本报告结合最新的案例和丰富的情报源,以金融科技所面临的网络安全威胁、数据安全威胁和业务安全威胁作为切入点,直观地分析了各类威胁的现状及趋势, 在分析 DDoS、Web 类攻击和数据库漏洞利用等传统威胁的同时,更加着重对移动互联网、云计算、区块链等新技术所带来安全威胁进行分析。从分析中可见, 金融科技要持续、健康地发展,安全问题必不可忽视,需要从安全意识教育、安 全设备部署、安全服务引入、安全人才储备、安全预算投入等方面提升整体安全能力。
在 2017 年 8 月 22 日,世界经济论坛发布了报告《超越金融科技:全面评估金融服务的颠覆潜力》。该报告涵盖了数百位金融、科技领域专家的访谈内容,旨在 探索创新对全球金融生态系统的影响。报告对驱动 FinTech 创新的 8 大因素及其颠覆潜力进行了定义;同时总结出在 FinTech 冲击下,支付、信贷、财富管理、 保险、数字银行等 7 大金融领域未来的创新模式和路径,以及每个领域所面临的风险和可能的终局。近年,依托云计算、大数据、人工智能、区块链等先进的计 算机技术的发展,金融服务也趋于多样化、便利化、智能化。金融科技的出现频率正在高速增长,伴随其技术变革与创新加速,至今已经步入金融科技 3.0 时代。
天下熙熙皆为利来,天下攘攘皆为利往,逐利更是攻击者的天性。随着金融科技日渐成为金融产品的重要支撑手段,攻击者也在不断丰富其攻击目标和攻击手段,以图提升自身的攻击变现能力。一方面,攻击者对金融科技系统的渗透逐步深入,从网络服务、金融业务逐步深入到核心业务数据、用户财产和隐私。攻击者不再满足于危害金融系统的可用性,更青睐从贩卖数据和资产转移中直接获利。另一方面,攻击者不局限于传统针对信息系统的攻击,愈多从人员的角度迂回渗透,勾结内部人员进行数据倒卖。Loudhouse 曾发布的企业安全调查报告显示,如果价格到位,35% 的员工会倒卖包括公司专利、财务记录和客户信用卡等敏感数据。这一调查事实也侧面印证在网络安全、业务安全和数据安全之外,人员安全同样也需要重视。
对于以金融科技为目标的攻击者,获利是他们的核心诉求。那么对于金融科技安 全从业者而言,在传统的以脆弱点和检测点为核心的防护方案之外,更应从获利点出发,逆向分析,进而组织自身的防护体系。
本报告将结合相关企业数据、行业报告和安全分析报告,从互联网的角度重点分析金融行业的网络安全现状。报告将简单介绍金融科技的发展历程和趋势,重点介绍典型的网络安全威胁、数据安全威胁和业务安全威胁,并结合各环节中的典型安全案例和《2017中国企业金融科技安全调查问卷》,分析金融科技机构的安全现状及面临的安全趋势。金融行业要持续、健康地发展,必定不可忽视安全问题。作为报告的编纂方,平安金融安全研究院与绿盟科技希望本报告能为我国金融业从业机构提供一个可参考的安全视角,为我国金融业的健康发展贡献一份薄力。
报告目录一览
