高赫

摘要：近年來，隨著金融科技的不斷發(fā)展，金融服務網(wǎng)絡化程度不斷提升，同時也逐漸成為犯罪分子攻擊的重要目標，這一問題在今后相當長的時間內(nèi)將持續(xù)存在。本文闡述了當前金融網(wǎng)絡安全的現(xiàn)狀，以及金融網(wǎng)絡攻擊的誘因、特點和趨勢，深入分析其對金融體系帶來的挑戰(zhàn)，并總結(jié)了現(xiàn)有的針對金融網(wǎng)絡攻擊的應對經(jīng)驗，提出了我國應對金融網(wǎng)絡攻擊的建議，以期提高對金融網(wǎng)絡安全的重視程度，減少金融網(wǎng)絡攻擊帶來的損失。

關(guān)鍵詞：金融網(wǎng)絡安全 金融網(wǎng)絡 金融科技 防范對策

[文章編號] ? ? ? ? ?[JEL分類號] G29 ? ? ?[文獻標志碼] A

Abstract：Inrecentyears， with the continuous development of financial technology， the degree of networking of financial services has been continuously improved; at the same time， they have gradually become an important target for criminals. This problem will persist for quite a long time in the future. This article elaborates on the current status of financial network security， the causes， characteristics and trends of cyber-attack， and in-depth analyzes the challenges it brings to the financial system. The article also summarizes the current status of financial network security， attack methods and countermeasures， and puts forward preliminary suggestions on financial network security， to increase the attention to financial network security and reduce the loss caused by cyber-attacks.

Key Words： Financial network security; Financial network; Financial technology; Countermeasures

近年來，金融業(yè)務網(wǎng)絡化趨勢日益顯著，而金融網(wǎng)絡攻擊也呈上升趨勢，其頻率、范圍和復雜度遞增，引發(fā)各界關(guān)注。金融網(wǎng)絡攻擊又是多種攻擊手段的混合體，因此保障金融網(wǎng)絡安全，是一個跨學科、跨領(lǐng)域的系統(tǒng)性工程。

本文闡述了當前金融網(wǎng)絡安全的現(xiàn)狀，以及金融網(wǎng)絡攻擊的誘因、特點和趨勢，深入分析其對金融體系帶來的挑戰(zhàn)，總結(jié)了現(xiàn)有的應對經(jīng)驗，并提出我國應對金融網(wǎng)絡攻擊的建議。

1.金融網(wǎng)絡攻擊的現(xiàn)狀

過去十五年中，隨網(wǎng)絡化程度的提升，網(wǎng)絡攻擊的數(shù)量增長了近7倍，而其中相當部分針對金融系統(tǒng)發(fā)起，金融網(wǎng)絡安全問題對金融體系穩(wěn)定帶來極大挑戰(zhàn)。一旦大型金融機構(gòu)、核心系統(tǒng)遭受攻擊，威脅極易快速傳導至整個金融體系。同時，黑客工具的獲得成本和使用難度降低、功能日益強大，使得初級黑客也能輕易造成嚴重破壞。攻擊不辨國界，機構(gòu)不論大小，皆會受到侵害。

1.1.中國的現(xiàn)狀

中國信息通信研究院、平安金融安全研究院以及普華永道共同發(fā)布的《2018-2019年度金融科技安全分析報告》[1]顯示，“在過去一年中，所有被調(diào)研企業(yè)均表示發(fā)生過不同類型的網(wǎng)絡安全事件”。其中，針對客戶資料及企業(yè)重要業(yè)務數(shù)據(jù)的攻擊事件合計高達44%的比例，占比最高;而“DDoS攻擊及網(wǎng)絡勒索、病毒、蠕蟲等惡意程序攻擊”合計占比41%。特別是勒索病毒及蠕蟲，在2018年至2019年上半年成為持續(xù)影響金融科技企業(yè)主要的網(wǎng)絡安全風險。

1.2.其他主要國家的現(xiàn)狀

2017年6月，在對美國和英國163名業(yè)主及4000多名員工就“現(xiàn)有和未來金融網(wǎng)絡安全戰(zhàn)略”進行的調(diào)查表明：金融網(wǎng)絡攻擊風險不僅是單純的技術(shù)問題，與人相關(guān)的風險日益突出。因員工安全教育不足或疏忽瀆職引發(fā)的風險事件占比高達66%、外部入侵威脅占18%、其他占9%、采用社會工程學的金融網(wǎng)絡犯罪占3%、金融網(wǎng)絡勒索犯罪占2%、使網(wǎng)絡業(yè)務終斷的占2%。（Adele，Adeola.， O‘Connell，Michael.，Watson，Towers.，2017）。

2.攻擊金融網(wǎng)絡的誘因、特點和趨勢

2.1.金融網(wǎng)絡攻擊的誘因

2.1.1. 竊取貨幣資產(chǎn)

大量資金賬戶可通過金融網(wǎng)絡觸達，而新興的數(shù)字貨幣也依托網(wǎng)絡創(chuàng)造和流通，成為攻擊的首選目標。

2.1.2. 竊取機密信息

金融體系時刻在產(chǎn)生和處理著海量信息，包括資金賬戶信息、銀行卡信息、征信信息、金融機構(gòu)的商業(yè)機密，甚至包括個人隱私信息。這些信息極具商業(yè)價值，成為攻擊的重要目標。

2.1.3. 破壞金融系統(tǒng)

金融網(wǎng)絡具有廣泛連接性，關(guān)系公民的切身利益和社會穩(wěn)定，地位異常重要。一旦重要金融機構(gòu)遭襲，系統(tǒng)崩潰，數(shù)據(jù)丟失，將影響金融業(yè)務的正常開展，進而影響社會穩(wěn)定。

2.2.金融網(wǎng)絡攻擊的特點

2.2.1. 路徑廣

金融網(wǎng)絡空間通常分為4層：底層網(wǎng)絡（金融機構(gòu)間通信）業(yè)務系統(tǒng)（金融業(yè)務處理）客戶端（客戶、系統(tǒng)管理員、業(yè)務人員等使用）終端客戶。

隨著金融科技和金融業(yè)務的迭代升級，底層網(wǎng)絡、業(yè)務系統(tǒng)、客戶端的種類數(shù)量激增，移動終端的普及也促使客戶群體不斷壯大，這為網(wǎng)絡攻擊提供了眾多的路徑和選擇。

2.2.2. 方式多

（1）暴力攻擊：如借助高性能計算設(shè)備對各類密碼進行暴力破解，或通過僵尸網(wǎng)絡等發(fā)動DDoS攻擊，導致金融系統(tǒng)癱瘓等。

（2）漏洞攻擊：操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡通信協(xié)議、加密算法以及業(yè)務系統(tǒng)常常存在設(shè)計缺陷;而制度流程缺位、安全責任不明、管理執(zhí)行不力也會帶來安全隱患，極易被利用發(fā)起攻擊。

（3）釣魚攻擊：人性的弱點、專業(yè)知識欠缺及防范意識薄弱，也會被網(wǎng)絡攻擊者利用。通過詐騙電話、木馬程序、釣魚網(wǎng)站、偽基站、偽熱點等，引誘受害人，從而盜取賬戶密碼、支付驗證碼以及金融資產(chǎn)。

（4）后門攻擊：金融機構(gòu)的軟硬件供應商為便于系統(tǒng)維護，會預留“后門”，一旦被攻擊者發(fā)現(xiàn)并獲得控制權(quán)限，便可輕而易舉地竊取金融數(shù)據(jù)和資產(chǎn)。

（5）三方攻擊：黑客還可以通過攻擊與目標系統(tǒng)關(guān)聯(lián)的第三方系統(tǒng)，間接實現(xiàn)攻擊。如從電商網(wǎng)站或外賣平臺盜取相關(guān)支付信息，或攻擊電信營業(yè)商的短信服務系統(tǒng)獲取驗證口令，再利用這些信息攻擊目標系統(tǒng)。

2.2.3. 迭代快

隨著《網(wǎng)絡安全法》等法規(guī)出臺，以及各方對網(wǎng)絡安全問題日益重視，金融網(wǎng)絡安全保障能力有大幅提升。但攻擊者也在不斷分析研究新的漏洞和缺陷，優(yōu)化攻擊工具和策略，因此防范難度也在提升。

2.3.金融網(wǎng)絡攻擊的趨勢

2.3.1.頻增量升

網(wǎng)絡的普及使得網(wǎng)絡攻擊的技術(shù)和工具迅速擴散，降低了攻擊門檻，使金融系統(tǒng)受攻擊的頻次顯著增長。

2.3.2. 目標集中

網(wǎng)絡攻擊的重點開始從終端客戶轉(zhuǎn)向大型金融機構(gòu)、金融網(wǎng)絡基礎(chǔ)設(shè)施等核心目標。而網(wǎng)銀、移動支付、掃碼支付等新型支付方式因普及程度高，也成為重點攻擊對象。

2.3.3. 日趨復雜

高級持續(xù)性威脅攻擊（Advanced Persistent Threat） 近年來日益頻繁，木馬在系統(tǒng)中長期潛伏，充分收集信息、全面掌握運行規(guī)律后才發(fā)動攻擊，造成的損害較傳統(tǒng)方式更大。

3.金融網(wǎng)絡攻擊給金融行業(yè)帶來的新問題

3.1.威脅金融穩(wěn)定

3.1.1削弱用戶信心

金融體系無信不立，其安全性是便利性的前提。網(wǎng)絡攻擊導致財產(chǎn)受損案件頻發(fā)，必然導致客戶“用腳投票”，從而嚴重影響金融運行效率和業(yè)務創(chuàng)新。

3.1.2危害金融機構(gòu)

金融體系被攻擊，金融機構(gòu)將面臨多重損失 —— 危機處置導致成本上升、業(yè)務停擺造成收益下降、聲譽受損、評級下調(diào)、士氣低落、客戶流失、法律糾紛等。

3.1.3負面效應傳導

金融與網(wǎng)絡不斷融合，金融體系聯(lián)系日趨緊密，結(jié)構(gòu)日趨復雜。某一環(huán)節(jié)遭遇攻擊，損失會波及關(guān)聯(lián)方，甚至引發(fā)系統(tǒng)風險，嚴重破壞金融和經(jīng)濟活動的正常開展。

3.2.帶來全新挑戰(zhàn)

金融網(wǎng)絡空間的攻防始終是一對不斷進化的矛盾體，不斷對金融網(wǎng)絡安全提出新挑戰(zhàn)。

3.2.1敏捷響應

針對既有網(wǎng)絡攻擊和自身暴露的風險，劃定網(wǎng)絡攻擊防護等級及相應安全措施，合理調(diào)配資源，確保安全策略執(zhí)行，有效應對并迅速排除風險，保證安全內(nèi)控機制靈活敏捷。

3.2.2全面管控

對與生產(chǎn)系統(tǒng)安全緊密相關(guān)的環(huán)節(jié)全面管控，保證業(yè)務條線和業(yè)務人員切實履責，提升整體安保水平。

3.2.3可靠測試

除基礎(chǔ)安檢外，對關(guān)鍵環(huán)節(jié)定期開展全面測評，及時鎖定并修復漏洞。

4.防范金融網(wǎng)絡攻擊的常見做法

4.1.提升風險意識

2007年金融危機以來，世界主要國家的金融監(jiān)管機構(gòu)在處理既有問題的同時，也高度關(guān)注包括網(wǎng)絡攻擊風險在內(nèi)的其他風險，防范爆發(fā)新的危機。

4.2.建立應對框架

網(wǎng)絡攻擊路徑廣、方式多、迭代快，世界主要國家的金融監(jiān)管部門和金融機構(gòu)嘗試打破原有制度局限，建立彈性網(wǎng)絡安全保障框架，優(yōu)化金融系統(tǒng)的防護彈性和恢復彈性，增強應對重大攻擊的能力。

英格蘭銀行官員Andrew Gracie在2015年英國金融服務網(wǎng)絡安全峰會上提出的應對框架[2]包括以下3點。

4.2.1防御能力

網(wǎng)絡安全除技術(shù)能力外，人的潛在弱點也常成為攻擊的切入點，金融機構(gòu)必須加大人員培訓投入。定期開展CBEST（Controlled，Bespoke，Intelligence-led Cyber Security Test）測試，基于全面威脅情報，分析可能的攻擊方法和場景，設(shè)計測試流程，對金融關(guān)鍵系統(tǒng)和服務進行測試，以確定防護、檢測及響應網(wǎng)絡攻擊的能力。

4.2.2恢復能力

常規(guī)的主、備系統(tǒng)關(guān)聯(lián)緊密，技術(shù)上高度一致，一旦主站被攻破，災備站點也岌岌可危。為保障攻擊發(fā)生后快速恢復，確保業(yè)務連續(xù)性，主、備系統(tǒng)需要足夠的隔離。

4.2.3有效治理

董事會應將網(wǎng)絡風險作為金融機構(gòu)的核心策略對待，并敦促管理層采取必要措施保證網(wǎng)絡彈性。

4.3.完善法律法規(guī)

目前世界主要國家已形成較完善的法律體系。美國已頒布的法律法規(guī)包括：《統(tǒng)一商法典》的4A 篇（U.C.C. -ARTICLE 4A- FUNDS TRANSFER）、聯(lián)邦《電子資金劃撥法》（Electronic Fund Transfer Act）及聯(lián)邦儲備系統(tǒng)理事會頒布的E 條例（Regulation E）、《借貸誠實法》（Truth in Lending Act）等。歐盟則于2015年12月通過了《一般數(shù)據(jù)保護條例》（General Data Protection Regulation），明確了涉及個人數(shù)據(jù)的保護和監(jiān)管原則。

4.4.開展國際合作

積極開展國際合作是打擊跨國金融網(wǎng)絡攻擊的有效途徑。2016 年10月，G7達成一項加強金融業(yè)網(wǎng)絡安全合作的協(xié)議（Cybersecurity Guidelines）。該協(xié)議建立了一系列旨在加強金融基礎(chǔ)設(shè)施、打擊網(wǎng)絡攻擊以及協(xié)調(diào)減輕網(wǎng)絡攻擊影響的快速反應系統(tǒng)的共同戰(zhàn)略。并建立了適當?shù)闹卫頇C制、風險評估和恢復機制，將網(wǎng)絡安全納入風險管理范疇。

5.中國應對金融網(wǎng)絡攻擊的思考和建議

5.1.多級協(xié)同防控

5.1.1. 金融機構(gòu)內(nèi)部

將防范網(wǎng)絡攻擊納入操作風險管理范疇，強化技術(shù)管理，落實部門責任。實現(xiàn)系統(tǒng)運維、風險控制和安全審計間的協(xié)同，職責明確、監(jiān)督有力;培養(yǎng)網(wǎng)安專門人才與提升全員網(wǎng)安責任意識并舉。

5.1.2.金融機構(gòu)之間

監(jiān)管部門、金融機構(gòu)與行業(yè)協(xié)會間增強信息共享，全面掌握行業(yè)網(wǎng)絡安全整體態(tài)勢，動態(tài)調(diào)整風險治理措施，確保金融穩(wěn)定。

5.1.3.跨行業(yè)跨部門

立足國家網(wǎng)絡安全戰(zhàn)略高度，與電力、通信等保障部門密切配合，實現(xiàn)對金融網(wǎng)絡安全事件聯(lián)合應急處置。與網(wǎng)信、公安、工信等執(zhí)法部門信息互通，共同防范打擊金融網(wǎng)絡攻擊。對系統(tǒng)供應商和運維機構(gòu)精細化管理，從物理層面有效防范網(wǎng)絡攻擊。開展產(chǎn)學研合作，引入先進技術(shù)理念，不斷提升安保能力。

5.2.加強主動防御

5.2.1.金融網(wǎng)絡安全態(tài)勢感知

借助大數(shù)據(jù)和AI技術(shù)，建立金融行業(yè)網(wǎng)安態(tài)勢感知平臺[3-4]，對異常事件及時發(fā)現(xiàn)、告警。做到金融網(wǎng)絡安全可見、可控、可防，事前可預判、事中能防護、事后易追蹤。

5.2.2. 金融網(wǎng)絡攻擊模擬測試

參照CBEST模式，定期組織重要金融機構(gòu)開展模擬攻擊測試，主動、及時發(fā)現(xiàn)和修補系統(tǒng)安全漏洞。

5.2.3. 金融網(wǎng)絡安全自主可控

按照《中華人民共和國網(wǎng)絡安全法》和國家網(wǎng)絡安全審查制度，制定金融業(yè)網(wǎng)絡安全審查方案，對進入金融體系的重要軟硬件產(chǎn)品及廠商進行安全審查，保障產(chǎn)品安全可控，并積極推進上述產(chǎn)品的國產(chǎn)化替代，從根本上保障金融系統(tǒng)自主可控。

5.2.4. 提升防范意識防范能力

結(jié)合“網(wǎng)絡安全宣傳周”“429首都網(wǎng)絡安全日”等活動進行主題宣傳，提醒金融消費者做好安全防護，謹慎交易，提升防范意識和技能。

5.2.5. 金融網(wǎng)絡異構(gòu)災備系統(tǒng)

建立金融網(wǎng)絡災備技術(shù)標準，并據(jù)此對金融機構(gòu)現(xiàn)有主備站點進行異構(gòu)改造，實現(xiàn)主備站點軟硬件差異化配置，確保主備系統(tǒng)同步遭受攻擊時，備份系統(tǒng)及時恢復至規(guī)定的服務水平。

5.3.完善保護機制

5.3.1. 健全法律法規(guī)

當前涉及電子支付和個人金融信息保護的法律法規(guī)雖在相關(guān)法律中有所涉及，但內(nèi)容分散，無法有效解決法律糾紛中的新問題。應借鑒既有立法經(jīng)驗，結(jié)合實際，健全該領(lǐng)域的法律體系[5]。

5.3.2. 加強監(jiān)管核查

按照《國務院辦公廳關(guān)于加強金融消費者權(quán)益保護工作的指導意見》4的要求，指導督促金融機構(gòu)妥善設(shè)立投訴受理渠道，對由網(wǎng)絡攻擊引發(fā)的投訴，查清事實，分清責任，妥善處理，切實維護金融消費者的權(quán)益[6-7]。

5.3.3.發(fā)展網(wǎng)安保險

國內(nèi)網(wǎng)絡安全保險市場剛剛起步，前景廣闊。發(fā)展針對關(guān)聯(lián)方風險的保險產(chǎn)品，鼓勵金融機構(gòu)對受托資產(chǎn)投保，可有效減少因網(wǎng)絡攻擊給金融機構(gòu)和消費者帶來的損失。

參考文獻

[1]2018-2019年度金融科技安全分析報告[EB/OL].https：//www.pwccn.com/zh/issues/cybersecurity-and-data-privacy/2018-2019-fintech-cyber-security-report.pdf.

[2]Andrew Gracie： Cyber in context [EB/OL].（2015-07-02）.https：//www.bis.org/review/r150810a.htm.

[3] 管憶軍.基于大數(shù)據(jù)的基層央行網(wǎng)絡安全態(tài)勢感知平臺架構(gòu)的探討[J].金融科技時代，2019（10）：35-37.

[4] 廖淵，李北川.基于金融行業(yè)支付場景的安全態(tài)勢感知模型研究[J].信息安全研究，2020，6（3）：235-243.

[5] 顧雷.我國個人金融信息的保護要義與監(jiān)管建議[J].清華金融評論，2020（12）：97-98.

[6] 張明春.數(shù)字時代背景下基層金融消費者權(quán)益保護問題探析[J].金融科技時代，2020，28（3）：78-82.

[7] 趙帥.典型案例對網(wǎng)絡安全保險發(fā)展的啟示——以美國科洛尼爾公司網(wǎng)絡勒索事件為例[J].中國保險，2021（8）：41-45.