“科技重構金融未來”——中國電子銀行聯合宣傳年2018貴陽高峰論壇于8月2日順利舉行，貴陽市政府、近百家銀行相關部門領導、金融科技企業和學術專家共計約150余人參會。論壇由中國金融認證中心（CFCA）、中國電子銀行網主辦，貴州數安匯公司協辦，中國電子銀行網全程視頻、圖文直播。

　　國家信息技術安全研究中心總師、高級工程師郭曉雷出席本次論壇并以《網絡金融安全與大數據安全靶場的思考》為題，就網絡金融安全的思考和如何發揮和利用大數據安全靶場優勢等內容作了介紹。

國家信息技術安全研究中心總師、高級工程師 郭曉雷

　　網絡金融安全態勢嚴峻

　　關于金融業的網絡安全態勢，郭曉雷指出，大型金融機構遭網絡攻擊已經成為現實。他舉了兩個例子：一是，2016年2月孟加拉國中央銀行在美國紐約聯邦儲備銀行開設的賬戶遭黑客攻擊，失竊8100萬美元。二是，黑客入侵俄羅斯央行，偷走了 20 億盧布（ 3100 萬美元）。

　　郭曉雷介紹，目前，黑灰產業鏈已經呈現出趨利化、集團化、跨境化趨勢。數據顯示，在黑市中流通的用戶資料則高達6億條。而行業內測算，我國黑色產業的從業人員在百萬級以上，每年造成的損失達到千億元級規模。

　　當前的網絡安全態勢有什么特點呢？郭曉雷認為，1、從銀行抽查情況來看：安全性整體較好；2、從高強度滲透測試來看：大規模網絡攻擊風險，如邏輯錯誤、權限繞過、信息泄漏等業務系統高危漏洞時有發現；3、從國家網絡安全戰略來看：挑戰嚴峻。

　　郭曉雷介紹，國家信息技術安全研究中心對國內多家網上銀行系統進行了深度安全測試，發現高危漏洞，通過遠程滲透，發現利用這些漏洞，可對系統造成嚴重的危害。威脅到用戶資金安全；重要、敏感數據被竊；網站被篡改威脅等。

　　郭曉雷還對邏輯缺陷漏洞、信息泄漏的漏洞以及DDOS攻擊溯源等做了介紹。

　　傳統的防御體系攻防不對稱 需要建立新一代防御體系

　　他指出，以網絡防護思路應對應用安全漏洞的傳統豎井式防御體系，是基于邊界保護的防御體系，存在滯后、錯報和漏報等局限，攻擊者只需要抓住程序的一個漏洞點，即有可能入侵系統。傳統的防御體系確實存在著缺陷，最典型的就是攻防不對稱。

　　需要建立新一代防御體系。這個體系至少需要具備智能威脅感知能力、高強度攻擊防御能力、安全大數據挖掘利用能力、快速應急響應能力等四個方面的能力。

　　他建議：一是，引入開放式安全測試機制，充分利用對新技術和最貼近真實的攻擊。對多種技術領域形成融合，能使測試更加全面。從成本和經濟的角度考慮，在引入開放式測試機制時，應該注意風控的管理，特別是知識產權的保護和重要敏感數據的保護及測試人員的注冊和責任管理。

　　二是加強威脅情報共享機制的建設。提高金融行業整體的發現能力，深入了解威脅環境的變化。判斷影響提升檢測能力。實現處置經驗，實現群體免疫，爭取做到牽一發而動全身。

　　郭曉雷最后還對貴陽大數據安全靶場做了介紹。

　　關于網絡金融或者數字金融安全，郭曉雷建議，一是，借助靶場成熟的基礎設施，搭建更加真實的金融測試環境，提高攻防對抗的真實度。二是，合理設定靶標，借助靶場現有的專家優勢，包括各方力量的優勢，合理設定靶標，來檢驗網絡金融系統的防御能力和應急響應能力。三是，因為金融是關鍵基礎設施里的重中之重，也是黑灰產業的重點目標，要對一些重大事件的案例開展在線分析和查證工作。四是開展新技術的研究和產品驗證工作。五是開展人員技術培訓工作。

　　以下是郭曉雷的發言實錄：

　　接下來我們有請國家信息技術安全研究中心總師、高級工程師郭曉雷，先生。郭總同時還是信息安全標準化委員，貴州大數據及網絡安全委員會委員。下面有請郭總為我們分享網絡金融安全與大數據安全靶場的思考。

　　郭曉雷：

　　非常高興參加咱們論壇。我講的內容是兩個方面，一是從安全態勢的角度，爭取能夠對網絡金融所面臨的主要威脅，通過這些主要威脅聚焦到網絡金融所面臨的焦點問題，而且爭取能提出一些解決思路，給出相關的建議。二是分享一下貴陽大數據安全所做的實踐。

　　報告分兩個部分，一是關于網絡金融安全的思考，二是大數據安全靶場的實踐。

　　一、關于網絡金融安全的思考

　　近年來，大型的網絡攻擊安全基礎設施的案例已經多發，在我們金融口，從2016年孟加拉國的中央銀行在美國聯邦銀行開設的賬戶遭黑客，比較驚人。之后黑客入侵了俄羅斯央行，偷走了20億盧布，這是典型的威脅態勢。

　　第二個態勢，黑灰產業鏈呈現出趨利化、集團化、跨境化的趨勢。在黑市上流通的用戶資料高達數億。從事黑灰產業的人數估計已經到百萬級以上，我感覺這比從事安全保障的人數還要多，給社會造成了巨額的損失。

　　總體上看，特別從今年來，對銀行的抽查情況來看，總體形勢是好的，特別在一些重大事件的經歷過程中，相對于其他行業好得多，說明我們在保障水平上和相關緊急事件的應對上，都有不錯的成績。但從高強度測試來看，大規模網絡風險是依然存在的。

　　從國家大安全的角度看，這個挑戰是十分嚴峻的，因為我們銀行系統的復雜性，包括防護體系的滯后性，以及安全威脅的動態變化、科技風險的集中，都會帶來嚴重的挑戰。

　　這些年來，國家信息技術安全研究中心也對多家銀行進行了深度測試。我簡要介紹一下國家信息技術安全研究中心的任務。國家信息技術安全研究中心是國家?？仃犖?，主要從事信息技術產品系統的測試、評估、檢查，以及專項檢查活動。也擔負了多家中保系統的安全保障和重大活動安全保障。通過測試，我們發現漏洞的存在是非常典型的，通過遠程滲透，也能夠發現和利用這些漏洞對系統造成嚴重損害。我有一些案例跟大家分享。

　　案例一：邏輯缺陷。（圖）右邊的這些證據是當時我們在某銀行轉帳操作中取得的證據。由于國企未對轉賬數據，導致用戶資金被他人竊取，主要采取邏輯缺陷的漏洞。主要有幾個特征：一是自動漏洞掃描器很難發現的安全漏洞，也是攻擊者最喜歡利用的漏洞之一。也是低權限的用戶操作高權限的漏洞，通過這些漏洞可以造成直接損失。

　　案例二：信息泄露。我國曾經發生過一起著名的信息泄露事件，某社區的信息泄露，導致了600萬用戶名、密碼和注冊郵箱泄露，包括垃圾郵件、賬號凍結、信息丟失等等，當時引起了社會強烈反應。工信部也啟動了相關預案。在這次事件之后，我們也對有關銀行做了相關測試，經過測試發現A銀行可以通過多種漏洞的組合獲取用戶信息，對B銀行的測試也發現了存在相關的安全漏洞，用戶信息可以被獲取。這幾項加起來已經超過2億。

　　案例三：DDOS攻擊溯源。2013年某銀行造成了DDOS的攻擊，從下午一直持續到凌晨，期間網站一度無法打開。這次攻擊帶來了超過250億的流量擁堵，直接導致網絡服務器堵塞。除我國之外，美國、新加坡也是主要攻擊源。我們通過大數據溯源對攻擊者進行了畫像，發現這些攻擊者大部分是漏洞利用的頻繁使用者，也是漏洞利用的高手。

　　再看一下傳統的技術防護體系，基本上是豎井式的防御體系。它典型的局限就在于滯后、錯報、漏報的局限。攻擊者只要抓住某一個漏洞點，就有可能入侵系統。

　　新一代的防御體系至少應該具備四方面的能力，能夠形成良好的閉環。一是智能威脅感知能力，二是高強度的攻擊防御能力，三是快速應急響應能力，四是安全大數據的挖掘利用能力。傳統的防御體系確實存在著缺陷，最典型的就是攻防不對稱。所謂攻防不對稱，前幾位領導和專家也提到了這個概念，我們是這樣理解的，由于在信息防御系統的設計中，對真實環境中的攻擊方法，包括攻擊及攻擊的行為動態缺乏全面的理解，這樣導致設計出來的防御體系難以在真實系統中進行有效評價，難以形成有效屏障。建議，一是引入開放式安全測試機制，能夠充分利用對新技術和最貼近真實的攻擊；二是能對多種技術領域形成融合，能使測試更加全面。從成本和經濟的角度考慮，在引入開放式測試機制時，應該注意風控的管理，特別是知識產權的保護和重要敏感數據的保護及測試人員的注冊和責任管理。

　　二是加強威脅情報共享機制的建設。提高金融行業整體的發現能力，深入了解威脅環境的變化。判斷影響提升檢測能力。實現處置經驗，實現群體免疫，爭取做到牽一發而動全身。

　　二、大數據安全靶場的實踐

　　基于上述想法，我們總要找實踐的落腳點。2016年接到了貴陽方關于參與貴陽大數據與網絡安全攻防演練的邀請，我當時參加了方案的編制，以及參加了演練活動的指導。

　　簡要介紹一下攻防演練平臺的組成。當時主要有這幾部分：安全態勢平臺、指揮調度平臺、攻防區、演練平臺?？偟膩碇v，這是在指揮現場部署的工作。為了行動的順利完成，不出大問題，準備了比較完善的應急處置機制，在應急處置指揮部下設了六個方面：應急綜合協調組、電力通信組、輿情監控組、打擊處置組，攻防演練現場保障組、各地州市響應組。對重大事件做了分級，必要時上報公安部。同時，在貴陽準備了兩地的應急協作機制，一是在演練現場，即貴陽國家經濟開發區，二是在貴陽市公安局。我們組織了20多支攻防團隊，有來自企業、院校、攻防隊伍?；顒悠陂g通過五天時間對100個重要目標和10000個IP地址進行攻擊測試，取得了比較顯著的成就。特別在漏洞檢出方面能夠有比較真實的反映。攻陷速度我不細說了，當時是比較可觀的。當時時任貴陽市市委書記陳剛同志提出的，要對貴陽做致癱實驗，成果的局部拿到了包括最高顯現，以及對內網滲透的結果。

　　主要匯報一下成果。（圖）左邊的話是當時陳剛書記說的，我認為應該是貴陽市委市政府所做的深刻反省，弱不禁風而感覺良好，重病纏身而渾然不知。一個市委書記能夠有這樣的認識高度，從我們來講是感覺欣慰的。

　　在這次演練之后，貴陽市能夠主動應對構建了整改機制，從七個方面。跟大家重點分享的是，通過這次演練形成了貴陽國家大數據安全靶場建設思路和想法。在2016年的步驟大概是，2016年是演練初試，2017年完成了一系列的攻防演練，2018年建設初步完成，爭取在2020年全部建設完成。最重要的是，通過演練和大數據靶場的建設匯聚了一批人才和技術，相應的技術支撐機構都在建立。（圖）左下方是公安部的授牌儀式。

　　貴陽靶場的構成，分五大區域。爭取要建成五大靶場，有四方面功能。最值得推薦的是運營模式，是以政府為主導，同時實現共建共享共抓共管，開放式的，市場化運營的方式。

　　多說幾句，近些年的靶場應該是弱點，在相應靶場建設中，普遍存在技術過時、設備陳舊、靶標設定局限等等。二是靶場建設投入巨大，作為行業靶場來講都面臨著投入產出的問題。

　　貴陽大數據安全靶場，從我們的角度看，它是以城市為靶標的，以國家大數據示范區為依托。我為什么強調以城市為靶標？城市作為一個國家網絡空間小型化的縮影，它是具備很多空間和條件的。第二方面，黨委政府的高度重視，逐步完善的地方法規和制度提供了相應保障。從配套的應急處置，特別這幾年演練積累的成果和配他的應急處置機制，也能保障很多工作的完成。最重要的一條，融合了各方的力量、人才、技術和資源。另一方面，它開放的機制，特別是關鍵基礎設施的入場、演練，包括驗證提供的條件。這方面從基礎架構來講，它能夠快速構建、重復利用，這是將來從節約成本的角度看。從安全保障體系看，也能夠為活動的開展提供支撐。還有很重要的一個方面，這兒沒說那么多，它應該是匯聚了兩支隊伍，一是白軍、一是藍軍。我們暫且這么說，應該是相對穩定的，這是原來我們在行業靶場中所不容易實現的一個條件。所謂的白軍主要指評論認證隊伍，藍軍主要指攻擊測試隊伍。第五方面，正在匯聚的網絡安全大數據，為我們將來更全面真實的測試。

　　關于網絡金融或者數字金融的建議，有幾方面，希望能夠借助靶場成熟的基礎設施，搭建更加真實的金融測試環境，提高攻防對抗的真實度。二是合理設定靶標，借助靶場現有的專家優勢，包括各方力量的優勢，合理設定靶標，來檢驗網絡金融系統的防御能力和應急響應能力。三是因為金融是關鍵基礎設施里的重中之重，也是黑灰產業的重點目標，要對一些重大事件的案例開展在線分析和查證工作。四是開展新技術的研究和產品驗證工作。五是開展人員技術培訓工作。

　　在此感謝主辦方給這次報告相關的建議和意見，不妥之處也請各位批評指正。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：王超