【互联网+】打造资安防护网数字金融最重要的课题_【猫头鹰导航】

欢迎来到【猫头鹰导航】和我们一起来探讨青商路和青云路上的种种困难。本文底部的阅读原文都是对应的上期内容，可点...

点击上方蓝字“猫头鹰导航"关注我们！

猫头鹰导航

欢迎来到【猫头鹰导航】和我们一起来探讨青商路和青云路上的种种困难。本文底部的阅读原文都是对应的上期内容，可点击查看。另有什么搞不定的内容也可回复到账号页下方对话框，寻找解决之道吧！

资安问题有多严重，看看以下这份调查报告就知道。日前资诚联合会计事务所公布《2016全球经济犯罪调查报告─金融服务业》，有近五成的金融业在过去一年曾发生过经济犯罪事件，比2014年增加1%。其中有37%的金融业坦承，过去一年来曾因网络犯罪事件蒙受损失，显见资安已成为金融业最严苛的挑战。

APT攻击与Web AP漏洞两大威胁

慧与科技 (HPE) 软件事业群北亚区资深技术协理萧松瀛分析，近年来银行业所遇到的资安攻击主要有两大类，第一是APT攻击（Advanced Persistent Threat缩写，进阶持续性渗透攻击），以2013年韩国金融业包括新韩银行、农协银行与济州银行等为例，遭受大规模APT攻击后，由于中央服务器当机导致对外服务中断，甚至ATM还因此无法运作。

在这个案例里，主要是黑客入侵上述银行内部的病毒特征更新主机，利用更新病毒特征时将恶意软件传送到服务器或计算机上，由于透过病毒特征更新的正常管道进入，因此内部派送机制并没出现阻挡行为，等到攻击行动时间一到就自动启动病毒。

第二种则是由于银行网页自身的安全漏洞导致银行服务中断或被入侵。萧松瀛表示，网页应用程要设计的安全难度很高，主要是软件本来就容易存有Bug，再加上挂在网页设计上，当网页原始码传送到浏览器端时，黑客很容易就能分析程序原始码，而网页主机有必要开启服务的需求且对外开放，黑客容易找出漏洞进而入侵主机，影响企业内部甚至到外部服务。

近年来国内金融业为了符合金融监督管理委员会的信息安全政策，大多已布建防火墙（Firewall）与入侵防御系统 (Intrusion Prevention Systems, IPS)，透过异常行为侦测来阻挡保护应用程序，并定期更新操作系统漏洞与安装修补程序，降低网页应用程序漏洞。如HPE就提供黑箱自动测试 (Black Box Testing) 与顾问服务，协助弱点扫瞄、原始码扫描、渗透测试等，模拟黑客入侵的实际演练。

资安防护没有快捷方式也永无止尽

在数字金融与Fintech的浪潮下，任何与网络有关的金融服务，更需要资安防护。宙斯（Zeus）病毒是目前金融业很常见的恶意软件，除了可以窃取用户的相关数据，更甚者可以采取伪装银行官网页面，如使用者转账到给甲君3000元，该程序可能又再多转其他金额到黑客端。

然而使用者在该网页看到自己的账户只转出3000元，日后透过查询金额才会发现中了宙斯病毒，显示出信息安全是未来发展数字金融的一大挑战。

「资安防护没有快捷方式，也永无止尽。」萧松瀛强调，资安防护是一场没有终点的战争，程序漏洞与新病毒会不断增加，资安因此不是今年做完就结束，而是必须阶段性不断补强防护网，决不能掉以轻心。他建议，金融业应该要做SOC (Security Operation Center，SOC，信息安全监控中心)，透过资安管理平台（Security Information and Event Management，SEIM）打造多元与全面性的资安防护网。虽然大多金融业因应法规需求几乎都有添购如防火墙、防病毒软件等基本设备，也逐步阶段性地预备购买入侵检测或防御系统等进阶防御；但在还没一次购足前，若有SEIM串连整合包括网络设备、安全设备与应用系统等各项不同数据格式的日志文件（Log），做关联分析（Analyze）与交叉比对以监控网络异常行为，可协助IT人员在第一时间发现问题并做出因应之道。HPE除了SOC的被动防御外，也提供secuity mail主动防御服务，针对高敏感讯息的邮件做档案加密，让金融业在机密数据的管控上，提供多一层防护。