包括银行,期货,证券,金融交易等在内的金融行业信息系统,记录了太多公民、企业、社会组织等的财产账户及交易信息,一旦出现中断或数据泄漏问题,将对公民,社会造成极大的损失,为此国家针对金融业专门出台了金融业等级保护文件。
据亿林安全针对金融行业进行的风险隐患评估分析,该行业主要隐患有:
1.服务中断,黑客攻击。例:在正常交易日期货证券公司业务中断,无法进行正常交易。
2.数据泄漏。网络黑客非法盗取用户信息、交易记录等,进行精准诈骗或恶意营销。
3.算法密钥漏洞。算法密钥保护安全强度低,造成的本地或网络数据泄漏问题。
4.核心模块被破解。核心代码保护方案力度低,不完善,难以对抗高技术的黑客组织,造成资产损失。
5.木马病毒感染。用户安全意识低,使用APP运行设备时易感染木马、病毒造成用户信息泄漏,财产损失。
以下是一些网络金融安全隐患事件:
2013年3月,支付宝转账记录被网友使用谷歌搜索出来,输入“site:shenghuo.alipay转账付款”,就能查到各种转账信息,包含付款、收款账户,姓名,日期等。
2013年8月,上证指数出现大盘一分钟涨超5%的情况,当天下午2时,光大证券声称策略投资部门在使用独立的套利系统出现问题。证监会调查发现期交易系统出现问题,且有“内幕交易”行为。为此被处以5.2亿巨额罚款。
2014年3月,国内最大且最具影响的P2P网贷网站网贷之家发布公告:其官网持续多日受到黑客的恶意攻击,10分钟30G流量攻击及数万ip的cc攻击,随后有黑客称是6位数的重金聘请发起的攻击,如未达到预期效果,还将继续。
由此可见,金融业网络安全影响之大,非一般企业可比,做好自身网络安全等级保护迫在眉睫。
我国网络安全等级保护制度的基本要求对网络安全,从物理环境、网络、通信、硬件、软件、人员管理、访问控制等各个方面,皆提出了基本要求,只有达标,才能合格,在一定程度上提高了运营者对网络安全意识,网络安全设备搭建、安全管理的认识和重视。
亿林网络安全对金融行业等级保护制度进行深耕细读,其自营机房有三级等保资质,安全人员有信息安全等保建设证书,在合规环境,定级备案、测评环节提供了重要的技术支持。
具体参考文献:
《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163 号)
网络安全等级保护基本要求(GB/T22239-2019)
网络安全等级保护测评要求(GB/T28448-2019)