中国网财经8月2日讯 “科技重构金融未来”——中国电子银行联合宣传年2018贵阳高峰论坛于8月2日在贵阳举行。国家信息技术安全研究中心总师、高级工程师郭晓雷在论坛上表示,从对我国银行的抽查情况来看,总体网络形势是好的,但是在深度测试过程中也发现一些非典型的漏洞。
国家信息技术安全研究中心总师、高级工程师郭晓雷
郭晓雷说,近年来,大型的网络攻击安全基础设施的案例已经多发,国际上发生多起金融被攻击案例。例如:从2016年孟加拉国的中央银行在美国联邦银行开设的账户遭黑客。另外黑客还入侵了俄罗斯央行,偷走了20亿卢布,这是典型的威胁态势。
另外一个态势,黑灰产业链呈现出趋利化、集团化、跨境化的趋势。在黑市上流通的用户资料高达数亿。从事黑灰产业的人数估计已经到百万级以上,这比从事安全保障的人数还要多,给社会造成了巨额的损失。
郭晓雷指出,从今年来,对银行的抽查情况来看,总体形势是好的,特别在一些重大事件的经历过程中,相对于其他行业好得多,说明银行在保障水平上和相关紧急事件的应对上,都有不错的成绩。但从高强度测试来看,大规模网络风险是依然存在的。
深度测试过程中发现漏洞
国家信息技术安全研究中心是国家专控队伍,主要从事信息技术产品系统的测试、评估、检查,以及专项检查活动。也担负了多家中保系统的安全保障和重大活动安全保障。这些年来,国家信息技术安全研究中心对多家银行进行了深度测试。
郭晓雷透露,通过测试,国家信息技术安全研究中心发现漏洞的存在是非常典型的,通过远程渗透,也能够发现和利用这些漏洞对系统造成严重损害。主要表现在以下几个案例:
案例一:逻辑缺陷。当时我们在某银行转帐操作中取得的证据。由于国企未对转账数据,导致用户资金被他人窃取,主要采取逻辑缺陷的漏洞。
案例二:信息泄露。我国曾经发生过一起著名的信息泄露事件,某社区的信息泄露,导致了600万用户名、密码和注册邮箱泄露,包括垃圾邮件、账号冻结、信息丢失等等,当时引起了社会强烈反应。工信部也启动了相关预案。在这次事件之后,国家信息技术安全研究中心也对有关银行做了相关测试,经过测试发现A银行可以通过多种漏洞的组合获取用户信息,对B银行的测试也发现了存在相关的安全漏洞,用户信息可以被获取。这几项加起来已经超过2亿。
案例三:DDOS攻击溯源。2013年某银行造成了DDOS的攻击,从下午一直持续到凌晨,期间网站一度无法打开。这次攻击带来了超过250亿的流量拥堵,直接导致网络服务器堵塞。除我国之外,美国、新加坡也是主要攻击源。通过大数据溯源对攻击者进行了画像,发现这些攻击者大部分是漏洞利用的频繁使用者,也是漏洞利用的高手。
郭晓雷认为,传统的技术防护体系,基本上是竖井式的防御体系。它典型的局限就在于滞后、错报、漏报的局限。攻击者只要抓住某一个漏洞点,就有可能入侵系统。新一代的防御体系至少应该具备四方面的能力,能够形成良好的闭环。一是智能威胁感知能力,二是高强度的攻击防御能力,三是快速应急响应能力,四是安全大数据的挖掘利用能力。
