中國網財經8月2日訊 “科技重構金融未來”——中國電子銀行聯合宣傳年2018貴陽高峰論壇于8月2日在貴陽舉行。國家資訊技術安全研究中心總師、高級工程師郭曉雷在論壇上表示,從對我國銀行的抽查情況來看,總體網路形勢是好的,但是在深度測試過程中也發現一些非典型的漏洞。
國家資訊技術安全研究中心總師、高級工程師郭曉雷
郭曉雷説,近年來,大型的網路攻擊安全基礎設施的案例已經多發,國際上發生多起金融被攻擊案例。例如:從2016年孟加拉國的中央銀行在美國聯邦銀行開設的賬戶遭駭客。另外駭客還入侵了俄羅斯央行,偷走了20億盧布,這是典型的威脅態勢。
另外一個態勢,黑灰産業鏈呈現出趨利化、集團化、跨境化的趨勢。在黑市上流通的用戶資料高達數億。從事黑灰産業的人數估計已經到百萬級以上,這比從事安全保障的人數還要多,給社會造成了鉅額的損失。
郭曉雷指出,從今年來,對銀行的抽查情況來看,總體形勢是好的,特別在一些重大事件的經歷過程中,相對於其他行業好得多,説明銀行在保障水準上和相關緊急事件的應對上,都有不錯的成績。但從高強度測試來看,大規模網路風險是依然存在的。
深度測試過程中發現漏洞
國家資訊技術安全研究中心是國家專控隊伍,主要從事資訊技術産品系統的測試、評估、檢查,以及專項檢查活動。也擔負了多家中保系統的安全保障和重大活動安全保障。這些年來,國家資訊技術安全研究中心對多家銀行進行了深度測試。
郭曉雷透露,通過測試,國家資訊技術安全研究中心發現漏洞的存在是非常典型的,通過遠端滲透,也能夠發現和利用這些漏洞對系統造成嚴重損害。主要表現在以下幾個案例:
案例一:邏輯缺陷。當時我們在某銀行轉帳操作中取得的證據。由於國企未對轉賬數據,導致用戶資金被他人竊取,主要採取邏輯缺陷的漏洞。
案例二:資訊洩露。我國曾經發生過一起著名的資訊洩露事件,某社區的資訊洩露,導致了600萬用戶名、密碼和註冊郵箱洩露,包括垃圾郵件、賬號凍結、資訊丟失等等,當時引起了社會強烈反應。工信部也啟動了相關預案。在這次事件之後,國家資訊技術安全研究中心也對有關銀行做了相關測試,經過測試發現A銀行可以通過多種漏洞的組合獲取用戶資訊,對B銀行的測試也發現了存在相關的安全漏洞,用戶資訊可以被獲取。這幾項加起來已經超過2億。
案例三:DDOS攻擊溯源。2013年某銀行造成了DDOS的攻擊,從下午一直持續到淩晨,期間網站一度無法打開。這次攻擊帶來了超過250億的流量擁堵,直接導致網路伺服器堵塞。除我國之外,美國、新加坡也是主要攻擊源。通過大數據溯源對攻擊者進行了畫像,發現這些攻擊者大部分是漏洞利用的頻繁使用者,也是漏洞利用的高手。
郭曉雷認為,傳統的技術防護體系,基本上是豎井式的防禦體系。它典型的局限就在於滯後、錯報、漏報的局限。攻擊者只要抓住某一個漏洞點,就有可能入侵系統。新一代的防禦體系至少應該具備四方面的能力,能夠形成良好的閉環。一是智慧威脅感知能力,二是高強度的攻擊防禦能力,三是快速應急響應能力,四是安全大數據的挖掘利用能力。
(責任編輯:胡愛善)