越来越多地在受感染的服务器上部署Web Shell,从在线商店客户窃取信用卡信息。这一消息得到了Microsoft Defender高级威胁防护(ATP)小组的确认,该小组说,自去年以来,部署在受感染服务器上的Web Shell数量几乎增加了一倍。此前, IBM Security也发布报告称,金融业机构仍是2020年黑客攻击的头号目标。
360天枢智库在援引这一报道的同时警告,数字时代,网络安全已然成为金融行业的“木桶底板”。近年来,随着大数据、人工智能、云计算、区块链等新兴技术进入金融服领域,为行业和用户提供了便捷的业务流程和金融服务,但同时,新的业务环境变化也衍生出技术、系统、数据、合规等新的安全风险。黑客组织和不法分子的网络犯罪对信息安全和资金安全造成了重大威胁。
对此,360安全专家表示,随着金融行业数字化转型进程加快,新的问题正在不断暴露。一方面,金融科技安全风险面扩大,另一方面,不同金融机构数字化转型速度和程度都有差异,安全防护水平参差不齐,加上众多非银机构涉足金融行业,导致金融安全边界外溢;同时,传统网络安全依靠卖盒子装硬件等手段,已经难以应对当前金融科技不断进步、场景不断更新的新局面。
针对这些挑战,近年来,我国持续升级创新安全监管统筹手段,从顶层设计强化管控,陆续出台各项政策法规、标准规范,不断优化金融科技安全产业生态。日前,中国人民银行制定的《金融业数据能力建设指引》正式印发;2018年,银监会也发布了《银行业金融机构数据治理指引》,从监管职能方面将数据治理能力纳入公司治理评价体系及行政处罚范围;同时,去年底,证监会也起草了《证券期货业网络安全事件报告与调查处理办法(征求意见稿)》,进一步规范了证券期货业网络安全事件的报告和责任追究。
“但金融机构网络安全建设实践,不能只是在合规驱动下,以单纯软硬件安全产品的堆砌应对外在威胁,这样无法从整体角度评价安全水平。”360安全专家则强调,监管发力之外,金融科技与网络安全行业也应该顺势而为,危则变,变则通,通则久。因此,我们要从攻防对抗角度进一步提升金融机构安全能力,在接近网络攻防的真实环境下发现问题、补齐短板,这才是金融行业应对未知安全威胁的长久之计。
央行联手360政企集团推金融网络安全标准
近年来,360与95%大型金融机构开展网络安全合作,持续为我国金融机构提供网络安全技术、产品和服务及攻防实战。借此数年经验,360提出集合感知预警、快速反应、实网练兵、漏洞管理、人才培养为一体的整体安全防护解决方案,助力金融机构从传统安全被动防御的思维,转为全面高效、主动防护的安全模式,提升客户看见威胁、阻断威胁的网络安全防护能力,构筑金融业安全防线。
同时,360还积极助推行业相关标准落地,健全行业安全防御新体系。今年3月,由中国人民银行提出,中国人民银行科技司、360政企安全集团等单位共同参与制定的《金融网络安全 Web 应用服务安全测试通用规范》、《金融网络安全网络安全众测实施指南》两项重磅行业标准正式发布。推动了金融行业优化网络安全顶层设计、战略统筹和综合施策,构建高感知、全维度、实战化的安全防护新体系。