齐向东：85%中小型金融机构在实战攻防演习中被攻破过

时间：2020-11-27 作者：新华财经

分享到：

“中小型金融机构网络安全状况十分堪忧，85%的中小型金融机构在实战攻防演习中都被攻破过！”11月27日，在2020北京国际金融安全论坛上，奇安信董事长齐向东发表上述观点。

齐向东在“从实战攻防看金融行业安全态势”的主题演讲中表示，从奇安信在2020年承接的金融机构实战攻防演习的情况来看，在承接的229家金融机构中，大型金融机构占11家，被攻破占比为18%，而以城商行、券商、保险为代表的中小型金融机构占218家；被攻破的占比则高达85%。

图奇安信董事长齐向东发表演讲

近几年，我国的金融科技得到了快速发展和广泛应用，互联网金融、移动金融、非接触式金融等金融新业态蓬勃发展。尤其今年的“疫情”进一步加速金融业数字化转型。

但并非所有的金融科技创新都建立了与其应用广度、深度等相匹配的风险防护措施。在金融业数字化转型过程中，存在着不成熟、有风险的金融科技创新及应用，加大了网络安全风险的扩散效应，金融业网络安全面临新的挑战。

齐向东指出，目前中小型金融机构网络安全存在十大薄弱环节，包括：

安全意识薄弱，利用社工突破隔离网；互联网存在未知资产，易成为攻击跳板；业务互联出口多，安全管控不严；应用系统常规漏洞多；供应链管控弱，自身安全等级低；安全设备0Day漏洞威胁大；集权系统缺少保护策略；服务器不升级、不加固、弱口令，易被攻击；终端安全防御能力弱，不能有效监测攻击；实战化攻击监测能力弱，难以发现真实攻击。

“我们在今年攻防演习中发现，中小型金融机构面临着三大典型的、主要的安全风险。

一是0DAY漏洞成为重要攻击渠道，威胁大。

二是供应链成为常见攻击短板，管控弱。

三是社工钓鱼成为主流攻击方式，意识差。”齐向东表示，并且在实际的网络攻击中，一般攻击者会有组织的，组合利用多个薄弱环节来进行网络攻击。

齐向东建议，中小型金融机构要尽快补足“安全运行能力弱”、“实战对抗武器少”、“终端防护不安全”、“安全人员配置不足”四个短板。

首先就要建立实战化安全运行中心。很多中小型金融机构还停留在点状防御、设备运维的阶段，不了解家底、没有可靠的武器、没有可落地的运营流程。一旦发生网络攻击事件，容易出现难发现、难执行、溯源不到位等问题。如果有实战化安全运行中心，这些问题就都能得到解决。

二是补充实战攻防对抗类武器。网络安全是一场攻防对抗战，在海量数据中发现真实攻击行为是对抗的前提条件。如果要提高实战对抗的能力，就必须有基于流量的安全监测、基于主机的监测与防护、基于蜜罐的威胁诱捕等武器。

三是加强终端网络安全管控。目前中小型金融机构在终端管控上存在明显不足，导致终端容易失控，并且在失陷后不容易被第一时间发现。要让终端受控，必须加强终端资产管理、补丁管理、终端准入、防病毒、外设管控、上网行为管理等工作。

四是提升安全人员能力。中小型金融机构受规模限制，很难建立完整的安服人员体系，有必要引入可靠性高、技术能力全面、团队作战能力强的安全服务团队，体系化开展安全服务工作。

齐向东表示，网络安全是数字化转型的底板。没有网络安全，数字技术的作用就会大打折扣。因此，金融机构要建立新一代金融网络安全体系，在这过程中有四大目标。

首先是加强合规，消除合规性风险。

第二，保障业务，实现安全能力对信息化各层次，及业务板块全面覆盖与深度融合，构建内生安全能力、形成常态化、实战化、体系化的安全体系。

第三，适应形势，面对国内外网络安全形势，通过规划，紧跟发展，采用新思想、新模式、新技术提升安全能力，保障业务。

第四，应对挑战，对新技术、新业态等方面引发的新型风险，做好业务发展支撑。

具体而言，在金融机构推行数字化转型的过程中，需要不断加固网络安全底板，立足“三化六防”，建立金融行业内生安全体系，才能更好地应对新风险。今年年初，奇安信以系统工程的方法论结合“内生安全”理念，创新推出了面向新基建的内生安全框架，将安全能力统一规划、分步实施，逐步建成面向数字化时代的一体化安全体系。

内生安全框架包含十大工程、五大任务，几乎适用于所有应用场景，指导不同行业输出安全架构。目前，这套框架已经在近百家重要客户的网络安全规划方案中落地，能源、交通、航空等多个行业的客户，都给奇安信很高的评价。

齐向东表示，我相信，金融机构按照这个框架，一定能建立完善的协同联动防御体系，确保金融机构在数字化转型过程中的网络安全。

北京网络安全大会

天守终端安全管理系统

天守终端安全管理系统

企业动态